testy penetracyjne

Testy penetracyjne

Testy penetracyjne to weryfikacja zabezpieczeń danego zasobu takiego jak sieci czy wszelkiego rodzaju aplikacje, od aplikacji webowych, przez aplikacje mobilne, po aplikacje klient-serwer oraz desktopowe.

Testy bezpieczeństwa IT

Jest to jedna z naszych głównych usług, posiadamy wieloletnie doświadczenie w testach bezpieczeństwa i dotychczas przeprowadziliśmy już kilkaset testów penetracyjnych dla wielu znanych międzynarodowych organizacji, od banków, przez firmy e-commerce, po instytucje państwowe i różnego rodzaju przedsiębiorstwa wchodzące w skład infrastruktury krytycznej. Wszyscy pentesterzy wykonujący testy bezpieczeństwa posiadają najbardziej uznany na świecie certyfikat OSCP (Offensive Security Certified Professional). Dodatkowo wiele innych certyfikatów, również z podziałem na poszczególne specjalizacje pentestów jak na przykład sieci bezprzewodowe (Wi-Fi) i certyfikat OSWP (Offensive Security Wireless Professional), czy też certyfikaty innych podmiotów, przykładowo GIAC Exploit Researcher and Advanced Penetration Tester (GXPN). Każdy pentester posiada ponadto wieloletnie doświadczenie zawodowe w zakresie testów bezpieczeństwa dla znanych podmiotów. Tym samym spełniamy z nawiązką wymagania standardów takich jak na przykład PCI DSS Penetration Testing Guidance. Wszystkie raporty tworzone są przez naszych konsultantów, a nie bezmyślnie generowane przez automatyczne oprogramowanie. Ponadto nasi testerzy penetracyjni znaleźli wiele słabości i luk w zabezpieczeniach powszechnie wykorzystywanego oprogramowania.

Testy penetracyjne blackbox

Zarówno testy penetracyjne systemów informatycznych jak i testy penetracyjne aplikacji mogą być przeprowadzane z perspektywy potencjalnego włamywacza, oznacza to, że tester penetracyjny nie posiada dodatkowych informacji ponad te, które są dostępne publicznie. Innymi słowy w przypadku audyt bezpieczeństwa systemu teleinformatycznego pentester nie ma dostępu do architektury danej sieci, informacji o systemach w niej występujących itp. Z kolei przeprowadzając audyt bezpieczeństwa strony internetowej etyczny haker nie posiada dodatkowych dostępów poza tymi, które może uzyskać samodzielnie np. poprzez rejestrację konta w systemie. Zazwyczaj przeprowadzając audyt bezpieczeństwa aplikacji webowych wykonujemy testy penetracyjne graybox, które polegają na udzieleniu dostępu do każdej z ról w aplikacji, a co pozwala na wykonanie testów bezpieczeństwa dla eskalacji uprawnień zarówno pionowych jak i poziomych. Pionowa eskalacja to przypadek w którym użytkownik o niższych uprawnieniach może uzyskać szerszy dostęp, natomiast eskalacja pozioma polega na możliwości uzyskania dostępu do zasobów przeznaczonych dla innego użytkownika o tych samych lub zbliżonych uprawnieniach.

Testy penetracyjne whitebox

Tego typu audyt bezpieczeństwa są rozszerzoną wersją testów penetracyjnych graybox i polegają na wykorzystaniu praktycznie pełnej wiedzy o testowanych zasobach. W przypadku audyt bezpieczeństwa stron internetowych jest to przykładowo dodatkowy dostęp do dokumentacji i kodu źródłowego aplikacji webowej, poza tym co pentester otrzymuje w przypadku testów blackbox.

Testy penetracyjne aplikacji webowych

Przeprowadzamy testy penetracyjne stron WWW zgodnie z najpopularniejszą i szeroko uznaną metodyką OWASP (The Open Web Application Security Project), z uwzględnieniem OWASP Top 10 oraz OWASP ASVS (Application Security Verification Standard). Prace przeprowadzane są w taki sposób aby odnaleźć jak najwięcej istotnych luk, a nie tylko tych, które opisane są w metodyce. Przede wszystkim szukamy błędów, które realnie mogą zaszkodzić biznesowi. Tego typu testy penetracyjne wykonywane są głównie manualnie, celem wykrycia nieznanych błędów, takich które są niemożliwe do wykrycia przez automatyczne oprogramowanie.

Testy penetracyjne aplikacji natywnych

Wykonujemy testy penetracyjne aplikacji desktopowych i testy penetracyjne aplikacji klient-serwer. Jesteśmy w stanie przetestować bezpieczeństwo aplikacji napisanych w językach takich jak C/C++/C# i Java, na platformach Windows, Linux oraz OS X.

Testy penetracyjne aplikacji mobilnych

Przeprowadzamy testy penetracyjne aplikacji mobilnych na platformy iOS oraz Android. Opieramy się na OWASP Mobile (The Open Web Application Security Project), z uwzględnieniem OWASP Mobile Top 10 oraz OWASP MASVS (Mobile Application Security Verification Standard) poszerzonymi o nasze doświadczenie w znajdowaniu luk w aplikacjach mobilnych.

Testy penetracyjne infrastruktury

Wykonujemy testy penetracyjne sieci każdego typu (LAN/WAN/WLAN/Wi-Fi), zgodnie z metodyką PTES (The Penetration Testing Execution Standard). Testy mogą być wykonane zarówno z sieci zewnętrznej (Internet, Wi-Fi itp) jak i wewnętrznej (LAN, VPN). Dzięki temu jesteśmy w stanie sprawdzić infrastrukturę tak jak gdyby atakujący był obecny w sieci wewnętrznej organizacji, co szczególnie w przypadku systemów Windows otwiera możliwość na wykonanie szeregu groźnych ataków.

Testy penetracyjne sieci LAN

Testy bezpieczeństwa sieci lokalnej mogą być wykonywane zarówno zdalnie, przez Internet (VPN) jak i lokalnie w siedzibie organizacji. Różnią się od typowych testów infrastruktury tym, że pentester posiada dostęp taki sam jak intruz, któremu udało się uzyskać dostęp do sieci wewnętrznej. Należy mieć tutaj również na uwadze, że jest to również symulacja wewnętrznego intruza, którym to może być przykładowo nieuczciwy pracownik działający na szkodę przedsiębiorstwa. Takie audyt bezpieczeństwa sieci LAN pozwala na większe spektrum ataków, na które wpływa również wewnętrzna konfiguracja sieci i systemów, jak na przykład ustawienia systemu Windows.

Testy penetracyjne sieci Wi-Fi

Testy penetracyjne Wi-Fi jest to audyt bezpieczeństwa sieci bezprzewodowych, który polega na próbach przełamania zabezpieczeń i może dotyczyć zarówno prób dostępu do niej jak i możliwości eskalacji po uzyskaniu dostępu, w ten sposób weryfikowana jest przykładowo separacja sieci czy klientów podłączonych do tego samego punktu dostępu. Posiadamy najbardziej uznany certyfikat z zakresu testów bezpieczeństwa sieci bezprzewodowych czyli OSWP (Offensive Security Wireless Professional).

Wykonujemy również inne ataki na klientów sieci bezprzewodowych, które są częścią usługi red teaming i polegają na atakach socjotechnicznych, przykładowo uruchomieniu fałszywego punktu dostępowego.

Dlaczego my?

Posiadamy bogate doświadczenie zawodowe na najwyższych stanowiskach związanych z realizacją testów penetracyjnych, wliczając w to zarówno międzynarodowe grupy bankowe jak i największe firmy konsultingowe – dotychczas wykonaliśmy setki pentestów. Każdy tester penetracyjny posiada co najmniej najbardziej uznany na świecie certyfikat z tego zakresu czyli OSCP (Offensive Security Certified Professional), a ponadto inne certyfikaty świadczące o kompetencjach w danych specjalizacjach ofensywnego bezpieczeństwa. Dzięki powyższym z nawiązką spełniamy zalecenia przykładowo standardu PCI DSS Penetration Testing Guidance. Nasza praca nie sprowadza się jedynie do uruchomienia automatycznego oprogramowania i wygenerowania raportu – prace wykonujemy przede wszystkim ręcznie, a tworzony przez nas raport zawiera konkretne i przydatne informacje. Zachęcamy do zapoznania się z naszymi sylwetkami oraz licznymi referencjami z zakresu realizacji testów bezpieczeństwa, które to dostępne są na życzenie. Na koniec warto również wspomnieć, że Paweł Wyleciał jest współzałożycielem i organizatorem uznanej międzynarodowej konferencji WarCon, skupionej wokół ofensywnych aspektów cyberbezpieczeństwa – jest to nie tylko nasza praca, a prawie 20-letnia pasja.

Testy penetracyjne koszt

Cena testów penetracyjnych zależy głównie od czasochłonności oraz złożoności prac. Z oczywistych względów, takich jak dodatkowe koszta, praca zdalna (przez Internet) jest tańsza niż praca wykonywana lokalnie u klienta. W celu dokonania dokładnej wyceny prosimy o kontakt e-mailowy.

Certyfikaty

Posiadamy następujące certyfikaty z zakresu testów penetracyjnych i szeroko pojętego cyberbezpieczeństwa:

  • Offensive Security Certified Professional (OSCP) – cały zespół pentesterów
  • Offensive Security Wireless Professional (OSWP)
  • Offensive Security Certified Expert (OSCE)
  • GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
  • eLearnSecurity Web application Penetration Tester (eWPT)
  • eLearnSecurity Web application Penetration Tester eXtreme (eWPTX)
  • eLearnSecurity Mobile Application Penetration Tester (eMAPT)
  • Certified Ethical Hacker (CEH)
  • Certified Information Systems Security Professional (CISSP)
  • Certified Information Systems Auditor (CISA)

Każdy tester penetracyjny posiada co najmniej najbardziej uznany na świecie certyfikat z tego zakresu czyli OSCP (Offensive Security Certified Professional).

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanym doświadczeniom w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.