Kaj je penetracijski test ali pentest?

Storitev penetracijskega testiranja, varnostnega pregleda ali etičnega hekanja je načrtovan napad na infrastrukturo podjetja, ki se izvede za oceno stopnje varnosti sistema - brez resničnega tveganja. Gre za del nenehnega upravljanja kibernetskih tveganj, ki vam omogoča, da ostanete varni.

S Solwallovimi strokovnjaki si zgradite varno in zanesljivo infrastrukturo.



KO MORATE BITI PREPRIČANI

Ofenzivna kibernetska varnost


Za uspešno obrambo pred kibernetskim napadom mora podjetje vzdrževati robustno in odporno infrastrukturo. Naši strokovnjaki sledijo najnovejšim trendom kibernetske varnosti in imajo več kot 20 let izkušenj na tem področju. Nenehno spremljamo in preučujemo tehnike in postopke pravih hekerjev, kar nam zagotavlja neprecenljivo dodano vrednost.

Satisfy compliance

Skladnost

Izpolnite zahteve glede varnosti vašega sistema s PSD2, EU Direktivo NIS, PCI-DSS, SOC2, tip II, HITRUST in drugih. Uporaba preizkušenih metodologij priskrbi tudi dosledne rezultate in izključuje možnost lažnega občutka varnosti.

VEČ
Faster results with agile testing

Hitrejši rezultati z agilnim testiranjem

Penetracijski test je odvisen od hitrosti razvoja sodobnih programskih aplikacij. Glede na to, da se v današnjem času aplikacije hitro razvijajo, z razvojem novih aplikacij pa je napadov več, varnosti ni več smiselno preverjati enkrat letno ali čakati dva meseca na začetek pregleda.

VEČ

Pomoč pri odpravljanju pomanjkljivosti

Nudimo izdelavo priporočil in rešitev, ki ustrezajo vašim aplikacijam in tehnologiji ter postavljenim kriterijem uspešnosti, proračunom ali obstoječo infrastrukturo.

VEČ

Prejmite potrdilo

Po opravljenem penetracijskem testu vam izdamo potrdilo, da je vaša aplikacija varna.

VEČ


Kaj je penetracijski test ali pentest? Kaj je varnostni pregled?

Namen penetracijskega testiranja je določiti stopnjo varnosti sistema oziroma njegove ogroženosti in šibkih točk, ki omogočajo morebitna nepooblaščena dejanja tretjih oseb, ki vplivajo na zaupnost, celovitost in razpoložljivost.

Penetracijski test je odvisen od hitrosti razvoja sodobnih programskih aplikacij. Glede na to, da se v današnjem času aplikacije hitro razvijajo, z razvojem novih aplikacij pa je napadov več, varnosti ni več smiselno preverjati enkrat letno ali čakati dva meseca na začetek pregleda.

Zakaj je naš pristop »nova generacija penetracijskega testiranj«:

  • V primerjavi s tradicionalnimi penetracijskimi testi prinašamo nov način nenehnega obvladovanja kibernetskih tveganj. Nova generacija penetracijskega testa je sestavljena iz posameznih storitev, ki so zasnovane za zagotavljanje stroškovno učinkovite proaktivne zaščite;
  • razširi zaščito in zapolni vrzeli med periodičnimi pentest pregledi;
  • hitra omilitev in sanacija že odkritih šibkih točk ali novih funkcij. Prihranite čas z optimizacijo interakcij s stranko preko opredelitve minimalnih komunikacijskih potreb;

Penetracijske teste morajo izvajati samo zaupanja vredni in potrjeni strokovnjaki, da bi zagotovili:

  • Sistemsko stabilnost vašega obstoječega sistema;
  • Preprečevanje kakršnekoli okvare podatkov ali nepooblaščenega dostopa do podatkov;
  • Zagotavljanje metodološke ocene varnostnega tveganja.

Ocena varnostnega tveganja temelji na prepoznavanju in količinski opredelitvi informacijskih tveganj po vnaprej določenih merilih podjetja glede stopnje sprejemljivega informacijskega tveganja skupaj z vključevanjem drugih ciljev, pomembnih za podjetje. Rezultati vodijo do določitve prednostnih nalog in ustreznih ukrepov za upravljanje tveganj v povezavi z informacijsko varnostjo, ter za izvajanje potrebnega nadzora za zaščito pred temi tveganji.

Ocenjevanje informacijskih tveganj in izvajanje potrebnega nadzora je morda potrebno opraviti večkrat in v različnih delih informacijskega sistema, ter se nato odzvati na vse morebitne spremembe. Kot del penetracijskega testa prejmete:

  • Povzetek s strateškimi priporočili za dolgoročne izboljšave
  • Tehnične podrobnosti z načrtom omilitve odkritih šibkih točk za takojšnje izboljšave;
  • Podrobnosti o poustvarjenih napadih;
  • Pomoč pri odpravljanju težav.
Next generation penetration testing


Zakaj potrebujemo penetracijski test?

Pentest je namenjen analizi dejanske vzdržljivosti vaše obstoječe sistemske varnosti, pri čemer poskuša usposobljen preizkuševalec aktivno vdreti v vaš sistem. Medtem ko standardni avtomatizirani varnostni pregled odkrije le nekatere najpogostejše težave v povezavi z kibernetsko in informacijsko varnostjo, pravi penetracijski test upošteva tudi ranljivost vašega podjetja za t. i. ročne napade.

Četudi standardni avtomatizirani test ne odkrije šibkih točk, to v realnosti ne pomeni, da je sistem zaščiten pred hekerji. Dobro organizirano in kombinirano avtomatsko in ročno testiranje lahko:

  • Določi šibke točke v infrastrukturi in programski opremi, ter fizične in celo kadrovske šibke točke;
  • Pomaga vašemu podjetju razviti močnejši nadzor.

Iz istega razloga, kot greste k zdravniku na letni zdravniški pregled, je smiselno, da se obrnete na visoko usposobljene varnostne svetovalce, ki bodo za vas opravili penetracijski test. Četudi sami verjamete, da ste popolnoma zdravi, lahko zdravnik opravi več različnih preiskav, da odkrije nevarnosti, ki se jih morda še niti ne zavedate.

Tako tudi ljudje, ki so odgovorni za varnost vašega podjetja in za dnevno vzdrževanje in spremljanje vaše infrastrukture, morda nimajo objektivnosti, potrebne za prepoznavanje varnostnih pomanjkljivosti, ali pa razumevanja stopnje tveganja za vašo organizacijo oziroma znanja za pomoč pri odpravljanju in odpravljanju kritičnih težav.

Z drugimi besedami, penetracijsko testiranje bo v igri mačke proti miši v igro vneslo še eno mačko.

Penetration testing benefits

Kakšne so prednosti penetracijskega testa?

  • Prepričali se boste, če je vaše podjetje res varno
  • Odkrili boste nevarnosti, preden bi jih lahko izkoristili napadalci.
  • Ekipa Solwalla posnema prave hekerje.
  • Našega ročnega in personaliziranega pristopa ni mogoče ponoviti z avtomatiziranimi orodji.




Katere so vrste pentestov?

Razredi storitev ofenzivne kibernetske varnosti
Storitev Cilj Korist

Zunanji pentest

Ugotovitev in ocena varnostno šibkih točk infrastrukture podjetja in priporočila glede strategije za zmanjšanje tveganj Razumevanje internetnega odtisa in s tem povezanih tveganj za vaše poslovno okolje

Notranji pentest

Simulacija napada iz notranjega omrežja za dostop do sistemov končnih uporabnikov, vključno s stopnjevanjem pooblastil in dostopom do kritičnih podatkov Razumevanje učinkovitosti vaše notranje varnosti in kaj lahko predstavlja tveganje za vaše podjetje zaradi morebitnih vdorov

Red teaming

Simulacija vedenja pravega hekerja in poskus ogrozitve vašega poslovnega okolja preko interneta Preizkus zmožnosti odkrivanja napadov in odzivnih zmogljivosti vaše varnostne ekipe - brez resničnega tveganja

Pentest mobilnih aplikacij

Prepoznavanje in definiranje varnostnih groženj, ki lahko privedejo do izpostavljenosti podatkov tretjim osebam ali nepooblaščenega dostopa Razumevanje in izboljšanje varnosti mobilne aplikacije

Pentest aplikacije

Prepoznavanje in definiranje varnostnih groženj, ki lahko privedejo do izpostavljenosti podatkov tretjim osebam ali nepooblaščenega dostopa Razumevanje in izboljšanje varnosti spletne aplikacije

Pregled konfiguracije

Primerjava vaše sistemske konfiguracije z najboljšimi praksami, ki jih je določila svetovna skupnost strokovnjakov za varnost Izboljšanje varnosti preko zaostrovanja pravil operacijskega sistema in preverjanja različic programske opreme

Socialni inženiring

Določanje zanesljivosti in zvestobe zaposlenih do podjetja in njegovih varnostnih politik Priprava podjetja in zaposlenih pred napadi socialnega inženiringa

Pregled izvorne kode

Pregled izvornih kod aplikacij z namenom ugotavljanja napak, spregledanih v začetni fazi razvoja. Prepoznavanje ranljivosti na osnovni ravni




Kakšna je metodologija penetracijskega testa?

Obstajajo številne metodologije varnostnih pregledov, pri katerih sta najpogosteje uporabljeni OWASP in OSSTM. Ostale metodologije v večini pokrivajo enake zahteve, v nekaterih posebnostih pa se razlikujejo. Z nami lahko izpolnite zahteve po skladnosti varnosti vašega sistema z:

  • OWASP
  • Mitre Att&ck
  • PSD2
  • NIS direktiva
  • PCI-DSS
  • SOC2 Type II
  • HITRUST
  • in drugimi.

Uporaba preizkušenih metodologij priskrbi tudi dosledne rezultate in izključuje možnost lažnega občutka varnosti.


Penetration testing methodologies



Pristop penetracijskega testa

Med izvajanjem penetracijskega testa se uporabljajo različne metodologije za zagotovitev ustreznih rezultatov. Za ocenjevanje varnosti izvajamo celovito testiranje po OWASP ali drugi ustrezni metodologiji.

V fazi zbiranja informacij preverimo pregled varnostne arhitekture sistema, komponente in sam postopek uporabe. Zaznavanje napačnih konfiguracij aplikacij in šibkih točk informacijskih sistemov z javno dostopnimi storitvami izvajamo v naslednji fazi penetracijskega testa.

Pri pentestu uporabljamo enake tehnike in orodja kot hekerji, s čimer poskušamo izkoristiti prej odkrite šibke točke.

Nudimo izdelavo priporočil in rešitev, ki ustrezajo vašim aplikacijam, tehnologiji ter postavljenim kriterijem uspešnosti, proračunom ali obstoječi infrastrukturi.

Penetracijski test se zaključi brez namestitve zlonamerne programske opreme, prav tako ne dostopa do podatkov v sistemih strank in jih ne spreminja, kot bi to sicer storili pravi napadalci.

FAZE PENETRACIJSKEGA TESTA

Penetration testing phases
  • Zbiranje informacij – razumevanje delovanja sistema pred načrtovanjem pravih poskusnih napadov.
  • Identifikacija ranljivosti – Odkrivanje šibkih točk v ciljnem okolju.
  • Izkoriščanje šibkih točk – poskus dostopa preko odkritih šibkih točk z interno razvitimi orodji.
  • Naloga opravljena – poročanje o podrobnih ugotovitvah z načrtom za odpravljanje težav..

Ali pentest vključuje programiranje?

Seveda mora imeti izvajalec penetracijskega testa znanje s področja programiranja, saj se le tako zagotovi ustrezna storitev. To je ključnega pomena za ročni pregled, saj uporabljena orodja običajno potrebujejo prilagoditve. Izvajalcu z znanjem programiranja je notranje delovanje aplikacije bolj razumljivo, prav tako pa je nemogoče odpravljati napake brez znanja programiranja in razvoja programske opreme.

Ročni pristop je poglavitna razlika pentesta. Z avtomatičnim skeniranjem ranljivosti se večina dela opravi avtomatično in bi ga lahko opravil skoraj vsakdo. Izkušeni pentester s potrebnim znanjem uporablja avtomatizirano skeniranje ranljivosti v okviru penetracijskega testa samo v začetni fazi.




Cena penetracijskega testa

Cena pentesta je odvisna od izvedenega obsega, povprečni stroški pa znašajo od 2.000 EUR dalje. V kolikor je penetracijski test pravilno izveden, je vreden vsakega centa, predvsem zato, ker s tem pridobite strokovnjaka ali skupino strokovnjakov, ki bo našla vse možne pristope in točke, ki so škodljivi za delovanje vašega sistema. Po opravljenem pregledu prejmete podrobno poročilo s priporočili glede odkritih groženj in, če je potrebno, tudi stalno podporo sistemu.

Dodatni element, ki vpliva na strošek penetracijskega testa, je pogostost izvajanja le-tega. Kot številne druge ocene stanja je tudi penteste potrebno opravljati redno, z namenom zagotovite izpolnjevanja vseh standardov in preprečitve pojavljanja novih težav. Pogostost izvajanja pregledov je odvisna od kompleksnosti vaše infrastrukture in pogostosti posodobitev. Penetracijske teste je priporočeno izvajati enkrat ali dvakrat letno.


Penetration testing price



Zgodovina penetracijskih testov

Sredi 60. let prejšnjega stoletja je priljubljenost uporabe računalnikov, povezanih preko spleta, ustvarila nove pomisleke glede varnosti. Izkazalo se je, da lahko zaposleni zlahka zaobidejo vse zaščitne ukrepe sistema. Konec desetletja je varnost računalnikov postala poglavitno vprašanje in ameriško ministrstvo za obrambo je izdalo podrobno poročilo o navedenih težavah.

Nato se je ministrstvo za obrambo Združenih držav Amerike obrnilo na ameriškega računalniškega pionirja Willisa Warea, da bi oblikovalo delovno skupino, ki bi jo sestavljali strokovnjaki iz Nacionalne varnostne agencije NSA, Centralne obveščevalne agencije CIA, Obrambnega oddelka Združenih držav DoD, univerz in industrije, da bi skupaj ocenili varnostna tveganja zaradi vdorov v računalnike.

V 70. letih so se na področju varnosti pojavile prve ekipe za penetracijske teste, tako imenovane »Tiger ekipe«. Te ekipe so uporabile penetracijsko testiranje kot sredstvo za preizkušanje varnosti računalniških sistemov. S prizadevanji teh skupin v sodelovanju z RAND je bila razvita metodologija varnostnega pregleda kot orodja za oceno varnosti računalniških sistemov.

V naslednjih desetletjih, ko so računalniki postali hrbtenica sveta in se je pomembnost interneta povečala, je uporaba penetracijskega testa kot orodja za pregled in oceno varnosti postala veliko bolj izpopolnjena in razširjena.

Danes je penetracijski test bistveni del tako ocenjevanja varnosti podjetja kot tudi zmožnosti, da se podjetje zaščiti pred morebitnimi napadi hekerjev.

Sčasoma bosta ocena varnosti in pentest postala le še pomembnejša, saj bodo hekerji le še bolj izpopolnjeni in bodo lahko poiskali nova skrita vrata in dostopne točke tako v poslovnih omrežjih kot tudi na fizičnih lokacijah.



Kaj je penetracijski test ali pentest? Kaj je varnostni pregled?

Namen penetracijskega testiranja je določiti stopnjo varnosti sistema oziroma njegove ogroženosti in šibkih točk, ki omogočajo morebitna nepooblaščena dejanja tretjih oseb, ki vplivajo na zaupnost, celovitost in razpoložljivost.

Penetracijski test je odvisen od hitrosti razvoja sodobnih programskih aplikacij. Glede na to, da se v današnjem času aplikacije hitro razvijajo, z razvojem novih aplikacij pa je napadov več, varnosti ni več smiselno preverjati enkrat letno ali čakati dva meseca na začetek pregleda.

Zakaj je naš pristop »nova generacija penetracijskega testiranj«:

  • V primerjavi s tradicionalnimi penetracijskimi testi prinašamo nov način nenehnega obvladovanja kibernetskih tveganj. Nova generacija penetracijskega testa je sestavljena iz posameznih storitev, ki so zasnovane za zagotavljanje stroškovno učinkovite proaktivne zaščite;
  • razširi zaščito in zapolni vrzeli med periodičnimi pentest pregledi;
  • hitra omilitev in sanacija že odkritih šibkih točk ali novih funkcij. Prihranite čas z optimizacijo interakcij s stranko preko opredelitve minimalnih komunikacijskih potreb;

Penetracijske teste morajo izvajati samo zaupanja vredni in potrjeni strokovnjaki, da bi zagotovili:

  • Sistemsko stabilnost vašega obstoječega sistema;
  • Preprečevanje kakršnekoli okvare podatkov ali nepooblaščenega dostopa do podatkov;
  • Zagotavljanje metodološke ocene varnostnega tveganja.

Ocena varnostnega tveganja temelji na prepoznavanju in količinski opredelitvi informacijskih tveganj po vnaprej določenih merilih podjetja glede stopnje sprejemljivega informacijskega tveganja skupaj z vključevanjem drugih ciljev, pomembnih za podjetje. Rezultati vodijo do določitve prednostnih nalog in ustreznih ukrepov za upravljanje tveganj v povezavi z informacijsko varnostjo, ter za izvajanje potrebnega nadzora za zaščito pred temi tveganji.

Ocenjevanje informacijskih tveganj in izvajanje potrebnega nadzora je morda potrebno opraviti večkrat in v različnih delih informacijskega sistema, ter se nato odzvati na vse morebitne spremembe. Kot del penetracijskega testa prejmete:

  • Povzetek s strateškimi priporočili za dolgoročne izboljšave
  • Tehnične podrobnosti z načrtom omilitve odkritih šibkih točk za takojšnje izboljšave;
  • Podrobnosti o poustvarjenih napadih;
  • Pomoč pri odpravljanju težav.
Next generation penetration testing

Katere so vrste pentestov?

Razredi storitev ofenzivne kibernetske varnosti
Storitev Cilj Korist
Zunanji pentest Ugotovitev in ocena varnostno šibkih točk infrastrukture podjetja in priporočila glede strategije za zmanjšanje tveganj Razumevanje internetnega odtisa in s tem povezanih tveganj za vaše poslovno okolje
Notranji pentest Simulacija napada iz notranjega omrežja za dostop do sistemov končnih uporabnikov, vključno s stopnjevanjem pooblastil in dostopom do kritičnih podatkov Razumevanje učinkovitosti vaše notranje varnosti in kaj lahko predstavlja tveganje za vaše podjetje zaradi morebitnih vdorov
Red teaming Simulacija vedenja pravega hekerja in poskus ogrozitve vašega poslovnega okolja preko interneta Preizkus zmožnosti odkrivanja napadov in odzivnih zmogljivosti vaše varnostne ekipe - brez resničnega tveganja
Pentest mobilnih aplikacij Prepoznavanje in definiranje varnostnih groženj, ki lahko privedejo do izpostavljenosti podatkov tretjim osebam ali nepooblaščenega dostopa Razumevanje in izboljšanje varnosti mobilne aplikacije
Pentest aplikacije Prepoznavanje in definiranje varnostnih groženj, ki lahko privedejo do izpostavljenosti podatkov tretjim osebam ali nepooblaščenega dostopa Razumevanje in izboljšanje varnosti spletne aplikacije
Pregled konfiguracije Primerjava vaše sistemske konfiguracije z najboljšimi praksami, ki jih je določila svetovna skupnost strokovnjakov za varnost Izboljšanje varnosti preko zaostrovanja pravil operacijskega sistema in preverjanja različic programske opreme
Socialni inženiring Določanje zanesljivosti in zvestobe zaposlenih do podjetja in njegovih varnostnih politik Priprava podjetja in zaposlenih pred napadi socialnega inženiringa
Pregled izvorne kode Pregled izvornih kod aplikacij z namenom ugotavljanja napak, spregledanih v začetni fazi razvoja. Prepoznavanje ranljivosti na osnovni ravni

Garancija

V primeru nezadovoljstva z našimi storitvami plačilo ni potrebno.

Dokazano strokovno znanje

Ekipa za penetracijski test se določi glede na potrebno znanje za vašo aplikacijo.

Uporabnost

Poročilo vsebuje podrobne ugotovitve s predlogi za odpravo pomanjkljivosti.