Testy Penetracyjne Aplikacji


Podatności

Wykrywamy i testujemy podatności w aplikacjach, portalach i systemach

Aplikacje WWW

Testujemy aplikacje webowe - te skomplikowane i te najprostrze

Analiza Aplikacji

Analizujemy kod i proces wytwórczy oprogramowania w celu znalezienia podatności

Zabezpieczenia

Testujemy wdrożone zabezpieczenia i systemy autoryzacji

Serwery / Infrastruktura

Testujemy zabezpieczenia pojedynczych systemów oraz całej infrastruktury

Logika Biznesowa

Sprawdzamy logikę biznesową w aplikacjach oraz procesach

Jesteś zainteresowany ofertą? Skontaktuj się z nami >

Dla każdego biznesu


Testowanie zabezpieczeń powinno być realizowane w każdej organizacji, instytucji czy firmie - bez względu na jej wielkość czy branżę. Każde niedociągnięcie czy błąd może zostać wykorzystane to skompromitowania systemów, wycieku danych czy innego incydentu. Każde wystąpienie takiego zdarzenia może wpłynąć na reputację oraz stabilność finansową organizacji.

Wrażliwe dane


Posiadanie danych wrażliwych takich jak numery PESEL, imiona, nazwiska wraz z adresami zamieszkania, adresy e-mail niesie za sobą obowiązek ich odpowiedniego składowania oraz ochrony. Potocznie stosowane zabezpieczenia nie zawsze są odpowiednim wyborem. Sprawdź stosowane przez Twój zespół IT zabezpieczenia i upewnij się, że jesteś bezpieczny.

71%

Tyle procent wszystkich ataków ma podłoże finansowe. Verizon.

Rodzaje wykonywanychtestów penetracyjnych


W zależności od rodzaju badanego systemu czy elementu infrastruktury IT klienta oraz jego preferencji, testy penetracyjnie mogą być przeprowadzane zarówno w siedzibie klienta, jak i zdalnie. W przypadku testów penetracyjnych wykorzystujemy zarówno narzędzia automatyzujące testy i symulujące ataki, jak i metody manualnej weryfikacji. Stosunek liczby testów automatycznych do tych wykonywanych ręcznie zmienia się w zależności od specyfiki projektu.

Black Box

Jest to najbardziej skomplikowany i czasochłonny test, który odzwierciedla realne działania potencjalnych atakujących.

Grey Box

To kompromis między black a white boxowymi testami, w której otrzymujemy od zleceniodawcy podstawowe informacje - np. role.

White Box

To najpełniejszy rodzaj testu podczas którego mamy do dyspozycji pełną informację na temat infrastruktury, aplikacji w postaci dokumentacji czy kodu.

Realizacja testów penetracyjnych


Wszystkie projekty realizujemy zgodnie z obowiązującymi w branży, uznanymi światowymi standardami i metodykami, takimi jak np.:

  • OWASP ASVS,
  • PCI DSS Penetration Testing Guidance,
  • OSSTMM,
  • wytyczne ISO27001,
  • zalecenia NIST.

Jednakże nie ograniczamy się tylko i wyłącznie do nich. Każdy projekt traktujemy indywidualnie i wykorzystujemy nasze bogate doświadczenie, dzięki czemu udaje nam się identyfikować słabości systemów, które mogłyby nie zostać wykryte, gdyby literalnie stosować się do zamkniętych procedur. Pozwala to w sposób efektywny i rzetelny weryfikować bezpieczeństwo Państwa systemów.

Przebieg testu penetracyjnego


Usługa testu penetracyjnego składa się z kilku etapów.

  • Pierwszym jest ustalenie zakresu testów, czyli omówienie z Klientem jego potrzeb, pomoc w określeniu, co ma być przetestowane oraz w jaki sposób. Istotne jest także określenie sposobu realizacji testu, tj. czy ma być realizowany u Klienta w siedzibie, czy też zdalnie przez Internet lub przez tunel VPN.
  • Drugim krokiem jest wykonanie wstępnej analizy po naszej stronie oraz zapoznanie się z testowanym systemem, wykorzystując w tym celu informacje, jakie na jego temat posiadamy.
  • Trzecim krokiem jest już praca stricte techniczna, tj. identyfikacja podatności.
  • Kolejny etap polega na weryfikacji i wykorzystaniu zidentyfikowanych podatności.
    Ostatnim etapem jest stworzenie raportu, zawierającego szczegółowe informacje na temat wyniku testu.

Raport - wynik testów


Po zakończeniu testu penetracyjnego tworzymy raport, który ma na celu umożliwienie samodzielnego odtworzenia oraz zweryfikowania wykrytych przez nas podatności systemów. Każda wykryta podatność jest odpowiednio opisana poprzez szereg parametrów, takich jak:

  • opis podatności,
  • stopień zagrożenia,
  • scoring zidentyfikowanych podatności w standardzie CVSS,
  • prawdopodobieństwo wykorzystania przez intruza,
  • wpływ na testowany system,

Ponadto raport zawiera podsumowanie, dzięki któremu osoby nie będące specjalistami mogą zapoznać się z ogólnymi wnioskami oraz zaleceniami.

Eliminacji zagrożeń i retesty


Po dostarczeniu Klientowi raportu końcowego jak najbardziej jesteśmy gotowi do wsparcia w usunięciu zidentyfikowanych podatności. Możemy wesprzeć poprzez konsultacje, możemy pomóc w rekonfiguracji systemów, czy urządzeń, we wdrożeniu poprawek i dodatkowych systemów bezpieczeństwa. Gdy systemy będą do tego przygotowane, możemy także przeprowadzić dodatkowe re-testy aby zweryfikować, czy na pewno wszystkie problemy zostały skutecznie usunięte.

Bezpieczeństwowewnątrz organizacji


Standardowe testy penetracyjne pozwalają na znalezienie podatności, które mogą zostać wykorzystane w obrębie systemów informatycznych. W naszej ofercie znajdziecie również usługę Red Teamingu, który pozwala na zidentyfikowanie problemów z bezpieczeństwem fizycznym.

Sprawdź usługę Red Teaming

Dlaczego Nordasys?


Posiadamy wieloletnie doświadczenie w świadczeniu tego typu usług. Nabyliśmy je poprzez wykonanie blisko kilkuset skutecznych testów penetracyjnych dla szeregu polskich, jak i międzynarodowych instytucji zarówno z sektora finansowego jak i IT. Usługi tego typu świadczyliśmy także dla instytucji rządowych. Oprócz doświadczenia posiadamy także szereg certyfikatów z zakresu testowania bezpieczeństwa. Jest to m.in. certyfikat OSCP (Offensive Security Certified Professional), OSCE (Offensive Security Certified Expert) a także ARES (Advanced Reverse Engineering of Software).