testy penetracyjne

Testy penetracyjne

Testy penetracyjne to symulacja hakerskiego ataku, kt├│rego celem jest weryfikacja zabezpiecze┼ä danego zasobu, takiego jak sieci czy wszelkiego rodzaju aplikacje, od aplikacji webowych, przez aplikacje mobilne, po aplikacje desktopowe oraz klient-serwer. Dotychczas wykonali┼Ťmy setki test├│w penetracyjnych, zar├│wno dla biznesu jak i infrastruktury krytycznej.

Testy bezpieczeństwa IT

Jest to jedna z naszych g┼é├│wnych us┼éug, posiadamy wieloletnie do┼Ťwiadczenie w testach cyberbezpiecze┼ästwa i dotychczas przeprowadzili┼Ťmy ju┼╝ kilkaset test├│w penetracyjnych dla wielu znanych mi─Ödzynarodowych organizacji, od bank├│w, przez firmy e-commerce, po instytucje pa┼ästwowe i r├│┼╝nego rodzaju przedsi─Öbiorstwa wchodz─ůce w sk┼éad infrastruktury krytycznej. Wszyscy pentesterzy wykonuj─ůcy testy bezpiecze┼ästwa posiadaj─ů najbardziej uznany na ┼Ťwiecie certyfikat OSCP (Offensive Security Certified Professional), a dodatkowo wiele innych certyfikat├│w, r├│wnie┼╝ z podzia┼éem na poszczeg├│lne specjalizacje pentest├│w jak na przyk┼éad sieci bezprzewodowe (Wi-Fi) i certyfikat OSWP (Offensive Security Wireless Professional), czy te┼╝ certyfikaty innych podmiot├│w, przyk┼éadowo GIAC Exploit Researcher and Advanced Penetration Tester (GXPN). Ka┼╝dy pentester posiada ponadto wieloletnie do┼Ťwiadczenie zawodowe w zakresie test├│w bezpiecze┼ästwa dla znanych podmiot├│w. Tym samym spe┼éniamy z nawi─ůzk─ů wymagania standard├│w takich jak na przyk┼éad PCI DSS Penetration Testing Guidance. Wszystkie raporty tworzone s─ů przez naszych konsultant├│w, a nie bezmy┼Ťlnie generowane przez automatyczne oprogramowanie. Nasi testerzy penetracyjni znale┼║li wiele s┼éabo┼Ťci i luk w zabezpieczeniach powszechnie wykorzystywanego oprogramowania, a dzi─Öki czemu ich wiedza jest powszechnie uznana.

Dlaczego my? Wiedza i do┼Ťwiadczenie

Posiadamy bogate do┼Ťwiadczenie zawodowe na najwy┼╝szych stanowiskach zwi─ůzanych z realizacj─ů test├│w penetracyjnych, wliczaj─ůc w to zar├│wno mi─Ödzynarodowe grupy bankowe (np. Pawe┼é Wylecia┼é pracowa┼é jako lider zespo┼éu pentester├│w, a zarazem g┼é├│wny tester penetracyjny w brytyjskiej grupie bankowej RBS – Royal Bank of Scotland) jak i najwi─Öksze na ┼Ťwiecie firmy konsultingowe (np. Adam Ziaja pracowa┼é jako starszy konsultant ofensywnego cyberbezpiecze┼ästwa – wliczaj─ůc w to pentesty i red teaming – w globalnej firmie konsultingowej Deloitte).

Dotychczas wykonali┼Ťmy dos┼éownie setki pentest├│w dla najwi─Ökszych organizacji. Wliczaj─ůc w to testy cyberbezpiecze┼ästwa szerokiego spektrum instytucji finansowych, od praktycznie ka┼╝dego rodzaju aplikacji bankowych udost─Öpnianych klientom, przez mainframe gie┼édy i infrastruktur─Ö fabryki kart p┼éatniczych, po aplikacje obs┼éuguj─ůce fizyczne wp┼éatomaty, sortownie got├│wki banku czy gie┼édy kryptowalut. Nie spos├│b wskaza─ç rodzaj informatycznych system├│w, kt├│rych jeszcze nie testowali┼Ťmy poniewa┼╝ nasze do┼Ťwiadczenie pokrywa tak┼╝e najbardziej krytyczne pa┼ästwowe aplikacje, sprz─Öt informatyczny wykorzystywany przez wojsko, r├│┼╝nego rodzaju podmioty medyczne czy wiele innych organizacji wchodz─ůcych w sk┼éad infrastruktury krytycznej. Nasze kompetencje to nie tylko weryfikacja zabezpiecze┼ä skrajnie krytycznych system├│w ale r├│wnie┼╝ prywatne przedsi─Öbiorstwa takie jak e-commerce, w tym znane sieci sklep├│w, witryny konkurs├│w du┼╝ych przedsi─Öbiorstw czy te┼╝ r├│┼╝nego rodzaju startupy.

Ka┼╝dy tester penetracyjny posiada realne do┼Ťwiadczenie zawodowe i kompetencje na poziomie starszego konsultanta oraz co najmniej najbardziej uznany na ┼Ťwiecie certyfikat z tego zakresu czyli OSCP (Offensive Security Certified Professional), zazwyczaj zdany kilka lat wcze┼Ťniej, a ponadto inne certyfikaty ┼Ťwiadcz─ůce o kompetencjach w danych specjalizacjach ofensywnego bezpiecze┼ästwa. Wszystkie prace realizujemy nie tylko zgodnie z najpopularniejszymi metodykami, ale r├│wnie┼╝ wyniki poszerzone s─ů o nasze bogate do┼Ťwiadczenie zawodowe, efektem czego zg┼éaszane b┼é─Ödy niejednokrotnie wykracza┼éy poza zakres uwzgl─Ödniany w metodykach. Dzi─Öki powy┼╝szym z nawi─ůzk─ů spe┼éniamy zalecenia przyk┼éadowo standardu PCI DSS Penetration Testing Guidance. Nasza praca nie sprowadza si─Ö jedynie do uruchomienia automatycznego oprogramowania i wygenerowania raportu – prace wykonujemy przede wszystkim r─Öcznie, a tworzony przez nas raport zawiera konkretne i przydatne informacje. Do test├│w przyst─Öpujemy z nastawieniem, ┼╝e od jako┼Ťci naszej pracy zale┼╝e─ç b─Ödzie nie tylko zadowolenie klienta, ale przede wszystkim bezpiecze┼ästwo, kt├│rego s┼éabo┼Ťci mog─ů poci─ůgn─ů─ç za sob─ů daleko id─ůce konsekwencje wykraczaj─ůce poza dan─ů organizacj─Ö.

Ponadto otrzymali┼Ťmy liczne i publicznie dost─Öpne podzi─Ökowania za zg┼éoszone b┼é─Ödy bezpiecze┼ästwa w powszechnie znanych produktach globalnych marek, m.in. Adobe, Apple, BlackBerry, Google, Microsoft, Netflix, Nokia i VMware. Dodatkowo otrzymali┼Ťmy te┼╝ podzi─Ökowania w formie referencji od najwi─Ökszych polskich portali takich jak Onet, Interia i Wirtualna Polska.

Warto r├│wnie┼╝ wspomnie─ç, ┼╝e Pawe┼é Wylecia┼é jest wsp├│┼étw├│rc─ů i organizatorem uznanej mi─Ödzynarodowej konferencji WarCon, skupionej wok├│┼é ofensywnych aspekt├│w cyberbezpiecze┼ästwa – jest to nie tylko nasza praca, a prawie 20-letnia pasja, kt├│rej po┼Ťwi─Öcamy si─Ö r├│wnie┼╝ w czasie wolnym. Adam Ziaja jest bieg┼éym s─ůdowym za zakresu informatyki z listy S─ůdu Okr─Ögowego w Warszawie, ze szczeg├│lnym uwzgl─Ödnieniem specjalizacji cyberbezpiecze┼ästwo i hacking.

Nasza wiedza i do┼Ťwiadczenie pozwalaj─ů nam na symulowanie prawdziwych zaawansowanych hakerskich atak├│w na miar─Ö XXI wieku. Zach─Öcamy do zapoznania si─Ö z naszymi sylwetkami oraz dost─Öpnymi na ┼╝yczenie licznymi referencjami od znanych podmiot├│w za realizacj─Ö test├│w bezpiecze┼ästwa.

Testy penetracyjne blackbox

Zar├│wno testy penetracyjne system├│w informatycznych jak i testy penetracyjne aplikacji mog─ů by─ç przeprowadzane z perspektywy potencjalnego w┼éamywacza, oznacza to, ┼╝e tester penetracyjny nie posiada dodatkowych informacji ponad te, kt├│re s─ů dost─Öpne publicznie. Innymi s┼éowy w przypadku audyt bezpiecze┼ästwa systemu teleinformatycznego pentester nie ma dost─Öpu do architektury danej sieci, informacji o systemach w niej wyst─Öpuj─ůcych itp. Z kolei przeprowadzaj─ůc audyt bezpiecze┼ästwa strony internetowej etyczny haker nie posiada dodatkowych dost─Öp├│w poza tymi, kt├│re mo┼╝e uzyska─ç samodzielnie np. poprzez rejestracj─Ö konta w systemie.

Zazwyczaj przeprowadzaj─ůc audyt bezpiecze┼ästwa aplikacji webowych wykonujemy testy penetracyjne graybox, kt├│re dodatkowo pokrywaj─ů obszary aplikacji dost─Öpne wy┼é─ůcznie po uwierzytelnieniu, co pozwala na wykonanie test├│w horyzontalnych i wertykalnych eskalacji uprawnie┼ä mi─Ödzy u┼╝ytkownikami. Pionowa eskalacja to przypadek w kt├│rym u┼╝ytkownik o ni┼╝szych uprawnieniach mo┼╝e uzyska─ç szerszy dost─Öp, natomiast eskalacja pozioma polega na mo┼╝liwo┼Ťci uzyskania dost─Öpu do zasob├│w przeznaczonych dla innego u┼╝ytkownika o tych samych lub zbli┼╝onych uprawnieniach.

Testy penetracyjne whitebox

Tego typu audyty bezpiecze┼ästwa s─ů rozszerzon─ů wersj─ů test├│w penetracyjnych graybox i polegaj─ů na wykorzystaniu praktycznie pe┼énej wiedzy o testowanych zasobach. W przypadku audytu bezpiecze┼ästwa stron internetowych jest to przyk┼éadowo dodatkowy dost─Öp do dokumentacji i kodu ┼║r├│d┼éowego aplikacji webowej, poza tym co pentester otrzymuje w stosunku do test├│w blackbox.

Testy penetracyjne aplikacji webowych

Przeprowadzamy testy penetracyjne stron WWW zgodnie z najpopularniejsz─ů i szeroko uznan─ů metodyk─ů OWASP (The Open Web Application Security Project), z uwzgl─Ödnieniem OWASP Top 10 oraz OWASP ASVS (Application Security Verification Standard). Prace przeprowadzane s─ů w taki spos├│b aby odnale┼║─ç jak najwi─Öcej istotnych luk, a nie tylko tych, kt├│re opisane s─ů w metodyce. Przede wszystkim szukamy b┼é─Öd├│w, kt├│re realnie mog─ů zaszkodzi─ç biznesowi. Tego typu testy penetracyjne wykonywane s─ů g┼é├│wnie manualnie, celem wykrycia nieznanych b┼é─Öd├│w, takich kt├│re s─ů niemo┼╝liwe do wykrycia przez automatyczne oprogramowanie.

Testy penetracyjne aplikacji natywnych

Wykonujemy testy penetracyjne aplikacji desktopowych i testy penetracyjne aplikacji klient-serwer. Jeste┼Ťmy w stanie przetestowa─ç bezpiecze┼ästwo aplikacji napisanych na platformy Windows, Linux oraz OS X.

Testy penetracyjne aplikacji mobilnych

Przeprowadzamy testy penetracyjne aplikacji mobilnych na platformy iOS oraz Android. Opieramy si─Ö na OWASP Mobile (The Open Web Application Security Project), z uwzgl─Ödnieniem OWASP Mobile Top 10 oraz OWASP MASVS (Mobile Application Security Verification Standard) poszerzonymi o nasze do┼Ťwiadczenie w znajdowaniu luk w aplikacjach mobilnych.

Testy penetracyjne infrastruktury

Wykonujemy testy penetracyjne sieci ka┼╝dego typu (LAN/WAN/WLAN/Wi-Fi), zgodnie z metodyk─ů PTES (The Penetration Testing Execution Standard). Testy mog─ů by─ç wykonane zar├│wno z sieci zewn─Ötrznej (Internet, Wi-Fi itp) jak i wewn─Ötrznej (LAN, VPN). Dzi─Öki temu jeste┼Ťmy w stanie sprawdzi─ç infrastruktur─Ö tak jak gdyby atakuj─ůcy by┼é obecny w sieci wewn─Ötrznej organizacji, co szczeg├│lnie w przypadku system├│w Windows otwiera mo┼╝liwo┼Ť─ç na wykonanie szeregu gro┼║nych atak├│w.

Testy penetracyjne sieci LAN

Testy bezpiecze┼ästwa sieci lokalnej mog─ů by─ç wykonywane zar├│wno zdalnie, przez Internet (VPN) jak i lokalnie w siedzibie organizacji. R├│┼╝ni─ů si─Ö od typowych test├│w infrastruktury tym, ┼╝e pentester posiada dost─Öp taki sam jak intruz, kt├│remu uda┼éo si─Ö uzyska─ç dost─Öp do sieci wewn─Ötrznej. Nale┼╝y mie─ç tutaj r├│wnie┼╝ na uwadze, ┼╝e jest to r├│wnie┼╝ symulacja wewn─Ötrznego intruza, kt├│rym to mo┼╝e by─ç przyk┼éadowo nieuczciwy pracownik dzia┼éaj─ůcy na szkod─Ö przedsi─Öbiorstwa. Takie audyt bezpiecze┼ästwa sieci LAN pozwala na wi─Öksze spektrum atak├│w, na kt├│re wp┼éywa r├│wnie┼╝ wewn─Ötrzna konfiguracja sieci i system├│w, jak na przyk┼éad ustawienia systemu Windows.

Testy penetracyjne sieci Wi-Fi

Testy penetracyjne Wi-Fi to audyt bezpiecze┼ästwa sieci bezprzewodowych, kt├│ry polega na pr├│bach prze┼éamania zabezpiecze┼ä i mo┼╝e dotyczy─ç zar├│wno pr├│b dost─Öpu do niej jak i mo┼╝liwo┼Ťci eskalacji po uzyskaniu dost─Öpu, w ten spos├│b weryfikowana jest przyk┼éadowo separacja sieci czy klient├│w pod┼é─ůczonych do tego samego punktu dost─Öpu. Posiadamy najbardziej uznany certyfikat z zakresu test├│w bezpiecze┼ästwa sieci bezprzewodowych czyli OSWP (Offensive Security Wireless Professional).

Wykonujemy r├│wnie┼╝ inne ataki na klient├│w sieci bezprzewodowych, kt├│re s─ů cz─Ö┼Ťci─ů us┼éugi red teaming i polegaj─ů na atakach socjotechnicznych, przyk┼éadowo uruchomieniu fa┼észywego punktu dost─Öpowego.

Certyfikaty

Posiadamy nast─Öpuj─ůce certyfikaty z zakresu test├│w penetracyjnych i szeroko poj─Ötego cyberbezpiecze┼ästwa:

  • Offensive Security Certified Professional (OSCP) – ca┼éy zesp├│┼é pentester├│w
  • Offensive Security Wireless Professional (OSWP)
  • Offensive Security Certified Expert (OSCE)
  • GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
  • eLearnSecurity Web application Penetration Tester (eWPT)
  • eLearnSecurity Web application Penetration Tester eXtreme (eWPTX)
  • eLearnSecurity Mobile Application Penetration Tester (eMAPT)
  • Certified Ethical Hacker (CEH)
  • Certified Information Systems Security Professional (CISSP)
  • Certified Information Systems Auditor (CISA)

Koszt test├│w penetracyjnych

Cena test├│w penetracyjnych zale┼╝y g┼é├│wnie od czasoch┼éonno┼Ťci oraz z┼éo┼╝ono┼Ťci prac. Z oczywistych wzgl─Öd├│w, takich jak dodatkowe koszta, praca zdalna (przez Internet) jest ta┼äsza ni┼╝ praca wykonywana lokalnie u klienta. W celu dokonania dok┼éadnej wyceny prosimy o kontakt e-mailowy.

Testy penetracyjne zgodne z PCI DSS

Spełniamy wymagania Penetration Testing Guidance i wykonujemy testy penetracyjne w oparciu o zalecenia standardu PCI Data Security Standard (PCI DSS).

Ka┼╝dy tester penetracyjny posiada co najmniej najbardziej uznany na ┼Ťwiecie certyfikat z tego zakresu czyli OSCP (Offensive Security Certified Professional).

Poznaj nasz─ů┬áofert─Ö

Zajmujemy si─Ö realizacj─ů najbardziej zaawansowanych technicznych aspekt├│w cyberbezpiecze┼ästwa, zar├│wno z zakresu ataku jak i obrony. Dzi─Öki zr├│┼╝nicowanemu do┼Ťwiadczeniu w wielu specjalizacjach bezpiecze┼ästwa IT jeste┼Ťmy w stanie szerzej spojrze─ç na realizacj─Ö ka┼╝dej poszczeg├│lnej us┼éugi. Nasze umiej─Ötno┼Ťci wynikaj─ů z szerokiego i wieloletniego do┼Ťwiadczenia zawodowego w cyberbezpiecze┼ästwie oraz poparte s─ů certyfikatami, publikacjami i referencjami od znanych podmiot├│w.