testy penetracyjne

Testy penetracyjne

Testy penetracyjne to symulacja hakerskiego ataku, którego celem jest weryfikacja zabezpieczeń danego zasobu, takiego jak sieci czy wszelkiego rodzaju aplikacje, od aplikacji webowych, przez aplikacje mobilne, po aplikacje desktopowe oraz klient-serwer. Posiadamy 20 lat doświadczenia w cyberbezpieczeństwie i dotychczas wykonaliśmy setki testów penetracyjnych, zarówno dla różnego rodzaju biznesu jak i infrastruktury krytycznej.

Uzyskaj wycenę

Dlaczego usługi REDTEAM.PL?

Jesteśmy najbardziej doświadczonym zespołem na polskim rynku i najczęściej jesteśmy wybierani z powodu rozpoznawalnych konsultantów o najwyższych technicznych kompetencjach. Posiadamy ponad 20 lat doświadczenia w cyberbezpieczeństwie, dziesiątki podziękowań za odpowiedzialnie zgłoszone błędy w najpopularniejszym oprogramowaniu oraz ponad 60 imiennych referencji za zrealizowane usługi. Byliśmy autorami wielu uznanych publikacji Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) oraz Wydawnictwa Naukowego PWN. Ponadto nasze badania zostały uznane przez rozpoznawalne amerykańskie podmioty takie jak instytut SANS czy magazyn Forbes. Jesteśmy prekursorami większości specjalizacji cyberbezpieczeństwa, które realizowaliśmy zarazem jako jedni z pierwszych w kraju. Wszystkie nasze usługi wykonują tylko i wyłącznie doświadczeni eksperci, nie realizujemy zleceń przy pomocy osób bez wieloletniego praktycznego doświadczenia. Realizowane przez nas usługi to przede wszystkim najwyższa jakość niespotykana na polskim rynku – pod względem kompetencji i dokonań nie mamy sobie równych. Ponadto od kilkunastu lat posiadamy także status biegłego sądowego.

Poznaj kompetencje naszego zespołu

Nasz zespół odkrył i odpowiedzialnie zgłosił dziesiątki luk w zabezpieczeniach najbardziej znanych produktów powszechnie rozpoznawalnych globalnych marek, za co otrzymaliśmy liczne podziękowania od takich podmiotów jak między innymi:

VMware
Microsoft
Oracle
Google
Adobe
Mozilla

Testy bezpieczeństwa aplikacji (pentesty aplikacji)

Testy bezpieczeństwa IT (testy bezpieczeństwa systemów informatycznych, pentesty) są jedną z naszych głównych usług, posiadamy wieloletnie doświadczenie w testach cyberbezpieczeństwa i dotychczas przeprowadziliśmy już kilkaset testów penetracyjnych dla wielu znanych międzynarodowych organizacji, od banków, przez firmy e-commerce, po instytucje państwowe i różnego rodzaju przedsiębiorstwa wchodzące w skład infrastruktury krytycznej. Wszyscy pentesterzy wykonujący testy bezpieczeństwa posiadają najbardziej uznany na świecie certyfikat OSCP (Offensive Security Certified Professional), a dodatkowo wiele innych certyfikatów, również z podziałem na poszczególne specjalizacje pentestów jak na przykład sieci bezprzewodowe (Wi-Fi) i certyfikat OSWP (Offensive Security Wireless Professional), czy też certyfikaty innych podmiotów, przykładowo GIAC Exploit Researcher and Advanced Penetration Tester (GXPN). Każdy pentester posiada ponadto wieloletnie doświadczenie zawodowe w zakresie testów bezpieczeństwa dla znanych podmiotów. Tym samym spełniamy z nawiązką wymagania standardów takich jak na przykład PCI DSS Penetration Testing Guidance. Wszystkie raporty tworzone są przez naszych konsultantów, a nie bezmyślnie generowane przez automatyczne oprogramowanie. Nasi testerzy penetracyjni znaleźli wiele słabości i luk w zabezpieczeniach powszechnie wykorzystywanego oprogramowania, a dzięki czemu ich wiedza jest powszechnie uznana.

Profesjonalne testy penetracyjne

Dotychczas otrzymaliśmy ponad 60 imiennych referencji co jest wynikiem posiania przez nas bogatego i wieloletnie doświadczenie zawodowego na najwyższych technicznych stanowiskach związanych z realizacją testów penetracyjnych. Pracowaliśmy jako testerzy penetracyjni zarówno w międzynarodowych grupach bankowych (Paweł Wyleciał, Członek Zarządu RED TEAM, pracował jako lider zespołu pentesterów, a zarazem główny tester penetracyjny w brytyjskiej grupie bankowej RBS – Royal Bank of Scotland) jak i w największych na świecie firmach konsultingowych (Adam Ziaja, Prezes Zarządu RED TEAM, pracował jako starszy konsultant ofensywnego cyberbezpieczeństwa – wliczając w to pentesty i red teaming – w należącej do tzw. wielkiej czwórki globalnej firmie konsultingowej Deloitte).

“Cybersecurity researchers at Warsaw-based RED TEAM discovered a flaw in the way Safari handles sharing actions. Click in Safari to share a cute kitten picture with a friend and you could unknowingly pass critical information about your system to an attacker”

A Bug In Apple’s Safari Browser Could Let Hackers Steal Your Files
Forbes Magazine
Proces zamówienia testów bezpieczeństwa

Dotychczas wykonaliśmy dosłownie setki pentestów dla największych organizacji. Wliczając w to testy cyberbezpieczeństwa szerokiego spektrum instytucji finansowych, od praktycznie każdego rodzaju aplikacji bankowych udostępnianych klientom, przez mainframe giełdy i infrastrukturę fabryki kart płatniczych, po aplikacje obsługujące fizyczne wpłatomaty, sortownie gotówki banku czy giełdy kryptowalut. Nie sposób wskazać rodzaj informatycznych systemów, których jeszcze nie testowaliśmy ponieważ nasze doświadczenie pokrywa także najbardziej krytyczne państwowe aplikacje, sprzęt informatyczny wykorzystywany przez wojsko, różnego rodzaju podmioty medyczne czy wiele innych organizacji wchodzących w skład infrastruktury krytycznej. Nasze kompetencje to nie tylko weryfikacja zabezpieczeń skrajnie krytycznych systemów ale również prywatne przedsiębiorstwa takie jak e-commerce, w tym znane sieci sklepów, witryny konkursów dużych przedsiębiorstw czy też różnego rodzaju startupy.

Każdy tester penetracyjny posiada realne doświadczenie zawodowe i kompetencje na poziomie starszego konsultanta oraz co najmniej najbardziej uznany na świecie certyfikat z tego zakresu czyli OSCP (Offensive Security Certified Professional), zazwyczaj zdany kilka lat wcześniej, a ponadto inne certyfikaty świadczące o kompetencjach w danych specjalizacjach ofensywnego bezpieczeństwa. Wszystkie prace realizujemy nie tylko zgodnie z najpopularniejszymi metodykami, ale również wyniki poszerzone są o nasze bogate doświadczenie zawodowe, efektem czego zgłaszane błędy niejednokrotnie wykraczały poza zakres uwzględniany w metodykach. Dzięki powyższym z nawiązką spełniamy zalecenia przykładowo standardu PCI DSS Penetration Testing Guidance. Nasza praca nie sprowadza się jedynie do uruchomienia automatycznego oprogramowania i wygenerowania raportu – prace wykonujemy przede wszystkim ręcznie, a tworzony przez nas raport zawiera konkretne i przydatne informacje. Do testów przystępujemy z nastawieniem, że od jakości naszej pracy zależeć będzie nie tylko zadowolenie klienta, ale przede wszystkim bezpieczeństwo, którego słabości mogą pociągnąć za sobą daleko idące konsekwencje wykraczające poza daną organizację.

Ponadto otrzymaliśmy liczne i publicznie dostępne podziękowania za zgłoszone błędy bezpieczeństwa w powszechnie znanych produktach globalnych marek, m.in. Adobe, Apple, BlackBerry, Google, Microsoft, Netflix, Nokia i VMware. Przykładowo w 2019 roku znaleźliśmy krytyczną podatność w przeglądarce Chrome, która została oznaczona jako CVE-2019-13766 oraz otrzymaliśmy nagrodę i publicznie dostępne podziękowania od firmy Google. Dodatkowo otrzymaliśmy też podziękowania w formie pisemnych referencji od największych polskich portali takich jak Onet, Interia i Wirtualna Polska.

Warto również wspomnieć, że Paweł Wyleciał jest współtwórcą i organizatorem uznanej międzynarodowej konferencji WarCon, skupionej wokół ofensywnych aspektów cyberbezpieczeństwa – jest to nie tylko nasza praca, a prawie 20-letnia pasja, której poświęcamy się również w czasie wolnym. Adam Ziaja jest biegłym sądowym za zakresu informatyki z listy Sądu Okręgowego w Warszawie, ze szczególnym uwzględnieniem specjalizacji cyberbezpieczeństwo i hacking, a także autorem książki “Praktyczna analiza powłamaniowa” (ISBN 9788301193478), która została wydana w 2017 roku przez Wydawnictwo Naukowe PWN.

Nasza wiedza i doświadczenie pozwalają nam na symulowanie prawdziwych zaawansowanych hakerskich ataków na miarę XXI wieku. Zachęcamy do zapoznania się z naszymi sylwetkami oraz dostępnymi na życzenie licznymi referencjami od znanych podmiotów za realizację testów bezpieczeństwa.

Testy penetracyjne black-box

Zarówno testy penetracyjne systemów informatycznych jak i testy penetracyjne aplikacji mogą być przeprowadzane z perspektywy potencjalnego włamywacza (pentesty black box), oznacza to, że tester penetracyjny nie posiada dodatkowych informacji ponad te, które są dostępne publicznie. Innymi słowy w przypadku audyt bezpieczeństwa systemu teleinformatycznego pentester nie ma dostępu do architektury danej sieci, informacji o systemach w niej występujących itp. Z kolei przeprowadzając audyt bezpieczeństwa strony internetowej etyczny haker nie posiada dodatkowych dostępów poza tymi, które może uzyskać samodzielnie np. poprzez rejestrację konta w systemie.

Zazwyczaj przeprowadzając audyt bezpieczeństwa aplikacji webowych wykonujemy testy penetracyjne graybox, które dodatkowo pokrywają obszary aplikacji dostępne wyłącznie po uwierzytelnieniu, co pozwala na wykonanie testów horyzontalnych i wertykalnych eskalacji uprawnień między użytkownikami. Pionowa eskalacja to przypadek w którym użytkownik o niższych uprawnieniach może uzyskać szerszy dostęp, natomiast eskalacja pozioma polega na możliwości uzyskania dostępu do zasobów przeznaczonych dla innego użytkownika o tych samych lub zbliżonych uprawnieniach.

Testy penetracyjne white-box

Tego typu audyty bezpieczeństwa są rozszerzoną wersją testów penetracyjnych graybox i polegają na wykorzystaniu praktycznie pełnej wiedzy o testowanych zasobach. W przypadku audytu bezpieczeństwa stron internetowych jest to przykładowo dodatkowy dostęp do dokumentacji i kodu źródłowego aplikacji webowej, poza tym co pentester otrzymuje w stosunku do testów blackbox.

Testy penetracyjne aplikacji webowych

Przeprowadzamy testy bezpieczeństwa aplikacji webowych zgodnie z najpopularniejszą i szeroko uznaną metodyką OWASP (The Open Web Application Security Project), z uwzględnieniem OWASP Top 10, OWASP WSTG (Web Security Testing Guide) oraz OWASP ASVS (Application Security Verification Standard). Prace przeprowadzane są w taki sposób aby odnaleźć jak najwięcej istotnych luk, a nie tylko tych, które opisane są w metodyce. Przede wszystkim szukamy błędów, które realnie mogą zaszkodzić biznesowi. Tego typu testy penetracyjne wykonywane są głównie manualnie, celem wykrycia nieznanych błędów, takich które są niemożliwe do wykrycia przez automatyczne oprogramowanie.

Testy penetracyjne aplikacji natywnych

Wykonujemy testy penetracyjne aplikacji desktopowych i testy penetracyjne aplikacji klient-serwer. Jesteśmy w stanie przetestować bezpieczeństwo aplikacji napisanych na platformy Windows, Linux oraz OS X.

Testy penetracyjne aplikacji mobilnych

Przeprowadzamy testy penetracyjne aplikacji mobilnych na platformy iOS oraz Android. Opieramy się na OWASP Mobile (The Open Web Application Security Project), z uwzględnieniem OWASP Mobile Top 10, OWASP MSTG (Mobile Security Testing Guide) oraz OWASP MASVS (Mobile Application Security Verification Standard) poszerzonymi o nasze doświadczenie w znajdowaniu luk w aplikacjach mobilnych.

Testy penetracyjne sieci

Wykonujemy testy penetracyjne sieci komputerowej każdego typu (LAN/WAN/WLAN/Wi-Fi), zgodnie z metodyką PTES (The Penetration Testing Execution Standard). Testy penetracyjne infrastruktury mogą być wykonane zarówno z sieci zewnętrznej (Internet, Wi-Fi itp) jak i wewnętrznej (LAN, VPN). Dzięki temu jesteśmy w stanie sprawdzić infrastrukturę tak jak gdyby atakujący był obecny w sieci wewnętrznej organizacji, co szczególnie w przypadku systemów Windows otwiera możliwość na wykonanie szeregu groźnych ataków.

Graph

OSSTMM, OWASP, PCI DSS, PTES, NIST

Wszystkie testy bezpieczeństwa wykonywane są zgodnie z wytycznymi międzynarodowych standardów m.in. OSSTMM, OWASP, PCI DSS, PTES, NIST.

Testy bezpieczeństwa ICS SCADA

Przeprowadzamy testy bezpieczeństwa infrastruktury krytycznej, w tym sieci przemysłowych OT, ICS, DCS oraz SCADA. W 2020 roku na zaproszenie Ministerstwa Obrony Singapuru jako ofensywny zespół (red team) braliśmy udział w międzynarodowych ćwiczeniach Critical Infrastructure Security Showdown 2020 (CISS2020-OL) organizowanych przez Politechnikę w Singapurze (iTrust SUTD). Celem ćwiczenia był atak na infrastrukturę krytyczną w postaci stacji uzdatniania wody (SWaT). W trakcie ćwiczeń skutecznie udało się nam przełamać informatyczne zabezpieczenia i przejąć bezpośrednią kontrolę nad systemem SCADA HMI.

Testy bezpieczeństwa sieci

Testy penetracyjne sieci (pentesty sieci IT) mogą obejmować zarówno zewnętrzną infrastrukturę (Internet) jak i sieć lokalną (LAN), a co pozwala na weryfikację segmentacji sieci. Lokalny test penetracyjny sieci wyróżnia się tym, że pentester posiada dostęp taki sam jak intruz, któremu udało się uzyskać dostęp do sieci wewnętrznej. Należy mieć tutaj również na uwadze, że jest to również symulacja wewnętrznego intruza, którym to może być przykładowo nieuczciwy pracownik działający na szkodę przedsiębiorstwa. Takie audyt bezpieczeństwa sieci LAN pozwala na większe spektrum ataków, na które wpływa również kwestia wewnętrznej konfiguracji sieci i systemów, jak na przykład ustawienia środowiska Windows, w tym Domeny Windows (testy penetracyjne Active Directory).

Test penetracyjny sieci Wi-Fi

Testy penetracyjne Wi-Fi to audyt bezpieczeństwa sieci bezprzewodowych, który polega na próbach przełamania zabezpieczeń i może dotyczyć zarówno prób dostępu do niej jak i możliwości eskalacji po uzyskaniu dostępu, w ten sposób weryfikowana jest przykładowo separacja sieci czy klientów podłączonych do tego samego punktu dostępu. Posiadamy najbardziej uznany certyfikat z zakresu testów bezpieczeństwa sieci bezprzewodowych czyli OSWP (Offensive Security Wireless Professional).

Wykonujemy również inne ataki na klientów sieci bezprzewodowych, które są częścią usługi red teaming i polegają na atakach socjotechnicznych, przykładowo uruchomieniu fałszywego punktu dostępowego.

Certyfikaty

Posiadamy następujące certyfikaty z zakresu testów penetracyjnych i szeroko pojętego cyberbezpieczeństwa:

  • Offensive Security Certified Professional (OSCP) – cały zespół pentesterów
  • Offensive Security Wireless Professional (OSWP)
  • Offensive Security Certified Expert (OSCE)
  • GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
  • eLearnSecurity Web application Penetration Tester (eWPT)
  • eLearnSecurity Web application Penetration Tester eXtreme (eWPTX)
  • eLearnSecurity Mobile Application Penetration Tester (eMAPT)
  • Certified Ethical Hacker (CEH)
  • Certified Information Systems Security Professional (CISSP)
  • Certified Information Systems Auditor (CISA)

Testy techniczne zgodności z ustawą o Krajowym Systemie Cyberbezpieczeństwa

Przeprowadzamy testy techniczne weryfukujące cyberbezpieczeństwo w celu spełnienia wymogów audytu zgodnego z ustawą o Krajowym Systemie Cyberbezpieczeństwa (KSC).

Pentesty systemów OT/IoT

Przeprowadzamy pentesty systemów i urządzeń typu OT/IoT.

Testy penetracyjne cennik

Cena testów penetracyjnych zależy głównie od czasochłonności oraz złożoności prac. Z oczywistych względów, takich jak dodatkowe koszta, praca zdalna (przez Internet) jest tańsza niż praca wykonywana lokalnie u klienta. W celu dokonania dokładnej wyceny prosimy o kontakt e-mailowy.

Bezpieczeństwo pracy zdalnej

Przeprowadzamy testy penetracyjne infrastruktury przeznaczonej do pracy zdalnej. Na weryfikację bezpieczeństwa zasobów pracy zdalnej mogą składać się przykładowo: audyt konfiguracji builda systemu wykorzystywanego przez zdalnych pracowników, testy penetracyjne sieci wewnętrznej (sieci LAN po połączeniu przez VPN), testy socjotechniczne pracowników zdalnych.

Testy penetracyjne Warszawa

Jesteśmy firmą zarejestrowaną w Warszawie, natomiast działamy na terenie całego kraju i nie tylko.

Co to są testy penetracyjne?

Czym są testy penetracyjne? Testy penetracyjne to nic innego jak testy bezpieczeństwa pozwalające zweryfikować cyberbezpieczeństwo organizacji w wyniku przeprowadzenia sumulacji hakerskich ataków.

Certyfikacja PCI DSS, a pentesty

Z nawiązką spełniamy wytyczne PCI DSS Penetration Testing Guidance i wykonujemy testy penetracyjne zgodnie z zaleceniami standardu PCI DSS.

Na czym polegają testy penetracyjne?

Testy penetracyjne polegają na przeprowadzeniu symulacji ataków hakerskich celem znalezienia słabości, które mogłby wykorzystać cyberprzestępca.

Poznaj nasz zespół

Nasze sylwetki posiadają konkretne informacje o naszym bogatym doświadczeniu zawodowym, a dodatkowo poparte są najbardziej uznanymi branżowymi certyfikatami, publikacjami naukowymi oraz referencjami od znanych podmiotów (referencje dostępne są na życzenie).

Adam Ziaja
Adam Ziaja

Prezes Zarządu RED TEAM. Posiada poparte realnymi osiągnięciami szerokie techniczne kompetencje związane z cyberbezpieczeństwem, zarówno z zakresu ataku jak i obrony.

czytaj więcej…

Paweł Wyleciał
Paweł Wyleciał

Członek Zarządu RED TEAM. Od wielu lat skupia się na wszelkiego rodzaju ofensywnych aspektach cyberbezpieczeństwa i w tym zakresie posiada liczne dokonania.

czytaj więcej…

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.