AUDYT BEZPIECZEŃSTWA INFORMACJI

TESTY PENETRACYJNE
INFRASTRUKTURY SIECIOWEJ

Testy penetracyjne są autoryzowaną próbą oceny bezpieczeństwa infrastruktury teleinformatycznej. To kontrolowany atak na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.

Przeprowadzenie testów polega na analizie systemu w odniesieniu do występowania potencjalnych błędów bezpieczeństwa, które mogą być spowodowane niewłaściwą konfiguracją, lukami w sprzęcie lub oprogramowaniu, słabościami w technicznych lub proceduralnych środkach zabezpieczeń, a nawet niewystarczającą świadomością użytkowników.

Nasi specjaliści wykonując testy bezpieczeństwa, weryfikują szczelność i odporność sieci firmowej na nieupoważnione ingerencje – pochodzące zarówno z zewnątrz, jak i wewnątrz organizacji.

CEL PRZEPROWADZENIA TESTÓW

Celem testów jest poznanie najsłabszego ogniwa organizacji wśród wykorzystywanych urządzeń i oprogramowania, luk w zabezpieczeniach, możliwości ich wykorzystania przez cyberprzestępców oraz stopień potencjalnych szkód.

Test penetracyjny ma potwierdzać brak podatności w systemie oraz skuteczność zabezpieczeń w implementacji produkcyjnej lub możliwie najbardziej zbliżonej do rzeczywistej.

Efektem testu bezpieczeństwa jest aktywna ocena, które ze słabych punktów są najbardziej krytyczne, które są mniej ważne, a które wydają się słabościami, a rzeczywiście nimi nie są. Dzięki temu firmy mogą uszeregować kwestie wymagające naprawy od tych najbardziej pilących, do tych mniej ważnych.

ZAKRES TESTÓW

1. Skanowanie sieci

weryfikacja topologii sieci,
skanowanie sieci w poszukiwaniu wszystkich podłączonych hostów,
sprawdzenie działających usług na hostach podłączonych do sieci.

2. Weryfikacja dokumentacji sieci i kluczowych elementów sieci

skontrolowanie danych zawierających prace konfiguracyjne,
weryfikacja osób odpowiedzialnych,
weryfikacja dostępu do urządzeń sieciowych .

3. Skanowanie najistotniejszych hostów w sieci:

serwery,
switche,
firewall,
kluczowe stacje.

4. Sprawdzenie domyślnych haseł dla najważniejszych urządzeń w sieci.

serwery,
switche,
firewall

5. Badanie odporności urządzeń sieciowych na ataki sieciowe.

ataki DOS,
ataki DDOS.

6. Testy sieci bezprzewodowej oraz weryfikacja zabezpieczeń sieci bezprzewodowej

weryfikacja dostępu,
weryfikacja pod kątem zabezpieczeń,
wykrycie możliwości przechwycenia haseł.

7. Weryfikacja konfiguracji urządzeń brzegowych sieci

weryfikacja firewall,
skontrolowanie urządzeń sieciowych.

8. Badanie ankietowe z bezpieczeństwa sieci i procedur it

ankieta weryfikująca wiedzę i znajomość bezpieczeństwa,
raport uświadamiający poziom bezpieczeństwa.

9. Testy socjotechniczne

kontakt bezpośredni – do 4 osób,
kontakt telefoniczny – do 4 osób.

Raport

Wyniki testów opisywane są szczegółowo w raporcie, w którym wskażemy:

Cel i zakres przeprowadzenia testów
Podejście, metodyka i wykorzystywane narzędzia
Zidentyfikowane podatności oraz sposób ich wywołania
Zebrane dowody potwierdzające występowanie podatności
Ryzyka naruszenia bezpieczeństwa wg uznanego na świecie standardu CVSS
Rekomendacje

Wyniki testów stanowią informacje wejściowe dla procesów zarządzania ryzykiem oraz incydentami bezpieczeństwa w organizacji.

KIEDY NALEŻY PRZEPROWADZAĆ TAKIE TESTY?

Testy penetracyjne powinno się przeprowadzać regularnie. Tylko wtedy można zapewnić spójne zarządzanie IT i bezpieczeństwem sieci.

Oprócz cyklicznie planowanej analizy i procesu oceny systemu wynikającej z przepisów prawa i przyjętych norm wewnętrznych, test powinien odbywać się zawsze wtedy, kiedy następuje:

rozbudowa sieci, dodawane są nowe aplikacje, instaluje się poważne aktualizacje albo modyfikuje się infrastrukturę lub aplikacje
Przeniesienie siedziby biura, instalacja łatek bezpieczeństwa albo modyfikacja zasad polityki dotyczącej użytkownika końcowego

CO NAS WYRÓŻNIA?

CERTYFIKOWANI AUDYTORZY
Posiadamy dedykowany Zespół Audytorów posiadających certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób. Dzięki interdyscyplinarnemu zespołowi, usługę audytową przeprowadzimy kompleksowo, w całości w oparciu o zasoby własne.
WIEDZA EKSPERCKA
Jesteśmy wyspecjalizowani w zakresie szeroko pojętej technologii IT, w tym sieci komputerowych i bezpieczeństwa systemów komputerowych oraz komputerowych systemach zarządzania i sterowania.
DOŚWIADCZENIE
Posiadamy wszechstronną wiedzę, wielokierunkowe wykształcenie, praktyczne doświadczenie, właściwe kompetencje osobiste oraz umiejętność obejmowania zainteresowaniem jak najszerszego kontekstu. Jesteśmy zespołem z otwartą głową!
INDYWIDUALNE PODEJŚCIE DO KLIENTA
Do każdego Klienta podchodzimy indywidualnie, dzięki czemu zaproponowane i sprawdzone rozwiązania są odpowiednio dopasowane do Twoich potrzeb. Naszym priorytetem jest utrzymanie jakości naszej pracy i dostosowanie się do sytuacji biznesowej, niezależnie od tego, czy audyt przeprowadzamy w siedzibie Klienta, czy zdalnie.

przeprowadź testy penetracyjne
infrastruktury sieciowej

Skorzystaj z naszego doświadczenia i podnieś standardy cyberbezpieczeństwa.