Testy bezpieczeństwa – mogą mieć charakter kontrolowanego ataku hakerskiego na serwis Internetowy w wyniku którego określimy miejsca, które dodatkowo należy zabezpieczyć przed cyberprzestępcami lub które są źródłem zagrożeń. Testy służą wykryciu podatności na różnego rodzaju ataki, wykorzystujemy do tego własne narzędzia. Potencjalne błędy w serwisach i aplikacjach webowych mogą doprowadzić do poważnych konsekwencji, w tym: wykradanie danych, włamań na serwery, zmian haseł użytkowników, zmian lub usunięcie danych, podmiana treści na stronach. W raporcie z testów wskazujemy zagrożone obszary oraz rekomendujemy zastosowanie odpowiednich zabezpieczeń.
Testy bezpieczeństwa, zwane również testami penetracyjnymi, polegają na identyfikacji i ocenie luk bezpieczeństwa w oprogramowaniu systemowym i aplikacyjnym. Umożliwiają weryfikację odporności systemów lub aplikacji na już znane oraz potencjalne zagrożenia.
Regularne testy bezpieczeństwa infrastruktury i aplikacji, zapewniają:
– pozyskanie wiedzy o występujących lukach w zabezpieczeniach i konfiguracji oraz szybkie ich zabezpieczenie, zanim zostaną wykorzystane przez intruzów lub złośliwe oprogramowanie,
– ochronę przed skutkami pozostawionych błędów w zabezpieczeniach i kodzie aplikacji po ostatnich zmianach,
– większą wiarygodność i zaufanie partnerów biznesowych po przedstawieniu certyfikatu i wyników testów bezpieczeństwa,
– świadome zarządzanie ryzykami w oparciu o rzetelne wyniki testów.
Testy realizujemy metodami automatycznymi lub manualnymi.
Do testów automatycznych wykorzystujemy renomowane narzędzia (skanery) komercyjne.
Testy penetracyjne manualne polegają zwykle na symulacji rzeczywistych ataków i realizowane są z wykorzystaniem narzędzi komercyjnych, niekomercyjnych oraz autorskich skryptów, a ich skuteczność w dużej mierze uzależniona jest od wiedzy i doświadczenia pentestera.
Testy penetracyjne manualne pozwalają na identyfikację luk bezpieczeństwa niewykrywalnych przez skanery automatyczne. W przypadku aplikacji web i mobilnych, mogą być uzupełnione o wnikliwą analizę kodu.
Wiedza o lukach w oprogramowaniu lub niewłaściwej konfiguracji systemów, pozwala na świadome zarządzanie ryzykami i stosowanie odpowiednich planów postępowania.
Realizujemy testy bezpieczeństwa w zakresie:
• aplikacji WEB i serwisów www,
• aplikacji mobilnych,
• platform systemowych,
• serwerów aplikacyjnych i bazodanowych,
• systemów buckupu oraz poczty elektronicznej,
• protokołów komunikacyjnych,
• innym, w zależności od występujących ryzyk, po uzgodnieniu z klientem.
Po przeprowadzonych testach dostarczamy informacji niezbędnych do zabezpieczenia znalezionych luk.
Cechy charakterystyczne obu metod.
Testy automatyczne z wykorzystaniem narzędzi komercyjnych:
• wykrywalność najważniejszych luk bezpieczeństwa: 80%,
• krótki czas realizacji,
• ekonomiczny wariant cenowy,
• ze względu na korzystną relację kosztów do efektów są częściej stosowane (np. raz na kwartał).
Testy manualne z wykorzystaniem narzędzi komercyjnych oraz autorskich skryptów:
• wykrywalność luk bezpieczeństwa: 99%,
• długi czas realizacji zależny od specyfiki i zaawansowania badanych systemów i aplikacji,
• relatywnie wysokie koszty realizacji,
• po usunięciu podatności wydajemy certyfikat bezpieczeństwa,
• ze względu na koszty realizowane są rzadziej (np. raz na rok) i uzależnione są od ryzyk (zmiany w aplikacji, rekonfiguracja systemu, zmiana dostawcy usługi, itp.).
Zalecamy częste przeprowadzanie testów automatycznych, które pozwalają na szybką identyfikację najważniejszych luk. Testy automatyczne są elementem podstawowej higieny w zakresie cyberbezpieczeństwa.
Przygotowujemy i szkolimy organizacje w zakresie zarządzania podatnościami i samodzielnego wykonywania testów automatycznych z wykorzystaniem narzędzi komercyjnych.
