• Čeština
  • English
  • Čeština
  • English

Penetrační testy

Penetrační testy simulují skutečné kybernetické útoky na informační systémy nebo sítě s cílem odhalit a identifikovat bezpečnostní slabiny. Testy provádí specializovaní odborníci, kteří systematicky zkoumají softwarové aplikace, hardware a infrastrukturu organizace.

Pomocí penetračních testů zjistíme, nejenom zabezpečení vašich systémů, ale také odolnost těch, kteří je hlídají. 

Výsledkem penetračního testu je zpráva, v níž shrneme pozitivní aspekty vašeho současného zabezpečení a navrhneme konkrétní řešení k odstranění zjištěných nedostatků.

Nabídka penetračních testů

Externí test ICT – základní

Cílem je prověření bezpečnosti a funkčnosti prvků veřejně dostupných systémů. Tato základní varianta testů vám poskytne základní přehled o zabezpečení vašich systému a webových aplikací. Tester k tomu využívá řadu nástrojů a následně manuálně verifikuje jejich výstupy.

Služby v testu

Jedná se o nekooperativní externí penetrační testy, které obsahují:

  • Automatické testy webové aplikace z pohledu běžného uživatele aplikace.
  • Automatické testy API rozhraní.
  • Testy k získání informací, identifikace funkčních systémů.
  • Všeobecné testy zranitelnosti.
  • Testy týkajících se charakteristiky infrastruktury systému.
  • Testy veřejně dostupných serverů.
  • Testy spolehlivosti konfigurace.
  • Testy existence backdoors.
  • Testy autentizace a schémat pro kontrolu přístupu.
  • Testy firewallů.
  • Testy routerů.
  • Kontroly operačních systémů.
  • Testy aplikačních chyb a vad v systému.
  • Testy nedostatečného provozního zabezpečení.
Výstup testu

Výstupem je písemná zpráva obsahující:

  • Informace o stavu bezpečnosti jednotlivých prověřovaných oblastí a bezpečnostních politik.
  • Detailní postup provedených penetračních testů, včetně použitých nástrojů, technik, reakcí zaměstnanců objednatele a výsledek testování.
  • Návrh opatření, která jsou doporučena pro odstranění nalezených problémů.

Externí test ICT – rozšířený

Cílem je prověření bezpečnosti a funkčnosti prvků veřejně dostupných systémů. V rozšířené variantě tester ještě navíc na základě vyhodnocení potencionálně zranitelných oblastí provádí také rozšířené manuální testy. Tyto testy dokáží odhalit i takové zranitelnosti a chyby, které běžné nástroje nedetekují. Tester rovněž klade důraz na provedení pokusů o zneužití potencionálně nalezených zranitelností a tím pádem eskalaci takovéhoto útoku, tak jak by to provedl skutečný útočník.

Služby v testu

Jedná se o nekooperativní externí penetrační testy, které obsahují:

  • Automatické a následně manuálně ověřené testy webové aplikace z pohledu neautentizovaného a případně autentizovaného uživatele.
  • Manuální testování webové aplikace zaměřené především na fungování aplikace. Možné eskalace privilegií nebo možnosti neoprávněných přístupů k obsahu jiných uživatelů
  • Automatické testy API rozhraní a manuální testy API rozhraní.
  • Testy k získání informací, identifikace funkčních systémů.
  • Všeobecné testy zranitelnosti.
  • Testy veřejně dostupných serverů.
  • Testy týkajících se charakteristiky infrastruktury systému.
  • Testy spolehlivosti konfigurace.
  • Testy autentizace a schémat pro kontrolu přístupu.
  • Testy firewallů.
  • Kontroly operačních systémů.
  • Testy aplikačních chyb a vad v systému.
  • Testy nedostatečného provozního zabezpečení.
Výstup testu

Výstupem je písemná zpráva obsahující:

  • Informace o stavu bezpečnosti jednotlivých prověřovaných oblastí a bezpečnostních politik.
  • Detailní postup provedených penetračních testů, včetně použitých nástrojů, technik, reakcí zaměstnanců objednatele a výsledek testování.
  • Návrh opatření, která jsou doporučena pro odstranění nalezených problémů.

Interní test ICT

Cílem interních penetračních testů je prověření bezpečnosti systému v rámci jeho provozního prostředí a provozu interní sítě, kde se dá předpokládat nižší úroveň zabezpečení. Bude proveden řízený útok na síť objednatele, tj. bude simulováno počínání potencionálního útočníka pokoušejícího se o průnik z vnitřní sítě. Bude proveden řízený útok ze sítě LAN.

Služby v testu

Jedná se o kooperativní interní penetrační testy, které obsahují:

  • Testy k získání informací, identifikace funkčních systémů.
  • Všeobecné testy zranitelnosti.
  • Testy týkajících se charakteristiky infrastruktury systému.
  • Testy spolehlivosti konfigurace.
  • Testy existence backdoors.
  • Testy autentizace a schémat pro kontrolu přístupu.
  • Kontrolu operačních systémů.
  • Testy aplikačních chyb a vad v systému.
  • Testy nedostatečného provozního zabezpečení.
  • Testy slabých míst zahrnující body selhání, s cílem způsobit odmítnutí služeb webových aplikací.
  • Odposlech komunikace se systémem.
  • Odchycení a přesměrování této komunikace.
  • Zneužití odchycených informací a komunikace směrem k aplikačním službám (serverům).
  • Útoky na uživatele systému prostřednictvím tohoto systému.
  • Testy wi-fi bodů přístupu.
Výstup testu

Výstupem je písemná zpráva obsahující:

  • Informace o stavu bezpečnosti jednotlivých prověřovaných oblastí a bezpečnostních politik.
  • Detailní postup provedených penetračních testů, včetně použitých nástrojů, technik, reakcí zaměstnanců objednatele a výsledek testování.
  • Návrh opatření, která jsou doporučena pro odstranění nalezených problémů.
Služby v testu

Jedná se o nekooperativní externí penetrační testy, které obsahují:

  • Automatické testy webové aplikace z pohledu běžného uživatele aplikace.
  • Automatické testy API rozhraní.
  • Testy k získání informací, identifikace funkčních systémů.
  • Všeobecné testy zranitelnosti.
  • Testy týkajících se charakteristiky infrastruktury systému.
  • Testy veřejně dostupných serverů.
  • Testy spolehlivosti konfigurace.
  • Testy existence backdoors.
  • Testy autentizace a schémat pro kontrolu přístupu.
  • Testy firewallů.
  • Testy routerů.
  • Kontroly operačních systémů.
  • Testy aplikačních chyb a vad v systému.
  • Testy nedostatečného provozního zabezpečení.
Výstup testu

Výstupem je písemná zpráva obsahující:

  • Informace o stavu bezpečnosti jednotlivých prověřovaných oblastí a bezpečnostních politik.
  • Detailní postup provedených penetračních testů, včetně použitých nástrojů, technik, reakcí zaměstnanců objednatele a výsledek testování.
  • Návrh opatření, která jsou doporučena pro odstranění nalezených problémů.
Služby v testu

Jedná se o nekooperativní externí penetrační testy, které obsahují:

  • Automatické a následně manuálně ověřené testy webové aplikace z pohledu neautentizovaného a případně autentizovaného uživatele.
  • Manuální testování webové aplikace zaměřené především na fungování aplikace. Možné eskalace privilegií nebo možnosti neoprávněných přístupů k obsahu jiných uživatelů
  • Automatické testy API rozhraní a manuální testy API rozhraní.
  • Testy k získání informací, identifikace funkčních systémů.
  • Všeobecné testy zranitelnosti.
  • Testy veřejně dostupných serverů.
  • Testy týkajících se charakteristiky infrastruktury systému.
  • Testy spolehlivosti konfigurace.
  • Testy autentizace a schémat pro kontrolu přístupu.
  • Testy firewallů.
  • Kontroly operačních systémů.
  • Testy aplikačních chyb a vad v systému.
  • Testy nedostatečného provozního zabezpečení.
Výstup testu

Výstupem je písemná zpráva obsahující:

  • Informace o stavu bezpečnosti jednotlivých prověřovaných oblastí a bezpečnostních politik.
  • Detailní postup provedených penetračních testů, včetně použitých nástrojů, technik, reakcí zaměstnanců objednatele a výsledek testování.
  • Návrh opatření, která jsou doporučena pro odstranění nalezených problémů.
Služby v testu

Jedná se o kooperativní interní penetrační testy, které obsahují:

  • Testy k získání informací, identifikace funkčních systémů.
  • Všeobecné testy zranitelnosti.
  • Testy týkajících se charakteristiky infrastruktury systému.
  • Testy spolehlivosti konfigurace.
  • Testy existence backdoors.
  • Testy autentizace a schémat pro kontrolu přístupu.
  • Kontrolu operačních systémů.
  • Testy aplikačních chyb a vad v systému.
  • Testy nedostatečného provozního zabezpečení.
  • Testy slabých míst zahrnující body selhání, s cílem způsobit odmítnutí služeb webových aplikací.
  • Odposlech komunikace se systémem.
  • Odchycení a přesměrování této komunikace.
  • Zneužití odchycených informací a komunikace směrem k aplikačním službám (serverům).
  • Útoky na uživatele systému prostřednictvím tohoto systému.
  • Testy wi-fi bodů přístupu.
Výstup testu

Výstupem je písemná zpráva obsahující:

  • Informace o stavu bezpečnosti jednotlivých prověřovaných oblastí a bezpečnostních politik.
  • Detailní postup provedených penetračních testů, včetně použitých nástrojů, technik, reakcí zaměstnanců objednatele a výsledek testování.
  • Návrh opatření, která jsou doporučena pro odstranění nalezených problémů.

Phishingový test

Cílem této služby je prověření úrovně bezpečnostního povědomí zaměstnanců formou phishing testu, zejména, zda zaměstnanci odhalí různé formy phishingových mailů a adekvátně na ně zareagují. V rámci phishing testu bude také prověřeno dodržování procesů a bezpečnostních zásad v rámci vaší společnosti.
Služby v testu

V rámci této služby dojde:

  • Rozeslání podvržených e-mailů uživatelům.
  • Měření aktivní odezvy na podvržený e-mail – „proklik“ na odkaz v e-mailu.
  • Zaznamenání reakce uživatelů, kteří upozornili na podezřelý podvržený e-mail.
  • Během testu nedojde k infikování koncových bodů.
Výstup testu

V rámci výstupu z phishingových testů dostanete souhrn:

  • Kolik uživatelů otevřelo email.
  • Kolik uživatelů kliklo na odkaz.
  • Kolik uživatelů zadalo heslo.
  • Případně kolik uživatelů by umožnilo přístup na Teamviewer.

Vishingový test

Cílem této služby je prověření úrovně bezpečnostního povědomí zaměstnanců formou vishing testu, zejména, zda zaměstnanci odhalí různé formy vishingových telefonátů a adekvátně na ně zareagují. V rámci vishing testu bude také prověřeno dodržování procesů a bezpečnostních zásad v rámci vaší společnosti.
Služby v testu

V rámci této služby bude proveden telefonický pokus, zda zaměstnanec:

  • Poskytne přístup k reálným osobním údajům pod záminkou příbuznosti/potřeby vyřídit určitou záležitost.
  • Sdělí neveřejné/chráněné informace (např. heslo, plat atd.) pod záminkou např. technické podpory.
  • Vykoná nežádoucí činnosti (otevření mailu, zadání hesla atd.) pod záminkou např. technické podpory.
  • Umožnění poskytnutí přístupu na Teamviewer pod záminkou např. technické podpory.

Scénář bude vždy dopředu projednán a odsouhlasen s objednatelem.

Výstup testu

V rámci výstupu z vishingových testů dostanete souhrn:

  • Kolik uživatelů poskytlo přístup k osobním údajům.
  • Kolik uživatelů sdělilo neveřejné informace.
  • Kolik uživatelů vykonalo nežádoucí činnost.
  • Případně kolik uživatelů by umožnilo přístup na Teamviewer.
Služby v testu

V rámci této služby dojde:

  • Rozeslání podvržených e-mailů uživatelům.
  • Měření aktivní odezvy na podvržený e-mail – „proklik“ na odkaz v e-mailu.
  • Zaznamenání reakce uživatelů, kteří upozornili na podezřelý podvržený e-mail.
  • Během testu nedojde k infikování koncových bodů.
Výstup testu

V rámci výstupu z phishingových testů dostanete souhrn:

  • Kolik uživatelů otevřelo email.
  • Kolik uživatelů kliklo na odkaz.
  • Kolik uživatelů zadalo heslo.
  • Případně kolik uživatelů by umožnilo přístup na Teamviewer.
Služby v testu

V rámci této služby bude proveden telefonický pokus, zda zaměstnanec:

  • Poskytne přístup k reálným osobním údajům pod záminkou příbuznosti/potřeby vyřídit určitou záležitost.
  • Sdělí neveřejné/chráněné informace (např. heslo, plat atd.) pod záminkou např. technické podpory.
  • Vykoná nežádoucí činnosti (otevření mailu, zadání hesla atd.) pod záminkou např. technické podpory.
  • Umožnění poskytnutí přístupu na Teamviewer pod záminkou např. technické podpory.

Scénář bude vždy dopředu projednán a odsouhlasen s objednatelem.

Výstup testu

V rámci výstupu z vishingových testů dostanete souhrn:

  • Kolik uživatelů poskytlo přístup k osobním údajům.
  • Kolik uživatelů sdělilo neveřejné informace.
  • Kolik uživatelů vykonalo nežádoucí činnost.
  • Případně kolik uživatelů by umožnilo přístup na Teamviewer.

Odhalíme vaše bezpečnostní rizika a poskytneme strategii neproniknutelné ochrany