Penetrační testy

Máme 6 let zkušeností s mnoha zakázkovými projekty penetračních testů a neustále sledujeme nejnovější hrozby za Vás. Díky bezpečnostním a penetračním testům pomáháme firmám preventivně předcházet výpadkům služeb a zabezpečit si infrastrukturu.

BUĎTE PŘIPRAVENI A POZNEJTE RIZIKA DOPŘEDU

Rostoucí komplexita internetu zvyšuje hrozby pro všechny provozní systémy. Prevence je vždy lepší než řešit bezpečnostní události až když nastanou. Používáme osvědčené metodiky a standardní nástroje a zkušenosti. Svěřte se do péče našich etických hackerů.

Leták Penetrační testy

Stáhněte si k přečtení a případnému vytištění přehledný produktový leták o penetračním testování.

Společnost Solutia, s.r.o., se řídí následujícími principy při provádění penetračních testů:

  • hlavní prioritou je identifikovat vysoce rizikové zranitelnosti, a to zejména takové, které nejde identifikovat automatizovanými nástroji
  • další prioritou je identifikovat takové kombinace zranitelností nižšího rizika, které zneužitím v konkrétní sekvenci tvoří vysoce rizikovou zranitelnost
  • s ohledem na předchozí tedy platí, že „ruční“ testování bude tvořit hlavní část testovacího procesu a testování automatickými nástroji tedy bude pouze minoritní částí procesu (případně bude sloužit jako podklad pro další ruční testování)
  • výsledky testů a měření jsou kvantifiko-vatelné, opakovatelné a odvozené na základě skutečností zjištěných v testech
  • veškeré testy jsou prováděny tak, aby bylo minimalizováno riziko dopadu na testovanou aplikaci či systém
  • testování provádíme v souladu s normami ČSN ISO/IEC 27005 a ČSN ISO/IEC 27002 a dále na základě pravidel tzv. „etického hackingu“
  • penetrační testy jsou realizovány jako soubor Black-Box, Grey-Box, White-Box testů prováděných z veřejné/interní sítě
  • součástí testů jsou i testy infrastruktury, interních Wi-Fi sítí a např. testy neautorizovaného hardware
  • součástí testování může být i použití celé škály technik sociálního inženýrství

Nejčastějším zadáním je:

Ověření bezpečnosti webové aplikace, kde používáme metodiku OWASP jako nejvhodnější cestu, jak ověřit její zabezpečení a odhalit zranitelnosti této aplikace.

Pro prezentaci výsledků bezpečnostních testů webových aplikací je použita metrika TOP TEN (NEJ 10) s těmito kategoriemi testů:

  • A1 – Injection
  • A2 – Broken Authentication
  • A3 – Sensitive Data Exposure
  • A4 – XML External Entities (XXE)
  • A5 – Broken Access Control
  • A6 – Security Misconfiguration
  • A7 – Cross-Site Scripting (XSS)
  • A8 – Insecure Deserialization
  • A9 – Using Components with Known Vulnerabilities
  • A10 – Insufficient Logging & Monitoring