Testy penetracyjne

Celem testów penetracyjnych jest weryfikacja czy infrastruktura informatyczna oraz posiadane przez firmę systemy IT są bezpieczne, w szczególności odporne na włamania i inne działania hackerskie.

Czy Twoja firma jest gotowa na atak hakerów?

Badanie wykonywane jest poprzez symulację działań wykonywanych przez hackerów w celu uzyskania nieautoryzowanego dostępu do wrażliwych dla organizacji zasobów informacyjnych, np. systemów czy sieci.

Ponieważ aplikacje webowe przetwarzają cenne dane, są one coraz częściej atakowane przez hakerów. Poniżej przedstawiamy wnioski płynące z danych europejskiej agencji ENISA:

• Praktycznie każda aplikacja webowa posiada luki systemowe, umożliwiające cyberprzestępcom skuteczne przełamanie zabezpieczeń aplikacji. Może to doprowadzić do rozpowszechniania złośliwego oprogramowania, przekierowania do nieprzyjaznej strony albo kradzieży danych przy użyciu inżynierii społecznej.
• Naruszenia wrażliwych danych wystąpiło w 91% aplikacji webowych. Najczęściej ujawnione były identyfikatory użytkowników (84% przypadków).
  Dwie trzecie aplikacji ucierpiało w wyniku naruszeń danych osobowych, a u około połowy wyciekły poświadczenia użytkownika.

Ekspozycja na nieautoryzowany dostęp była wykryta w 84% aplikacji webowych. Pełna kontrola nad celem została uzyskana w 5% przypadków.

• Średniej wielkości aplikacja webowa ma przeciętnie 22 podatności w systemie bezpieczeństwa.
• 1 na 5 podatności wykrytych w aplikacjach webowych jest krytyczna dla bezpieczeństwa systemu.
• 20% organizacji przyznaje, że miało styczność z atakiem typu DDoS (rodzaj ataku, który uniemożliwia dostęp do aplikacji).
• Najczęstszymi technikami ataku są przepełnienia bufora (24%), redukcja zasobów (23%), HTTP flood (rodzaj wolumetrycznego rozproszonego ataku DDoS)(23%), Low Slow (21%), HTTPS flood (21%).
• Brak konfiguracji bądź niewłaściwie zrealizowane konfiguracje systemu bezpieczeństwa są powodem 84% wszystkich zaobserwowanych podatności w aplikacjach webowych.
• 53% aplikacji webowych ma podatności XSS i 45% błędne uwierzytelnianie.
• 39% stron jest podatnych na nieautoryzowany dostęp, a 16% stron udostępnia atakującym pełen dostęp do systemu.

Statystyki z publicznie dostępnych badań sugerują:

• Prawie 52% ruchu sieciowego pochodzi z aplikacji mobilnych.
• 13% organizacji doświadczyło incydentu złośliwego oprogramowania na platformach mobilnych.
• 82% urządzeń z systemem operacyjnym Android jest wrażliwych na jedną z 25 podatności w systemie operacyjnym Android.
• Aplikacje biznesowe są obarczone trzy razy większym ryzykiem wycieku danych logowania (i osobistych, i firmowych) niż przeciętna aplikacja.
• Jedna na cztery aplikacje zawiera przynajmniej jedną krytyczną lukę bezpieczeństwa.
• 50% aplikacji z 5 do 10 milionów pobrań ma lukę bezpieczeństwa.
• 25% z 2 milionów aplikacji dostępnych na Google Play zawierają lukę bezpieczeństwa.

• Wewnętrzne/zewnętrzne testy penetracyjne infrastruktury.
• Testy penetracyjne punktów sieci bezprzewodowych i Wi-Fi.
• Testy aplikacji webowych.
• Testy aplikacji mobilnych.

Black Box

Test typu black box polega na przeprowadzeniu ataku hakerskiego, gdzie atakujący nie ma żadnej wiedzy na temat badanych komponentów. Ten typ testu określa też podatności w systemie, które atakujący może wykorzystać z perspektywy zewnętrznej sieci. Postrzegany jest jako najbardziej autentyczny, demonstrujący jak przeciwnik bez wiedzy na temat organizacji mógłby zaatakować system i dokonać szkód.

Gray Box

Test penetracyjny typu gray box jest metodą pentestu, w którym tester posiada częściową wiedzę na temat systemu, na przykład jest w posiadaniu danych dotyczących użytej technologii, architektury lub komponentów aplikacji.

White Box

Test typu white box to test, który obejmuje pełny dostęp do sieci i zasobów systemowych i aplikacyjnych dzielonych z testerem. Często tester posiada także dostęp do kodów źródłowych, schematów i architektury aplikacji.

Raport z testu penetracyjnego:
Pod koniec projektu przygotowujemy raport z testu w którym dokumentujemy przeprowadzone działania oraz uzyskane rezultaty. W każdym raporcie opisujemy zidentyfikowane podczas wykonywania testu podatności, ale także rekomendacje naprawcze.

Zapraszamy do skorzystania z naszych usług w tym zakresie.

Dla jednego z klientów publicznych przeprowadziliśmy projekt polegający na przeprowadzeniu testu socjotechnicznego dla losowej grupy kilkudziesięciu pracowników. Następnie wszyscy pracownicy przeszli cykl kilku szkoleń elearningowych w zakresie cyberbezpieczeństwa oraz bezpieczeństwa informacji. Po zakończeniu cyklu szkoleń została wytypowana metodą losową druga grupa pracowników dla potrzeb przeprowadzenia drugiego testu. Porównanie wyników testu socjotechnicznego przed i po szkoleniach pokazało, że dla przyjętych w projekcie mierników KPI poziom świadomości zagrożeń i umiejętności odpowiedniego reagowania na ich wystąpienie wzrósł u tego klienta o ponad 30%.