Testy bezpieczeństwa
Testy bezpieczeństwa, nazywane również testami penetracyjnymi, są symulacją rzeczywistego ataku na system informatyczny organizacji lub jego poszczególne elementy. Głównym celem testów bezpieczeństwa jest wykrycie luk bezpieczeństwa oraz zweryfikowanie ich podatności na zagrożenia, zanim zostaną one wykryte (i wykorzystane) przez intruzów.

Typowy test bezpieczeństwa składa się z następujących po sobie etapów:
  • Rozpoznanie badanego systemu informatycznego lub jego elementów
  • Analiza podatności na zagrożenia na podstawie uzyskanych informacji
  • Wykonanie kontrolowanych ataków i zweryfikowanie podatności
  • Sporządzenie listy wykrytych luk wraz z oceną realnego zagrożenia
Wykonywane przez nas testy bezpieczeństwa mogą obejmować swoim zakresem cały system informatyczny – począwszy od sieci LAN/WAN, poprzez przełączniki i rutery, serwery, systemy operacyjne, bazy danych, serwery usług, aplikacje, aż po stacje robocze użytkowników końcowych i urządzenia mobilne. Oprócz kompleksowych testów bezpieczeństwa, wykonujemy również testy bezpieczeństwa wybranych elementów systemu informatycznego: W zależności od przyjętego zakresu testu bezpieczeństwa i potrzeb biznesowych Klientów, podatność systemu na zagrożenia badamy z jednej lub wielu perspektyw:
  • Z perspektywy "zerowej" wiedzy o testowanym obiekcie („black-box testing”) – na przykład atak osoby nie posiadającej żadnej wiedzy o organizacji i jej systemie informatycznym
  • Z perspektywy częściowej wiedzy o testowanym obiekcie („gray-box testing”) – na przykład atak ze strony osoby, która posiada informacje z jakich wersji systemów korzysta Klient
  • Z perspektywy pełnej wiedzy o obiekcie („white-box testing”) – na przykład atak ze strony pracownika organizacji, posiadającego wgląd do schematów sieci, dokumentacji czy kodu żródłowego aplikacji
Na życzenie Klientów wykonujemy również testy wykorzystujące elementy socjotechnik, celem weryfikacji możliwości manipulacji personelem organizacji w celu obejścia wdrożonych procedur i mechanizmów bezpieczeństwa.

W zależności od celów stawianych przed testami bezpieczeństwa, testy mogą być wykonywane również bez wiedzy administratorów i wewnętrznego zespołu bezpieczeństwa organizacji (tzw. „double-blind test”), co jest szczególnie przydatne podczas weryfikacji czy wdrożone systemy wykrywania i reagowania na incydenty oraz procedury bezpieczeństwa działają w praktyce.

Wyniki testów bezpieczeństwa

Wynikiem każdego testu bezpieczeństwa jest szczegółowy raport opisujący odkryte luki w testowanych elementach systemu informatycznego Klienta.

Typowy raport z testu bezpieczeństwa zawiera:
  • Streszczenie dla Kierownictwa wyższego szczebla
  • Zakres testu bezpieczeństwa i opis przeprowadzonych działań
  • Listę wykrytych zagrożeń i nieprawidłowości
  • Ocenę wykrytych zagrożeń w uzgodnionej z Klientem skali ocen
  • Propozycje usprawnień mające na celu wyeliminowanie wykrytych zagrożeń
Korzyści

Wykonywanie testów bezpieczeństwa niesie ze sobą następujące korzyści dla Klientów:
  • Uzyskanie niezależnego, rzeczywistego obrazu poziomu bezpieczeństwa testowanych elementów systemu informatycznego organizacji
  • Praktyczną weryfikację skuteczności wdrożonych środków bezpieczeństwa
  • Praktyczną weryfikację pracy systemów wykrywania oraz przeciwdziałania włamaniom
  • Sprawdzenie prawidłowości postępowania personelu w odpowiedzi na przeprowadzane ataki
  • Wykrycie i możliwość eliminacji luk bezpieczeństwa zanim zostaną one wykorzystane przez przestępców i organizacja poniesie straty finansowe lub utraci zaufanie klientów
  • Spełnienie wymagania przeprowadzania okresowych testów bezpieczeństwa, wynikających z wytycznych rządów lub współpracujących podmiotów gospodarczych (na przykład PCI DSS)
Gwarancja jakości

W celu zapewnienia najwyższej jakości, testy bezpieczeństwa wykonujemy w oparciu o uznane standardy i najlepsze praktyki bezpieczeństwa (OWASP, OASIS Web Application Security Technical Committee, NIST, OSSTMM i inne), testy manualne, wykorzystanie narzędzi automatyzujących przeprowadzanie testów, stale udoskonalane wewnętrzne metodyki przeprowadzania testów bezpieczeństwa oraz aktualne bazy o podatnościach i lukach bezpieczeństwa.
© 2010-2012 Prevenity Sp z o.o. Wszelkie prawa zastrzeżone.    O Firmie | Informacje prawne | Kontakt | Mapa Serwisu