testy penetracyjne

Testy penetracyjne

Testy penetracyjne to symulacja hakerskiego ataku, kt贸rego celem jest weryfikacja zabezpiecze艅 danego zasobu, takiego jak sieci czy wszelkiego rodzaju aplikacje, od aplikacji webowych, przez aplikacje mobilne, po aplikacje desktopowe oraz klient-serwer. Dotychczas wykonali艣my setki test贸w penetracyjnych, zar贸wno dla biznesu jak i infrastruktury krytycznej.

Testy bezpiecze艅stwa IT

Jest to jedna z naszych g艂贸wnych us艂ug, posiadamy wieloletnie do艣wiadczenie w testach cyberbezpiecze艅stwa i dotychczas przeprowadzili艣my ju偶 kilkaset test贸w penetracyjnych dla wielu znanych mi臋dzynarodowych organizacji, od bank贸w, przez firmy e-commerce, po instytucje pa艅stwowe i r贸偶nego rodzaju przedsi臋biorstwa wchodz膮ce w sk艂ad infrastruktury krytycznej. Wszyscy pentesterzy wykonuj膮cy testy bezpiecze艅stwa posiadaj膮 najbardziej uznany na 艣wiecie certyfikat OSCP (Offensive Security Certified Professional), a dodatkowo wiele innych certyfikat贸w, r贸wnie偶 z podzia艂em na poszczeg贸lne specjalizacje pentest贸w jak na przyk艂ad sieci bezprzewodowe (Wi-Fi) i certyfikat OSWP (Offensive Security Wireless Professional), czy te偶 certyfikaty innych podmiot贸w, przyk艂adowo GIAC Exploit Researcher and Advanced Penetration Tester (GXPN). Ka偶dy pentester posiada ponadto wieloletnie do艣wiadczenie zawodowe w zakresie test贸w bezpiecze艅stwa dla znanych podmiot贸w. Tym samym spe艂niamy z nawi膮zk膮 wymagania standard贸w takich jak na przyk艂ad PCI DSS Penetration Testing Guidance. Wszystkie raporty tworzone s膮 przez naszych konsultant贸w, a nie bezmy艣lnie generowane przez automatyczne oprogramowanie. Nasi testerzy penetracyjni znale藕li wiele s艂abo艣ci i luk w zabezpieczeniach powszechnie wykorzystywanego oprogramowania, a dzi臋ki czemu ich wiedza jest powszechnie uznana.

Dlaczego my? Wiedza i do艣wiadczenie

Posiadamy bogate do艣wiadczenie zawodowe na najwy偶szych stanowiskach zwi膮zanych z realizacj膮 test贸w penetracyjnych, wliczaj膮c w to zar贸wno mi臋dzynarodowe grupy bankowe (np. Pawe艂 Wylecia艂 pracowa艂 jako lider zespo艂u pentester贸w, a zarazem g艂贸wny tester penetracyjny w brytyjskiej grupie bankowej RBS – Royal Bank of Scotland) jak i najwi臋ksze na 艣wiecie firmy konsultingowe (np. Adam Ziaja pracowa艂 jako starszy konsultant ofensywnego cyberbezpiecze艅stwa – wliczaj膮c w to pentesty i red teaming – w globalnej firmie konsultingowej Deloitte).

Dotychczas wykonali艣my dos艂ownie setki pentest贸w dla najwi臋kszych organizacji. Wliczaj膮c w to testy cyberbezpiecze艅stwa szerokiego spektrum instytucji finansowych, od praktycznie ka偶dego rodzaju aplikacji bankowych udost臋pnianych klientom, przez mainframe gie艂dy i infrastruktur臋 fabryki kart p艂atniczych, po aplikacje obs艂uguj膮ce fizyczne wp艂atomaty, sortownie got贸wki banku czy gie艂dy kryptowalut. Nie spos贸b wskaza膰 rodzaj informatycznych system贸w, kt贸rych jeszcze nie testowali艣my poniewa偶 nasze do艣wiadczenie pokrywa tak偶e najbardziej krytyczne pa艅stwowe aplikacje, sprz臋t informatyczny wykorzystywany przez wojsko, r贸偶nego rodzaju podmioty medyczne czy wiele innych organizacji wchodz膮cych w sk艂ad infrastruktury krytycznej. Nasze kompetencje to nie tylko weryfikacja zabezpiecze艅 skrajnie krytycznych system贸w ale r贸wnie偶 prywatne przedsi臋biorstwa takie jak e-commerce, w tym znane sieci sklep贸w, witryny konkurs贸w du偶ych przedsi臋biorstw czy te偶 r贸偶nego rodzaju startupy.

Ka偶dy tester penetracyjny posiada realne do艣wiadczenie zawodowe i kompetencje na poziomie starszego konsultanta oraz co najmniej najbardziej uznany na 艣wiecie certyfikat z tego zakresu czyli OSCP (Offensive Security Certified Professional), zazwyczaj zdany kilka lat wcze艣niej, a ponadto inne certyfikaty 艣wiadcz膮ce o kompetencjach w danych specjalizacjach ofensywnego bezpiecze艅stwa. Wszystkie prace realizujemy nie tylko zgodnie z najpopularniejszymi metodykami, ale r贸wnie偶 wyniki poszerzone s膮 o nasze bogate do艣wiadczenie zawodowe, efektem czego zg艂aszane b艂臋dy niejednokrotnie wykracza艂y poza zakres uwzgl臋dniany w metodykach. Dzi臋ki powy偶szym z nawi膮zk膮 spe艂niamy zalecenia przyk艂adowo standardu PCI DSS Penetration Testing Guidance. Nasza praca nie sprowadza si臋 jedynie do uruchomienia automatycznego oprogramowania i wygenerowania raportu – prace wykonujemy przede wszystkim r臋cznie, a tworzony przez nas raport zawiera konkretne i przydatne informacje. Do test贸w przyst臋pujemy z nastawieniem, 偶e od jako艣ci naszej pracy zale偶e膰 b臋dzie nie tylko zadowolenie klienta, ale przede wszystkim bezpiecze艅stwo, kt贸rego s艂abo艣ci mog膮 poci膮gn膮膰 za sob膮 daleko id膮ce konsekwencje wykraczaj膮ce poza dan膮 organizacj臋.

Ponadto otrzymali艣my liczne i publicznie dost臋pne podzi臋kowania za zg艂oszone b艂臋dy bezpiecze艅stwa w powszechnie znanych produktach globalnych marek, m.in. Adobe, Apple, BlackBerry, Google, Microsoft, Netflix, Nokia i VMware. Dodatkowo otrzymali艣my te偶 podzi臋kowania w formie referencji od najwi臋kszych polskich portali takich jak Onet, Interia i Wirtualna Polska.

Warto r贸wnie偶 wspomnie膰, 偶e Pawe艂 Wylecia艂 jest wsp贸艂tw贸rc膮 i organizatorem uznanej mi臋dzynarodowej konferencji WarCon, skupionej wok贸艂 ofensywnych aspekt贸w cyberbezpiecze艅stwa – jest to nie tylko nasza praca, a prawie 20-letnia pasja, kt贸rej po艣wi臋camy si臋 r贸wnie偶 w czasie wolnym. Adam Ziaja jest bieg艂ym s膮dowym za zakresu informatyki z listy S膮du Okr臋gowego w Warszawie, ze szczeg贸lnym uwzgl臋dnieniem specjalizacji cyberbezpiecze艅stwo i hacking.

Nasza wiedza i do艣wiadczenie pozwalaj膮 nam na symulowanie prawdziwych zaawansowanych hakerskich atak贸w na miar臋 XXI wieku. Zach臋camy do zapoznania si臋 z naszymi sylwetkami oraz dost臋pnymi na 偶yczenie licznymi referencjami od znanych podmiot贸w za realizacj臋 test贸w bezpiecze艅stwa.

Testy penetracyjne blackbox

Zar贸wno testy penetracyjne system贸w informatycznych jak i testy penetracyjne aplikacji mog膮 by膰 przeprowadzane z perspektywy potencjalnego w艂amywacza, oznacza to, 偶e tester penetracyjny nie posiada dodatkowych informacji ponad te, kt贸re s膮 dost臋pne publicznie. Innymi s艂owy w przypadku audyt bezpiecze艅stwa systemu teleinformatycznego pentester nie ma dost臋pu do architektury danej sieci, informacji o systemach w niej wyst臋puj膮cych itp. Z kolei przeprowadzaj膮c audyt bezpiecze艅stwa strony internetowej etyczny haker nie posiada dodatkowych dost臋p贸w poza tymi, kt贸re mo偶e uzyska膰 samodzielnie np. poprzez rejestracj臋 konta w systemie.

Zazwyczaj przeprowadzaj膮c audyt bezpiecze艅stwa aplikacji webowych wykonujemy testy penetracyjne graybox, kt贸re dodatkowo pokrywaj膮 obszary aplikacji dost臋pne wy艂膮cznie po uwierzytelnieniu, co pozwala na wykonanie test贸w horyzontalnych i wertykalnych eskalacji uprawnie艅 mi臋dzy u偶ytkownikami. Pionowa eskalacja to przypadek w kt贸rym u偶ytkownik o ni偶szych uprawnieniach mo偶e uzyska膰 szerszy dost臋p, natomiast eskalacja pozioma polega na mo偶liwo艣ci uzyskania dost臋pu do zasob贸w przeznaczonych dla innego u偶ytkownika o tych samych lub zbli偶onych uprawnieniach.

Testy penetracyjne whitebox

Tego typu audyty bezpiecze艅stwa s膮 rozszerzon膮 wersj膮 test贸w penetracyjnych graybox i polegaj膮 na wykorzystaniu praktycznie pe艂nej wiedzy o testowanych zasobach. W przypadku audytu bezpiecze艅stwa stron internetowych jest to przyk艂adowo dodatkowy dost臋p do dokumentacji i kodu 藕r贸d艂owego aplikacji webowej, poza tym co pentester otrzymuje w stosunku do test贸w blackbox.

Testy penetracyjne aplikacji webowych

Przeprowadzamy testy penetracyjne stron WWW zgodnie z najpopularniejsz膮 i szeroko uznan膮 metodyk膮 OWASP (The Open Web Application Security Project), z uwzgl臋dnieniem OWASP Top 10 oraz OWASP ASVS (Application Security Verification Standard). Prace przeprowadzane s膮 w taki spos贸b aby odnale藕膰 jak najwi臋cej istotnych luk, a nie tylko tych, kt贸re opisane s膮 w metodyce. Przede wszystkim szukamy b艂臋d贸w, kt贸re realnie mog膮 zaszkodzi膰 biznesowi. Tego typu testy penetracyjne wykonywane s膮 g艂贸wnie manualnie, celem wykrycia nieznanych b艂臋d贸w, takich kt贸re s膮 niemo偶liwe do wykrycia przez automatyczne oprogramowanie.

Testy penetracyjne aplikacji natywnych

Wykonujemy testy penetracyjne aplikacji desktopowych i testy penetracyjne aplikacji klient-serwer. Jeste艣my w stanie przetestowa膰 bezpiecze艅stwo aplikacji napisanych na platformy Windows, Linux oraz OS X.

Testy penetracyjne aplikacji mobilnych

Przeprowadzamy testy penetracyjne aplikacji mobilnych na platformy iOS oraz Android. Opieramy si臋 na OWASP Mobile (The Open Web Application Security Project), z uwzgl臋dnieniem OWASP Mobile Top 10 oraz OWASP MASVS (Mobile Application Security Verification Standard) poszerzonymi o nasze do艣wiadczenie w znajdowaniu luk w aplikacjach mobilnych.

Testy penetracyjne infrastruktury

Wykonujemy testy penetracyjne sieci ka偶dego typu (LAN/WAN/WLAN/Wi-Fi), zgodnie z metodyk膮 PTES (The Penetration Testing Execution Standard). Testy mog膮 by膰 wykonane zar贸wno z sieci zewn臋trznej (Internet, Wi-Fi itp) jak i wewn臋trznej (LAN, VPN). Dzi臋ki temu jeste艣my w stanie sprawdzi膰 infrastruktur臋 tak jak gdyby atakuj膮cy by艂 obecny w sieci wewn臋trznej organizacji, co szczeg贸lnie w przypadku system贸w Windows otwiera mo偶liwo艣膰 na wykonanie szeregu gro藕nych atak贸w.

Testy penetracyjne sieci LAN

Testy bezpiecze艅stwa sieci lokalnej mog膮 by膰 wykonywane zar贸wno zdalnie, przez Internet (VPN) jak i lokalnie w siedzibie organizacji. R贸偶ni膮 si臋 od typowych test贸w infrastruktury tym, 偶e pentester posiada dost臋p taki sam jak intruz, kt贸remu uda艂o si臋 uzyska膰 dost臋p do sieci wewn臋trznej. Nale偶y mie膰 tutaj r贸wnie偶 na uwadze, 偶e jest to r贸wnie偶 symulacja wewn臋trznego intruza, kt贸rym to mo偶e by膰 przyk艂adowo nieuczciwy pracownik dzia艂aj膮cy na szkod臋 przedsi臋biorstwa. Takie audyt bezpiecze艅stwa sieci LAN pozwala na wi臋ksze spektrum atak贸w, na kt贸re wp艂ywa r贸wnie偶 wewn臋trzna konfiguracja sieci i system贸w, jak na przyk艂ad ustawienia systemu Windows.

Testy penetracyjne sieci Wi-Fi

Testy penetracyjne Wi-Fi to audyt bezpiecze艅stwa sieci bezprzewodowych, kt贸ry polega na pr贸bach prze艂amania zabezpiecze艅 i mo偶e dotyczy膰 zar贸wno pr贸b dost臋pu do niej jak i mo偶liwo艣ci eskalacji po uzyskaniu dost臋pu, w ten spos贸b weryfikowana jest przyk艂adowo separacja sieci czy klient贸w pod艂膮czonych do tego samego punktu dost臋pu. Posiadamy najbardziej uznany certyfikat z zakresu test贸w bezpiecze艅stwa sieci bezprzewodowych czyli OSWP (Offensive Security Wireless Professional).

Wykonujemy r贸wnie偶 inne ataki na klient贸w sieci bezprzewodowych, kt贸re s膮 cz臋艣ci膮 us艂ugi red teaming i polegaj膮 na atakach socjotechnicznych, przyk艂adowo uruchomieniu fa艂szywego punktu dost臋powego.

Certyfikaty

Posiadamy nast臋puj膮ce certyfikaty z zakresu test贸w penetracyjnych i szeroko poj臋tego cyberbezpiecze艅stwa:

  • Offensive Security Certified Professional (OSCP) – ca艂y zesp贸艂 pentester贸w
  • Offensive Security Wireless Professional (OSWP)
  • Offensive Security Certified Expert (OSCE)
  • GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
  • eLearnSecurity Web application Penetration Tester (eWPT)
  • eLearnSecurity Web application Penetration Tester eXtreme (eWPTX)
  • eLearnSecurity Mobile Application Penetration Tester (eMAPT)
  • Certified Ethical Hacker (CEH)
  • Certified Information Systems Security Professional (CISSP)
  • Certified Information Systems Auditor (CISA)

Koszt test贸w penetracyjnych

Cena test贸w penetracyjnych zale偶y g艂贸wnie od czasoch艂onno艣ci oraz z艂o偶ono艣ci prac. Z oczywistych wzgl臋d贸w, takich jak dodatkowe koszta, praca zdalna (przez Internet) jest ta艅sza ni偶 praca wykonywana lokalnie u klienta. W celu dokonania dok艂adnej wyceny prosimy o kontakt e-mailowy.

Testy penetracyjne zgodne z PCI DSS

Spe艂niamy wymagania Penetration Testing Guidance i wykonujemy testy penetracyjne w oparciu o zalecenia standardu PCI Data Security Standard (PCI DSS).

Ka偶dy tester penetracyjny posiada co najmniej najbardziej uznany na 艣wiecie certyfikat z tego zakresu czyli OSCP (Offensive Security Certified Professional).

Poznaj nasz膮聽ofert臋

Zajmujemy si臋 realizacj膮 najbardziej zaawansowanych technicznych aspekt贸w cyberbezpiecze艅stwa, zar贸wno z zakresu ataku jak i obrony. Dzi臋ki zr贸偶nicowanemu do艣wiadczeniu w wielu specjalizacjach bezpiecze艅stwa IT jeste艣my w stanie szerzej spojrze膰 na realizacj臋 ka偶dej poszczeg贸lnej us艂ugi. Nasze umiej臋tno艣ci wynikaj膮 z szerokiego i wieloletniego do艣wiadczenia zawodowego w cyberbezpiecze艅stwie oraz poparte s膮 certyfikatami, publikacjami i referencjami od znanych podmiot贸w.