Penetrační testy

Hlavní smyslem penetračních testů je zíspentestkání reálného pohledu na stav zabezpečení informačních technologií. Společnost SHIFTCOM nabízí svým zákazníkům tři varianty penetračních testů.

1. Penetrační testy webových aplikací

  • detekce nejčastějších zranitelností dle OWASP (např. Cross Site Scripting, Injection Flaws, Malicious File Execution, Insecure Direct Object Reference a další)
  • testování probíhá ve dvou režimech:

a) Veřejný, který testuje zranitelnosti aplikací z pohledu běžného uživatele
b) Eskalace, kdy se pracuje se základními přístupovými údaji (typicky už. jméno a heslo) a snaží se o eskalaci práv na administrátorskou úroveň.

  • výstupem z testů je podrobná analýza zranitelností a doporučení pro nápravu

2. Penetrační testy ICT infastruktury

  • skenuje adresní rozsah zadavatele a vyhledává slabiny zneužitelné k útoku na infrastrukturu
  • testovány jsou například poštovní a webové servery, proxy servery, routery, firewally a další technologie, které jsou dosažitelné z vnější sítě internet
  • po dohodě se zákazníkem lze provést také penetrační testy vnitřní infrastruktury
  • výstupem z testů je podrobná analýza celkového zabezpečení a doporučení pro nápravu a vylepšení

3. Penetrační testy formou sociálního inženýrství

Jako sociální inženýrství označujeme soubor technik, s jejichž pomocí lze efektivně útočit na nejslabší článek informačního systému, kterým je uživatel. Metody sociálního inženýrství dokáží lidi přimět, aby udělali to, co útočník chce, a nepřemýšleli, zda je to správné nebo ne.

  • zkoušíme uživatele přimět k vyzrazení citlivých informací
  • přimět uživatele, aby spustil podvržený škodlivý kód
  • přimět uživatele, aby umožnil přístup do firemních i chráněných prostor
  • a další způsoby, které lze předem dohodnout

V rámci těchto scénářů se využívají různé stresové situace a záminky, jako je například podezření na virovou nákazu, nutnost okamžité změny nastavení počítače apod. K provedení simulovaného útoku je zapotřebí poměrně kvalitní příprava.

Comments are closed.