Testy penetracyjne sieci i systemów komputerowych

Testy penetracyjne sieci i systemów komputerowych

cel

Celem testu penetracyjnego sieci i systemów jest przełamanie zabezpieczeń i dostanie się do chronionych maszyn czy zasobów. W ramach tego typu testów mogą zostać wykorzystane również podatności w aplikacjach wykorzystywanych przez klienta (np. strony WWW, aplikacje intranetowe, itp.).

Funkcjonują ogólne standardy i zalecenia odnośnie testów penetracyjnych, pozwalające usystematyzować pracę testerow, a osobom mniej technicznym zrozumieć scenariusz i ogólny charakter usługi.
Jednak testy penetracyjne to w dużym zakresie proces kreatywny. Praktycznie nie ma dwóch jednakowych testów penetracyjny. Poszczególne etapy i podejmowane akcje wynikają z uzyskiwanych na bieżąco rezultatów oraz rekonesansu.

Działamy z pasją i doświadczeniem

Podczas testów penetracyjnych sieci i systemów testuje się każdy możliwy wektor ataku, który może zostać wykorzystany w określonej infrastrukturze IT.

Każda firma posiada swoje własne, wypracowane metody pracy wynikające wprost z jej wiedzy i doświadczeń.

Poniżej lista punktów, które są zawsze w centrum naszych działań w ramach omawianych testów penetracyjnych.

Bezpieczeństwo sieci

sprawdzenie bezpieczeństwa haseł
ocena zabezpieczeń przełączników sieciowych,
ocena zabezpieczeń routerów,
ocena zabezpieczeń zapór sieciowych/unikanie zapór sieciowych,
ocena zabezpieczeń systemu wykrywania włamań (IDS),
ocena zabezpieczeń sieci VPN (ang. Virtual Private Network),
ocena zabezpieczeń systemu antywirusowego i strategii zarządzania,
ocena zabezpieczeń sieci SAN (ang. Storage Area Network),
ocena zabezpieczeń sieci WLAN (ang. Wireless Local Area Network),
ocena zabezpieczeń użytkowników korzystających z internetu,
ocena zabezpieczeń urządzeń wykorzystywanych do komunikacji VoIP,
ocena zabezpieczeń innych urządzeń sieciowych, np. kamer przemysłowych, czytników RFID, itp.
ocena innych protokołów sieciowych.

Bezpieczeństwo systemów komputerowych

ocena zabezpieczeń systemów UNIX/Linux,
ocena zabezpieczeń systemów Windows,
ocena zabezpieczeń serwerów
m.in.: bezpieczeństwo baz danych, WWW, SMTP, FTP, DNS, DHCP, kontrolery domen i wiele innych.

Testy penetracyjne sieci i systemów nie skupiają się na aplikacjach samych w sobie, w związku z czym nie stanowią wyczerpującego testu aplikacji pozwalającego zweryfikować ich poziom bezpieczeństwa.

Test penetracyjnych aplikacji jest złożonym procesem charakteryzujący się nieco odmienną metodologią, którego celem jest dokładna weryfikacja poziomu bezpieczeństwa aplikacji, a w ramach tego identyfikacja jak największej liczby możliwych podatności.

Podejścia do testów penetracyjnych

Black-Box

Pentester otrzymuje od klienta tylko szczątkowe informacje jak nazwę firmy lub domeny, którą będzie testował (czasem, w celu uniknięcia ewentualnych nieścisłości udostępnia się również informacje na temat publicznych adresów IP klienta) – nie posiada żadnych dodatkowych informacji o infrastrukturze oraz nie posiada fizycznego dostępu do tej infrastruktury. Atak odbywa się z sieci publicznej, jednak do testów mogą być włączone również testy sieci Wi-Fi (bez fizycznego dostępu do pomieszczeń czy obszarów, niedostępnych publicznie). Bardzo duży nacisk kładzie się tutaj na rekonesans, czyli odpowiednie rozeznanie i zebranie jak największej liczby informacji celu.
Korzyści płynące z tego podejścia to przede wszystkim odzwierciedlenie realnego ataku z jakim może się zmierzyć organizacja. Na uwadze jednak trzeba mieć fakt, że przy tym podejściu znacznie trudniej jest określić koszty oraz zakres usługi w związku z czym uzyskane rezultaty są podstawą do wskazania kolejnych obszarów, które warto poddać testom, a które nie zmieściły się w określonym wcześniej budżecie.

White-Box

W przypadku tego podejścia testujący posiada sporą wiedzę o badanej infrastrukturze. Tego typu testy bardzo często odbywają się z również z wnętrza badanej infrastruktury. Po stronie klienta leży więc zapewnienie testującym fizycznego dostępu do sieci. Podejście white-box nie determinuje ilości informacji jaką powinien dostarczyć pentesterom klient. Jest to przede wszystkim zależne od woli klienta, ale również jego możliwości Dzięki temu podejściu można zaoszczędzić czas, który normalnie byłby poświęcony na rekonesans – to klient decyduje czy testujący mają ograniczyć się do informacji, jakie uzyskali od klienta czy mają wyszukać dodatkowe informacje dostępne np. w sieci.
Podejście white-box pozwala na dokładniejszą wycenę usługi, jednak wymaga większego zaangażowania klienta od początku przygotowania usługi.

Grey-Box

To podejście jest hybrydą dwóch poprzednich. Tester penetracyjny otrzymuje wybrane dane na temat celów, jednak są one znacznie bardziej ograniczone niż w przypadku podejścia white-box. Jest to dobry kompromis i najczęściej spotykane podejście.

Ważne

Do przeprowadzania testów penetracyjnych na systemach i komputerach klienta nie wykorzystujemy szkodliwego oprogramowania (ang. malware).
Wszystkie wykorzystywane przez nasz zespół narzędzia są albo autorskie, albo zostały poddane dokładnym testom weryfikującym.
Nie istnieje więc niebezpieczeństwo utraty kontroli nad procesem testu penetracyjnego czy niekontrolowanej infekcji systemów klienta.

Masz pytania?
Chcesz zamówić usługę testów penetracyjnych?
Potrzebujesz więcej informacji?

Skontaktuj się z nami

home-cybersecurity-contact-bg-image browser
Sprawdź bezpieczeństwo swojej firmy i zdecyduj się na profesjonalne testy penetracyjne!