testy penetracyjne

Testy penetracyjne są techniczną weryfikacją możliwości przełamania zabezpieczeń najczęściej aplikacji oraz infrastruktury w postaci sieci (również sieci bezprzewodowych) i systemów informatycznych (testy penetracyjne sieci).

Testy możliwe są w wariantach takich jak black box (testy czarnej skrzynki), gray box (testy szarej skrzynki) oraz white box (testy białej skrzynki). Testy czarnej skrzynki są audytem bezpieczeństwa z perspektywy realnego włamywacza, bez posiadania dodatkowej wiedzy, która nie jest ogólnodostępna. Testy szarej skrzynki natomiast to posiadanie dodatkowej wiedzy, bądź po prostu dostęp, na przykład do logów aplikacji. Testy białej skrzynki lub szklanej skrzynki polegają na audycie kodu aplikacji. W większości przypadków wykonywane są testy czarno i szaro skrzynkowe (w tym przypadku są to najczęściej konta użytkowników z różnymi uprawnieniami) ze względu na najlepszy czynnik ryzyka do ilości wykrywanych błędów i czasu jaki trzeba poświęcić na testy.

Posiadamy szerokie doświadczenie w pracy na najwyższych pentesterskich stanowiskach w międzynarodowych grupach bankowych. Wykonywaliśmy również testy penetracyjne dla wielu polskich banków oraz istytucji finansowych, na przykład dla wystawcy kart płatniczych. Nasze doświadczenie to nie tylko istytucje finansowe, ale też wiele znanych firm e-commerce, jak również podmioty z branży energetycznej oraz placówki medyczne. Nasze kwalifikacje poparte są najbardziej uznanymi technicznymi certyfikatami z zakresu testów penetracyjnych.

Wykonujemy testy bezpieczeństwa przede wszystkim aplikacji webowych (testy penetracyjne aplikacji webowych, bezpieczeństwo aplikacji internetowych) zgodnie z metodyką OWASP (wliczając w to OWASP Top Ten jak również OWASP ASVS) oraz infrastruktury zgodnie z metodyką PTES – są to najpopularniejsze metodyki podejścia, pokrywające analizę ryzyka oraz powszechnie wykorzystywane standardy i wymogi. Wykonywane przez nas testy pokrywają także analizę podatności (vulnerability assessment) ponieważ w pierwszej kolejności do wyszukiwania błędów wykorzystujemy automatyczne oprogramowanie takie jak skaner podatności czy fuzzer (fuzzing), a następnie w sposób manualny. Wynikiem czego jest nie tylko wyeliminowanie błędów false positive (błąd pierwszego typu) i umieszczenie w raporcie jedynie rzeczywiście występujących podatności, ale również wykrycie podatności, które nie są możliwe do zidentyfikowania przez automatyczne oprogramowanie (na przykład luki 0-day). Takie podejście pozwala na rzetelne wykonanie testów penetracyjnych, które polegają na symulacji prawdziwego ataku – a nie wykorzystaniu jedynie automatycznych narzędzi, których wyniki zazwyczaj nie są zgodne w pełni ze stanem faktycznym. Skanery podatności często nie wykrywają słabości lub też błędnie je oznaczają – w ataku nawet wykorzystanie z pozoru błahych błedów może skutkować przełamaniem zabezpieczeń. Automatyczne skanowanie jest dla nas jedynie dodatkiem i pomocą, a nie głównym sposobem na wykonanie testu penetracyjnego – co więcej w trakcie wykonywania prac niejednokrotnie sami tworzymy automatyczne narzędzia, które przyspieszają naszą pracę oraz większają szansę na znalezienie podatności.

Adam Ziaja jest autorem książki „Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux” (ISBN 978-83-01-19347-8) poruszającej tematykę informatyki śledczej i reagowania na incydenty (DFIR), wydanej przez Wydawnictwo Naukowe PWN. W książce zostały szczegółowo poruszone tematy ataków oraz ich wykrywania, kompletne zrozumienie ataków pozwala na lepsze wyniki samych testów penetracyjnych jak również wykonanie wysokiej jakości raportu, który jest najważniejszym efektem pracy testerów penetracyjnych.

Q&A

usług w zakresie bezpieczeństwa IT

Profesjonalne usług w obszarze bezpieczeństwa IT – red team (atak, ofensywne bezpieczeństwo) i blue team (obrona, defensywne bezpieczeństwo) w zakresie takim jak m.in. testy penetracyjne, red teaming, testy podatności, testy socjotechniczne, testy bezpieczeństwa, phishing, analiza powłamaniowa, threat hunting, threat intelligence, informatyka śledcza, reagowanie na incydenty, Security Operations Center (SOC), Intrusion Detection System (IDS), audyt kodu źródłowego, audyt konfiguracji, audyt bezpieczeństwa, biegły sądowy z zakresu informatyki poparte doświadczeniem, licznymi referencjami oraz branżowymi certyfikatami.

Ze względu na rozległe doświadczenie podejmujemy się również innych, nietypowych zleceń związanych z bezpieczeństwem teleinformatycznym. Zapraszamy do zapoznania się z naszymi sylwetkami zawodowymi.

Jesteśmy otwarci na partnerstwo biznesowe na zasadzie podwykonawstwa (w roli strony realizującej techniczne aspekty).

Referencje

ipn
Instytut Pamięci Narodowej (IPN)
onet
Onet
interia
Interia
wp
Wirtualna Polska
empik
Empik
home
Home.pl

Nota prawna

Wszystkie działania w tym przede wszystkim ataki są wykonywane w pełni legalnie, przez zarejestrowaną na terenie polski firmę Red Team. Działania podejmowane są tylko i wyłącznie w granicach polskiego prawa oraz wymagają pisemnej autoryzacji ze strony danej organizacji. Ataki realizowane są w sposób kontrolowany i mają za cel poprawę bezpieczeństwa, jak również zwiększenie świadomości pracowników na temat dzisiejszych zagrożeń takich jak ataki ukierunkowane (APT). W trakcie realizacji czynności dokładamy wszelkich starań, aby nie zakłócić pracy systemów. Wszystkie informacje pozyskane w trakcie prac traktowane są jako w pełni poufne, wliczając w to na życzenie również nazwę klienta.