Testy penetracyjne

Testy penetracyjne stanowią jeden z podstawowych sposobów ochrony systemów informatycznych przed atakami intruzów. Celem testów jest identyfikacja jak największej liczby podatności i uchybień mogących stanowić zagrożenie dla bezpieczeństwa infrastruktury teleinformatycznej organizacji.

Badanie polega na symulacji działania włamywacza w obrębie ustalonego zakresu systemów i aplikacji. Testom penetracyjnym poddawane są zarówno pojedyncze systemy, usługi, aplikacje webowe jak i złożone środowiska informatyczne wraz ze stacjami roboczymi i urządzeniami sieciowymi. Scenariusze symulowanych ataków w zależności od potrzeb Klienta mogą obejmować pasywne próby przełamania zabezpieczeń, zdobycia określonych informacji, eskalacji przywilejów czy penetracji sieci prywatnych. Próby ataków odbywają się z ustalonych adresów sieci publicznej lub prywatnej, z zerową wiedzą o funkcjonowaniu systemów lub z góry ustalonym scenariuszem, np. eksperci dysponują danymi uwierzytelniającymi do określonych zasobów, rolami w obrębie testowanych aplikacji webowych, itp. Istotnym etapem poprzedzającym testy penetracyjne jest ustalenie zakresu badania, tak aby możliwie rzeczywiście odzwierciedlało prawdziwe scenariusze zagrożeń.

Powszechną praktyką dostawców systemów informatycznych jest brak gwarancji ich bezpieczeństwa. Ciężar odpowiedzialności za odpowiednie zabezpieczenie aplikacji spoczywa na odbiorcy systemu. Zintegrowanie i stopień skomplikowania współcześnie wykorzystywanych systemów w znacznym stopniu utrudnia skuteczną weryfikacje ich poprawności bez specjalistycznej ekspertyzy. Co więcej organizacja dbająca o odpowiedni poziom zabezpieczeń swoich zasobów zmuszona jest do działań kompleksowych, podczas gdy intruz zazwyczaj wybiera najsłabszy punkt infrastruktury, w skrajnych przypadkach będący poza jurysdykcją organizacji, np. firma hostingowa dostarczająca usługi organizacji. Z tego względu zapewnienie odpowiedniego poziomu bezpieczeństwa w ogranizacji wiąże się z potrzebą przeprowadzania okresowych testów, symulujących prawdziwe działania intruzów. Dzięki temu możliwa jest identyfikacja zagrożeń, które bywają niedostrzegalne z perspektywy samej organizacji.

Współpracując z naszymi ekspertami dowiesz się m.in. jakiej jakości pod względem bezpieczeństwa są Twoje systemy i konfiguracje, czy członkowie Twojej organizacji stosują się do wytycznych polityki bezpieczeństwa, uzyskasz odpowiedź jakie realne zagrożenia niosą ze sobą wykryte podatności i w jaki sposób możesz je wyeliminować. Stosowana przez nas metodyka przeprowadzania testów manualnie wspomagana narzędziami automatycznymi umożliwia identyfikację problemów nietypowych oraz zapewnia najwyższą jakość usług, daje gwarancję oceny zagrożeń informatycznych w kompleksowy i jednocześnie szczegółowy sposób.



Przykładowy przebieg testu penetracyjnego:

  • Ustalenia dotyczące zakresu testu.
  • Wstępny rekonesans.
  • Identyfikacja podatności.
  • Próby wykorzystania podatności i eskalacji.
  • Raport techniczny wraz z zaleceniami naprawczymi.
  • Konsultacja raportu.
  • Raport końcowy wraz z podsumowaniem dla kadry zarządzającej.

  • Działania naprawcze po stronie organizacji lub dostawcy oprogramowania.
  • Opcjonalny retest.


Jeśli masz pytania, chcesz uzyskać więcej informacji skontaktuj się z naszymi ekspertami.