• Čeština
  • English
  • Čeština
  • English

Cybertesty

Prověření bezpečnosti vašich systémů a odolnosti těch, kteří je hlídají

Kybernetické testy simulují skutečné kybernetické útoky na informační systémy nebo sítě s cílem odhalit a identifikovat bezpečnostní slabiny. Jsou přizpůsobeny vašim specifickým potřebám.

Typy testů

  • Basic

    Ideální začátek k získání rámcového přehledu o zranitelnostech vašeho systému. Automatizovaná analýza s manuálním vyhodnocením testovaných systémů z hlediska detekce známých zranitelností a konfiguračních chyb až pro 10 IP adres. Získáte zprávu se seznamem detekovaných zranitelností a hodnocením jejich kritičnosti. Prezentace výsledků formou krátkého video call. Tento test je také ideální pro periodické testování vašich systémů.

    Technická specifikace

    • Skenování portů
    • Různé techniky pro skenování otevřených portů na cílových systémech, včetně TCP SYN skenování, TCP connect skenování a UDP skenování.
    • Fingerprinting
    • Identifikace typů operačních systémů, verzí softwaru a služeb běžících na skenovaných portech pomocí metod jako je banner grabbing a analýza odpovědí systému.
    • Autentizované skenování
    • Skenování s použitím přihlašovacích údajů (credentials), hlubší analýza systémů a identifikaci zranitelností, které nejsou viditelné při neautentizovaném skenování.
    • Skenování zranitelností
    • Používá databázi pluginů, které obsahují informace o známých zranitelnostech a způsobech jejich detekce.
    • Compliance skenování
    • Provádí skenování na základě specifických bezpečnostních standardů a regulací (např. PCI DSS, HIPAA, CIS benchmarks), zda systémy splňují požadované normy.

    Do automatizovaných nástrojů jsou zadány IP adresy, které následně generují výsledky. Tyto výsledky jsou poté pečlivě kontrolovány testery. Pokud tester identifikuje jakékoliv prvky, které vyžadují hlubší analýzu, je spuštěn další scan.

    Obsah scanu

    Operační systémy: Windows, Linux, macOS, Unix a další
    Síťové zařízení: Routery, switche, firewally, a další síťová zařízení
    Databázové systémy: MySQL, Oracle, Microsoft SQL Server, PostgreSQL, a další
    Webové servery a aplikace: Apache, Nginx, IIS, webové aplikace na těchto serverech
    Virtuální a cloudová prostředí: AWS, Azure, Google Cloud, VMware, a další
    Bezpečnostní zařízení: IDS/IPS, VPN zařízení, a další bezpečnostní technologie
    Aplikace a software: Mailové servery, FTP servery, SMB/CIFS sdílené složky, a různé aplikace třetích stran

    Výsledkem je zpráva, která podrobně popisuje způsob a vektory testování, zjištěné nedostatky a doporučení pro jejich odstranění.

  • Advanced

    Nad rámec „Basic“ jde o plnohodnotný penetrační test vyžadovaný NIS 2, DORA, obsahuje test perimetru a webových aplikací pro 3 statické URL adresy včetně ruční validace výsledků. Navíc je rozšířen o OSINT s cílem zjistit zranitelnosti využitelné pro útok. Manuálně provedené testy webových aplikací s využitím těchto zranitelností. Součástí je také test a ověření funkčnosti bezpečnostních procesů, zachycení útoku a reakce na něj. Získáte zprávu včetně prezentace výsledků a doporučení formou video call.

    Advanced testy jsou prováděny certifikovanými etickými hackery, a to již od etapy OSINTU. Nejde tedy pouze o sadu automatizovaných testů, ale o simulaci reálného kybernetického útoku stejnými postupy, které používají útočníci. Na rozdíl od nich nejsou testy zaměřeny na destrukci, ale odhalení slabin a funkčnosti bezpečnostních mechanismů. Výsledná zpráva obsahuje i doporučení, jak odhalené slabiny odstranit.

    Technická specifikace

    • OSINT (Open Source Intelligence) z veřejně dostupných zdrojů
    • Vulnerability scan v rozsahu testu Basic
    • Metodické testování scénářů na základě výstupů z OSINT pomocí renomovaných standardizovaných metodik:
      • OSSTMM (Open Source Security Testing Methodology Manual), více informací o metodice je zde
      • OWASP (Open Web Application Security Project), více informací o metodice je zde

    Výsledkem je zpráva, která podrobně popisuje způsob a vektory testování, zjištěné nedostatky a doporučení pro jejich odstranění.

  • Excellent

    Vedle „Advanced“ testu získáte OSINT na publikované emailové adresy, přípravu a provedení cíleného customizovaného phishingu vůči až 100 osobám. Test zahrnuje také základní OSINT na organizační strukturu, prověření úniku hesel spojených s emailovými adresami na doméně, připravené scénáře podvodného hovoru – vishing a oslovení náhodných 10 zaměstnanců organizace. Zpráva a následná prezentace formou video call obsahuje vyhodnocení vedeného testu včetně testu odolnosti uživatelů na uvedené techniky útoků.

    Technická specifikace

    • OSINT (Open Source Intelligence) v rozsahu testu Advanced a navíc zjištění publikovaných emailových adres z domény, včetně ověření, zda nejsou zaneseny v databázích uniklých hesel
    • Phishingové testování odsouhlasených e-mailových adres
      Měření aktivní odezvy na podvržený e-mail, reakce uživatelů
      Během testu nedojde k infikování koncových uzlů
    • Vishingové testování vybraných osob dle odsouhlasených scénářů navržených na základě provedeného OSINTu
    • Vulnerability scan v rozsahu testu Basic
    • Metodické testování scénářů na základě výstupů z OSINT pomocí renomovaných standardizovaných metodik:
      • OSSTMM (Open Source Security Testing Methodology Manual), více informací o metodice je zde
      • OWASP (Open Web Application Security Project), více informací o metodice je zde

    Výsledkem je zpráva, která podrobně popisuje způsob a vektory testování, zjištěné nedostatky a doporučení pro jejich odstranění.
    Souhrn phishingových testů obsahuje:

    • Počet uživatelů, kteří otevřeli e-mail
    • Počet uživatelů, kteří klikli na odkaz
    • Počet uživatelů, kteří zadali heslo
    • Případně počet uživatelů, kteří umožnili přístup na TeamViewer

    Zpráva vishingového testu zahrnuje analýzu scénáře útoku, detekci slabin a selhání a návrhy na jejich odstranění.

Odhalíme vaše bezpečnostní rizika a poskytneme strategii neproniknutelné ochrany

Postup kybernetických testů

Testování

etický hackerský
útok

Analýza útoku

aspekty současného
zabezpečení

Zpráva

aktuální stav, postup
útoku, návrh řešení

Přínos testování

Prověření
aktuálního stavu

Odhalení
rizikových faktorů

Doporučení
nápravy

Kontaktujte nás
a získejte nezávaznou konzultaci