26. 3. 2018

Penetrační testy

Penetrační testy

Znát své silné a slabé stránky je důležité. Nalézt své slabé stránky je jeden z nejtěžších úkolů. A právě proto jsme tu my – vyhledávání slabých míst nás baví.

Pomůžeme Vám nalézt slabé stránky ve Vašich aplikacích, v infrastruktuře a v procesech, zdokumentujeme je a navrhneme protiopatření.

Vhodné použití

Pokud máte seznam aktiv, zavedené skenování zranitelností a proces nápravy zjištění, je čas prověřit, jestli je možné dosáhnout specifického cíle, jako je například zcizení zákaznických dat, přístup k řídicímu systému nebo modifikace informací o platech.

Jak postupujeme

Na začátku si společně stanovíme 3 až 5 cílů. Testování na úrovni sítě probíhá dle NIST 800-115. Pro testování webových aplikací používáme OWASP. Nálezy hodnotíme pomocí Common Vulnerability Scoring System (CVSS).

Varianty

Zjistíte, jak vaše organizace a kolegové reagují na incident. Nebo, jestli ho vůbec zaznamenáte.

Budete vědět o rizicích a hrozbách působících zvenku (při testu jsme mimo váš perimetr, napodobujeme někoho, kdo zatím nemá přístup do vaší sítě).

Budete vědět o rizicích a hrozbách uvnitř perimetru (při testu jsme uvnitř vašeho perimetru, napodobujeme například nespokojeného zaměstnance). 

Prakticky každý systém používá nebo poskytuje rozhraní pro programátory. Prověříme, jak je na tom Vaše API. Někdy se nemá smysl soustředit na aplikaci, když si lze celou databázi stáhnout jedním dotazem na API.

Prověříme, jestli je možné eskalovat práva, získat data, která by neměla být veřejně přístupná nebo jiný definovaný cíl.

Prověříme fyzické bariéry (ploty, brány, vjezdy pro auta a další), zámky, možnost tail-gatingu a možnost obejití přístupového systému. Zanalyzujeme kamerové systémy a alarmy i způsoby, jak jsou události zaznamenávány a vyhodnocovány. V honbě za informacemi projdeme i vaše odpadky.

Máte nasazený přístupový systém, který využívá bezkontaktní karty? I na to jsme připraveni. Prověříme, jestli ho lze obejít, zkopírovat kartu nebo úplně obejít kontrolu.

Prověříme, jak systém zachází s citlivými daty jako jsou otisky prstů nebo dlaně, i jestli je možné systém obejít a získat neoprávněný přístup. A jako bonus budete mít podklad pro řešení GDPR.

A co třeba kamerový systém? Nelze ho obelstít nebo využít jako přestupný bod do vaší sítě? Prověříme, jak si na tom stojí, jestli ho nelze vyřadit a jestli nemá slepá místa.

Mít vše okamžitě dostupné – to máme rádi. To, že jde o vektor útoku, už méně. Prověříme, jak na tom stojí Vaše zařízení.

Infrastruktura jako kód, cloudifikace, software jako služba, kontejnery, mikroservice – to všechno zrychluje vývoj. A přináší nové problémy. Otestujeme vše, co souvisí s cloudovým prostředím – od přístupových práv, volně dostupných dat až po logické chyby při designu prostředí.

Výstup

Závěrečná zpráva, ve které uvedeme, jestli jsme dosáhli cíle nebo ne a uvedeme všechna zjištění, kterých jsme si po cestě za určeným cílem všimli.

Neposkytneme Vám kompletní seznam zranitelností ani prioritizaci zjištění – na to máme sken zranitelností.

Závěrečná zpráva z penetračního testu je obvykle ve formě: ano, podařilo se nám dosáhnout zadaného cíle, nebo ne, nepodařilo se nám dosáhnout zadaného cíle.

Sami neradi čteme desítky stran nudného textu. Proto naše zprávy píšeme tak, abychom mohli říct, že jde o literaturu faktu, která se čte jako thriller. Samozřejmě obsahuje vše, co má dobrá zpráva mít – hodnocení, kvantifikaci, kvalifikaci a dopad. Navíc nejde nám pouze o to, co nefunguje. Když nám něco zabrání v testování, zdokumentujeme a pochválíme.