Penetrační testy

Zjistěte, jak je vaše ICT infrastruktura odolná vůči reálným útokům. Dříve, než to udělá někdo jiný.

Penetrační testy (tzv. etické hackování) simulují skutečné útoky na vaše ICT systémy, sítě nebo aplikace. Cílem je odhalit zranitelnosti, které by mohl zneužít útočník, a navrhnout efektivní opatření pro jejich odstranění. Naše testy vycházejí z reálných scénářů, standardních metodik (např. OWASP, PTES) a zkušeností z praxe. Vždy dbáme na minimální dopad na provoz a maximální přínos pro bezpečnost.

Typy testů, které nabízíme:

Externí penetrační test

Testujeme veřejně dostupnou část vaší infrastruktury – tedy to, co je vystavené do internetu. Simulujeme chování útočníka bez přístupu do interní sítě.

Typicky zahrnuje:

• skenování otevřených portů a služeb,

• zjištění verzí systémů a služeb a hledání známých zranitelností,

• testování přístupových mechanismů (např. VPN, RDP brány),

• OSINT analýzu (vyhledávání subdomén, uniklých přístupů, veřejných dat),

• základní testování veřejně dostupných webových aplikací.

Cílem je zjistit, zda vaše systémy neposkytují útočníkovi cestu dovnitř – a jak ji efektivně zabezpečit.

Interní penetrační test

Simulujeme útok zevnitř organizace – například po úspěšném phishingovém útoku, od nespokojeného zaměstnance nebo z infikovaného zařízení připojeného k síti.

Typicky zahrnuje:

• mapování interní sítě a identifikaci aktivních systémů,

• testování konfigurace a zabezpečení služeb (např. AD, SMB, DNS, RDP),

• pokusy o eskalaci oprávnění a přístup k citlivým datům,

• zkoumání možnosti kompromitace doménové infrastruktury

• hodnocení segmentace, síťových politik a ochranných prvků.

Cílem je zjistit, jak hluboko by se mohl dostat útočník, který jednou překoná perimetr.

Testování webových aplikací

Webové aplikace patří mezi nejčastější cíle útočníků. Zaměřujeme se na hledání technických i logických zranitelností ve vašich aplikacích – od přihlašovacích formulářů přes API až po správcovské rozhraní.

Testování zahrnuje:

• kombinaci automatizovaného skenování a manuálního testování,

• detekci zranitelností podle OWASP TOP 10 (např. XSS, SQLi, IDOR, SSRF),

• ověření správnosti autentizace a autorizace uživatelů,

• testování veřejných i interních částí aplikace (dle přístupu).

Na rozdíl od běžného skenu zranitelností testujeme i logiku aplikace – a vše ověřujeme ručně, bez falešně pozitivních výsledků.

Mohlo by vás zajímat