Penetrační testy prověří úroveň informační bezpečnosti organizace a odolnost ICT před reálnými kybernetickými hrozbami simulací útoku hackera na počítačovou síť, webové i mobilní aplikace.
Máme tým certifikovaných specialistů (CISSP, OSCP, CEH, Pentest+)
Klademe důraz na manuální přístup při testování, což má za následek odhalení většího množství chyb zejména v business logice aplikací.
Používáme OWASP, OSSTMM, NIST a dalších uznávané metodiky.
V rámci provádění penetračního testování rozlišujeme několik možných způsobů realizace
Black box
testování
bez znalosti testovaného prostředí
Před realizací skenování zranitelností nebo penetračního testu disponují naši konzultanti minimum informací o testovaných cílech, např. pouze IP adresou, URL atp. Tento typ testu je zejména vhodný pro případy simulace chování externího útočníka.
Gray box
testování
s částečnou znalostí testovaného prostředí
Před realizací skenování zranitelností nebo penetračního testu disponují naši konzultanti omezenou sadou informací o testovaných cílech, např. architektuře, technologiích a uživatelích a zároveň základní přístupy k testovaným cílům, např. na úrovni legitimního uživatele. Tento typ je zejména vhodný pro případ simulace chování interního útočníka s limitovanou sadou informací a uživatelskými oprávněními.
White box
testování
se znalostí testovaného prostředí a vybraných přístupových oprávnění
Před realizací skenování zranitelností nebo penetračního testu disponují naši konzultanti veškerými dostupnými informacemi o testovaných cílech, např. plná dokumentace, zdrojové kódy aplikací atp. Zároveň disponují přístupem k testovaným systémům na úrovni privilegovaných uživatelů. Tento typ je zejména vhodný pro testování, kdy je potřeba identifikovat maximální množství zranitelností včetně těch, které není možné identifikovat v průběhu testování formou black box nebo gray box testů.
Máme řešení pro řadu segmentů podnikání
Výrobní podniky
Provádíme testování prostředí výroby počínaje výrobními PLC přes ASD systémy, ICT infrastrukturu po kamerové a vstupové systémy.
Energetika
Zaměřujeme se na testování zranitelností systémů výrobní a distribuční soustavy včetně testů ochrany nestřežených přípojných bodů.
Doprava
Dopravní řídící systémy a dohledová centra testujeme s ohledem na jejich vysokou geografickou distribuovanost a zvláštní požadavky bezpečnostních režimů některých dopravních staveb.
Farmaceutický průmysl
Pro producenty léčiv poskytujeme testování bezpečnosti validovaných i nevalidovaných výrobních systémů a nevýrobní ICT infrastruktury.
Zdravotnictví
Provádíme testování zdravotnické techniky, nemocničních, laboratorních, radiologických a dalších informačních systémů, stejně jako ostatního ICT prosředí včetně veřejných ICT služeb.
Facility management
Testujeme řídící systémy budov včetně řízení prostředí, vstupových a kamerových systémů.
