Penetrační testy
Máme 6 let zkušeností s mnoha zakázkovými projekty penetračních testů a neustále sledujeme nejnovější hrozby za Vás. Díky bezpečnostním a penetračním testům pomáháme firmám preventivně předcházet výpadkům služeb a zabezpečit si infrastrukturu.
BUĎTE PŘIPRAVENI A POZNEJTE RIZIKA DOPŘEDU
Rostoucí komplexita internetu zvyšuje hrozby pro všechny provozní systémy. Prevence je vždy lepší než řešit bezpečnostní události až když nastanou. Používáme osvědčené metodiky a standardní nástroje a zkušenosti. Svěřte se do péče našich etických hackerů.
Stáhněte si k přečtení a případnému vytištění přehledný produktový leták o penetračním testování.
Společnost Solutia, s.r.o. se řídí následujícími principy při provádění penetračních testů:
- hlavní prioritou je identifikovat vysoce rizikové zranitelnosti, a to zejména takové, které nejde identifikovat automatizovanými nástroji
- další prioritou je identifikovat takové kombinace zranitelností nižšího rizika, které zneužitím v konkrétní sekvenci tvoří vysoce rizikovou zranitelnost
- s ohledem na předchozí tedy platí, že „ruční“ testování bude tvořit hlavní část testovacího procesu a testování automatickými nástroji tedy bude pouze minoritní částí procesu (případně bude sloužit jako podklad pro další ruční testování)
- výsledky testů a měření jsou kvantifiko-vatelné, opakovatelné a odvozené na základě skutečností zjištěných v testech
- veškeré testy jsou prováděny tak, aby bylo minimalizováno riziko dopadu na testovanou aplikaci či systém
- testování provádíme v souladu s normami ČSN ISO/IEC 27005 a ČSN ISO/IEC 27002 a dále na základě pravidel tzv. „etického hackingu“
- penetrační testy jsou realizovány jako soubor Black-Box, Grey-Box, White-Box testů prováděných z veřejné/interní sítě
- součástí testů jsou i testy infrastruktury, interních Wi-Fi sítí a např. testy neautorizovaného hardware
- součástí testování může být i použití celé škály technik sociálního inženýrství
Nejčastějším zadáním Je ověření bezpečnosti webové aplikace, kde používáme metodiku OWASP jako nejvhodnější cestu, jak ověřit její zabezpečení a odhalit zranitelnosti této aplikace.
Pro prezentaci výsledků bezpečnostních testů webových aplikací je použita metrika TOP TEN (NEJ 10) s těmito kategoriemi testů:
- A1 – Injection
- A2 – Broken Authentication
- A3 – Sensitive Data Exposure
- A4 – XML External Entities (XXE)
- A5 – Broken Access Control
- A6 – Security Misconfiguration
- A7 – Cross-Site Scripting (XSS)
- A8 – Insecure Deserialization
- A9 – Using Components with Known Vulnerabilities
- A10 – Insufficient Logging & Monitoring