You are here:

Data Security /Pentests

Contact us

free consultation

Pentesty

Testy penetracyjne to kontrolowane ataki na zasoby organizacji lub jej poszczególne elementy. Jest to  forma etycznego hackingu - celowa próba symulowanych cyberataków wykonywanych przez testerów penetracyjnych przy użyciu różnorodnych strategii i specjalistycznych narzędzi przeznaczonych do uzyskania dostępu lub wykorzystania systemów komputerowych, sieci, stron internetowych i aplikacji. Pentesty pozwalają zobaczyć rzeczywisty poziom bezpieczeństwa informacji - identyfikują realne zagrożenia, które mogą być skutecznie wykorzystane podczas cyberataku. Pentest może również wykazać, czy system jest wystarczająco solidny i jest w stanie wytrzymać ataki z pozycji uwierzytelnionych i nieuwierzytelnionych, porównać zgodność organizacji z przepisami, zbadać świadomość bezpieczeństwa pracowników, określić zdolność organizacji do identyfikacji i reagowania na problemy bezpieczeństwa.


SC2labs oferuje profesjonalne testy penetracyjne na dowolnej infrastrukturze informatycznej firmy.


W zależności od Państwa potrzeb oferujemy :

  • Testy penetracyjne aplikacji internetowych i API 
  • Testy penetracyjne aplikacji mobilnych
  • Testy penetracyjne zgodne z wymaganiami PCI
  • Testy penetracyjne  wewnętrzne i/lub zewnętrzne
  • Testy typu black-box (bez jakiejkolwiek znajomości testowanego  środowiska)
  • Testy typu grey-box (częściowa znajomość systemu testowego)
  • Testy typu white-box (pełna znajomość systemu testowego)

Test bezpieczeństwa aplikacji internetowych i API koncentruje się wyłącznie na wykrywaniu podatności/błędów, które mogą zostać wykorzystane w aplikacjach internetowych lub usługach API, wspierających modele biznesowe i przepływy informacji. Do przeprowadzenia audytu aplikacji internetowych wykorzystujemy sprawdzone w branży metodologie i najlepsze praktyki, takie jak OWASP ASVS i NIST Special Publication 800-95: Guide to Secure Web Services.

Podczas prowadzenia oceny bezpieczeństwa, testerzy łączą dynamiczne testy  i analizę manualną, wspomaganą przez specjalistyczne narzędzia:

  • Manualna (dynamiczna) analiza bezpieczeństwa wobec oprogramowania
  • Zautomatyzowana (dynamiczna) analiza bezpieczeństwa oprogramowania
  • Zautomatyzowana statyczna analiza bezpieczeństwa kodu (Java Script / Client Side).

Testy penetracyjne/ocena bezpieczeństwa aplikacji mobilnych obejmuje:


  • Audyty bezpieczeństwa oprogramowania, w których testerzy bezpieczeństwa manualnie sprawdzają, czy wymagania bezpieczeństwa zostały spełnione
  • Manualny przegląd/testy bezpieczeństwa w zakresie wymaganych funkcji bezpieczeństwa
  • Manualny przegląd/testy bezpieczeństwa w zakresie architektury bezpieczeństwa
  • Kontrola bezpieczeństwa w komunikacji urządzenie-serwer / przepływy danych / usługi internetowe
  • Testy bezpieczeństwa w zakresie mechanizmów uwierzytelniania i autoryzacji
  • Testy bezpieczeństwa danych generowanych i przechowywanych przez natywną aplikację mobilną (logi, raporty) versus ochrona danych i prywatności użytkowników.


Testy penetracyjne sprawdzają również "business logic" wykorzystując zaimplementowane funkcjonalności i szukając scenariuszy nadużyć przed:

  • podszywaniem się pod użytkownika
  • podniesieniem poziomu przywilejów
  • naruszeniem prywatności użytkowników
  • nieuprawnionym dostępem
  • manipulacją parametrami krytycznymi i dostępem do nieautoryzowanych informacji/treści
  • wykorzystaniem ograniczeń biznesowych
  • dostępem do plików lub nieautoryzowanych adresów URL i  ekstrakcją informacji biznesowych
  • innymi  potencjalnie możliwymi  do zastosowania atakami na testowaną aplikację mobilną i odpowiadające jej API.

Nasze ogromne doświadczenie w obszarze bezpieczeństwa pozwalają na bezpieczne badanie testowanego środowiska i dostarczanie jasnych rekomendacji biznesowych i technologicznych, jak podnieść bezpieczeństwo aplikacji na wyższy poziom, eliminując zagrożenia wynikające z odkrytych luk bezpieczeństwa.

Test penetracyjny PCI  to pentest, który ma określone wymagania w ramach PCI DSS w celu weryfikacji ochrony danych posiadaczy kart. Testy penetracyjne PCI DSS mają za zadanie obejmować ocenę infrastruktury sieciowej i aplikacji zarówno z zewnątrz, jak i wewnątrz środowiska sieciowego organizacji.

Testy penetracyjne PCI DSS muszą być przeprowadzone na kompletnym środowisku danych posiadaczy kart (CDE) organizacji i obejmują wszelkie systemy, które mogą mieć wpływ na bezpieczeństwo CDE. Pentest PCI pomaga zidentyfikować niebezpieczne konfiguracje systemów i sieci, znane lub nieznane wady sprzętu lub oprogramowania, nieautoryzowane  sieci, niewłaściwe kontrole dostępu oraz słabości operacyjne w zakresie procesowych lub technicznych środków zaradczych.

Wymagania w PCI DSS:

Wymagania PCI DSS 11.4.1 i 11.4.2 stwierdzają, że wewnętrzne i zewnętrzne testy penetracyjne muszą być przeprowadzane co najmniej raz w roku oraz po wszelkich znaczących zmianach - na przykład aktualizacjach lub modyfikacjach infrastruktury lub aplikacji albo po zainstalowaniu nowych komponentów systemu.

Punkt  11.4.5  zakłada natomiast  przeprowadzenia testów penetracyjnych kontroli segmentacji sieci.



Podczas wewnętrznych  i zewnętrznych testów  penetracyjnych jak również testów segmentacyjnych  sieci audytorzy przy użyciu manualnych  i półautomatycznych narzędzi ocenią stan bezpieczeństwa testowanego środowiska.
Test bezpieczeństwa jest przeprowadzany z pełnym poszanowaniem biznesu klienta, zgodnie z ustalonymi zasadami komunikacji, dzięki czemu ryzyko przerwania świadczenia usług jest minimalne.

Zewnętrzne testy bezpieczeństwa to przeglądanie stanu bezpieczeństwa środowiska w sposób, w jaki jest ono postrzegane z zewnątrz  - zazwyczaj z Internetu - w celu ujawnienia luk, które mogłyby zostać wykorzystane przez zewnętrznego hakera.
Testy zewnętrzne często rozpoczynają się od technik rozpoznawczych - przeszukiwane są dane rejestracyjne, informacje o serwerach Domain Name System (DNS), wpisy w grupach dyskusyjnych i inne publicznie dostępne informacje (np. nazw systemów, adresów Internet Protocol [IP], systemów operacyjnych, technicznych punktów kontaktowych), które mogą pomóc pentesterom w zidentyfikowaniu podatności. Następnym etapem jest enumeracja która rozpoczyna się od wykorzystania technik wykrywania i skanowania sieci w celu określenia zewnętrznych hostów i usług nasłuchujących. Ponieważ zabezpieczenia obwodowe, takie jak zapory sieciowe, routery i listy kontroli dostępu, często ograniczają rodzaje ruchu dozwolonego w sieci wewnętrznej, audytorzy często stosują techniki, które pozwalają ominąć te zabezpieczenia - tak jak robiliby to cyberprzestepcy.

Podczas testów bezpieczeństwa wewnętrznego  asesorzy pracują zdalnie, korzystając z dostępu VPN do sieci wewnętrznej i przyjmują tożsamość zaufanego insidera lub napastnika, który przeniknął do środowiska.
Do przeprowadzenia wewnętrznej oceny bezpieczeństwa najlepiej wykorzystać maszyny wirtualne oparte na systemie Kali Linux, które powinny być umieszczone w testowanej sieci i dostępne dla audytora. Maszyna Kali Linux powinna być dostępna dla audytora tylko poprzez VPN wyposażony w wiele (wirtualnych) interfejsów sieciowych przypisanych do wszystkich segmentów sieci w zakresie CDE oraz wybranych 2 sieci nie będących w zakresie CDE. Umieszczenie maszyny Kali Linux jest traktowane jako tymczasowe i nie jest uwzględniane w ocenie bezpieczeństwa.


Ocena bezpieczeństwa sieci wewnętrznej i zewnętrznej  obejmuje również  takie platformy jak Amazon Web Services, Microsoft Azure, Google Cloud Platform. 

Stosujemy różnorodne standardy i metodologie, takie jak:

Typowy scenariusz testu penetracyjnego składa się z następujacych kroków:

  • wstępna analiza systemu/komponentów

  • testy i analiza podatności na zagrożenia

  • kontrolowane ataki

  • ocena skuteczności ataków, analiza ryzyka

  • opracowanie szczegółowego raportu z wynikami prowadzonych testów