Aby skutecznie chronić swoją firmę przed cyberatakami trzeba wiedzieć gdzie znajdują się słabe punkty systemów teleinformatycznych, które mogą zostać wykorzystane przez internetowych przestępców. Do tego potrzebna jest wiedza o tym jak oni działają, z jakich narzędzi korzystają i czego szukają. Posiadamy taką wiedzę i dzięki temu możemy realizować testy penetracyjne czyli kontrolowaną próbę wykorzystania luk i błędów. Za pomocą testów możemy sprawdzić odporność oraz podatności systemu teleinformatycznego na próby przełamania zabezpieczających go rozwiązań. Dzięki takiemu podejściu testy penetracyjne pozwalają na znalezienie konkretnych zagrożeń związanych z elementami technicznymi, konfiguracją systemu jak również sprawdzić działanie procedur i reakcji użytkowników systemu.

 

W ramach testów penetracyjnych możemy przebadać wszelkiego rodzaju elementy od aplikacji webowych, przez aplikacje mobilne, po aplikacje desktopowe oraz klient-serwer.

 

Testy penetracyjne możemy podzielić na dwa typy - blackbox i whitebox. Pierwszym z nich jest test przeprowadzony z minimalną wiedzą, dostępną każdemu użytkownikowi sieci. Ta metoda może być mało efektywna. Drugi rodzaj sprawdzenia to test penetracyjny z pełną wiedzą, z dokładną znajomością specyfikacji oraz dokumentacji, dzięki czemu w tym przypadku istnieje możliwość wykrycia nieścisłości pomiędzy zastaną sytuacją, a tą zawartą w dokumentach.

 

Testy penetracyjne powinno się przeprowadzać cyklicznie. Oprócz planowanych ocen systemu wynikających z przepisów, testy powinny odbywać się zawsze wtedy, kiedy następuje rozbudowa sieci, dodawane są nowe aplikacje, instaluje się poważne aktualizacje albo modyfikuje się infrastrukturę. Przeniesienie siedziby biura, instalacja łatek bezpieczeństwa albo modyfikacja zasad polityki dotyczącej użytkownika końcowego to kolejne, ważne momenty kiedy warto zastanowić się poważnie nad testami penetracyjnymi.

Mniejszą ingerencją, a tym samym mniejszym obciążeniem dla systemu teleinformatycznego firmy jest szacowanie podatności. W głównej mierze polega na przeskanowaniu systemu informatycznego różnego rodzaju automatami, pod kątem znanych podatności i brakujących aktualizacji. Pomagają organizacji w szybki sposób zidentyfikować podatności w ich infrastrukturze, zanim dojdzie do włamania. Wykonywane najlepiej systematycznie pozwalają podnieść świadomość poziomu bezpieczeństwa własnego systemu. Dzięki świadomości o istniejących lukach i podatnościach, administratorzy mogą przystąpić do ich naprawy. Dodatkowym plusem wykonywania cyklicznych skanowań w całej firmowej infrastrukturze, jest posiadanie aktualnego spisu zasobów (systemów, urządzeń i hostów).

 

Szacowanie podatności przypisuje ryzyko do każdego zagrożenia. Ryzykom tym można przypisać priorytet, pilność i wpływ, co ułatwia skupienie się na tych, które mogą stwarzać najwięcej problemów dla organizacji. Jest to ważna część zarządzania podatnościami, ponieważ Twój zespół ds. bezpieczeństwa IT będzie miał ograniczony czas i zasoby ponieważ musi skoncentrować się na obszarach, które mogą wyrządzić największe szkody Twojej firmie.

 

Szacowanie zagrożeń od testów penetracyjncyh różni się tym, że przy szacowaniu zagrożeń nie są weryfikowane wyniki z automatów. Jest to tańsza i szybsza opcja jednak nie daje takiej dokładności jak pentesty. Trudno też za pomocą szacowania wykryć błędy w logice aplikacji.

Technika nastawiona przede wszystkim na cel i działająca zgodnie z zasadą “cel uświęca środki”. W ramach tego scenariusza zespół testujący może wykorzystać wszystkie technik znane prawdziwym atakującym a mianowicie znane publicznie podatności, ataki na pracownika czy fizyczne wkroczenie do siedziby organizacji. Nasz zespół wykorzysta każdy możliwy sposób, każdą znalezioną lukę w waszych systemach, procedurach albo słabość waszych pracowników aby osiągnąć wcześniej wspólnie określony cel. Dzięki takim testom można sprawdzić faktyczną szczelność systemu jako całości, zweryfikować działanie procedur jak i czujność pracowników. Po zakończeniu działań otrzymają Państwo raport zawierający opis wykonanych czynności, zastosowanych technik i narzędzi oraz celów jakie udało się osiągnąć oraz rekomendacje w jaki sposób można uszczelnić bezpieczeństwo w firmie. Na koniec możemy zorganizować spotkanie z Państwa pracownikami i/lub zespołami IT w celu omówienia wyników.

 

Wadą tego typu sprawdzeń jest czas na jego przygotowanie i realizację liczony w tygodniach a czasem nawet w miesiącach.

Na czym one mogą polegać? Najczęściej jest to wywieranie wpływu na pracownika poprzez bezpośredni z nim kontakt, telefonicznie bądź przez wiadomość email. Atakujący robi to najczęściej podszywając się pod osobę, która ma do pracownika ważną, nie mogącą czekać sprawę. Podając się w emailu jako firma kurierska, dzwoniąc jako administrator systemu informatycznego, a także przychodząc osobiście i podając się za serwisanta, który ma pilnie naprawić jakiś sprzęt w biurze. Pomysłowość przestępców nie ma granic. Posiadając wiedzę z zakresu socjologii i psychologii, wykorzystują typowe i głęboko zakorzenione ludzkie reakcje, uzyskują istotne dla siebie informację na temat funkcjonowania firmy, działających w niej procedur i zasad. Pracownik, który nieostrożnie zaufa atakującemu, bezwiednie ujawni mu wrażliwe informacje. To, że cyberprzestępca wykorzysta tę informację do przeprowadzenia ataku na firmę jest wysoce prawdopodobne. Może to zrobić na wiele sposobów. Najczęściej posłuży my to za “podkład” pod budowę następnej próby, pozwalającej dostać się głębiej do organizacji.

 

Nasz zespół od ponad 7 lat bada bezpieczeństwo systemów informatycznych. Składa się z inżynierów z szerokimi zainteresowaniami. Wykonujemy testy penetracyjne, szacowanie podatności w różnych systemach i środowiskach, prowadzimy szkolenia oraz doradzamy w kwestii cyberbezpieczeństwa. Nasi inżynierowie mogą pochwalić się certyfikatami takimi jak: CEH, OSCP, OSCE itp.

 

Zespół do testów budowany jest zawsze indywidualnie w zależności od potrzeb klienta, rodzaju testów, przedmiotu badań i rozległości systemu, dzięki temu nasi klienci mają pewność, że do każdych testów podchodzimy indywidualnie.