PenTera

PenTera to narzędzie firmy Pcysys, które oferuje w pełni zautomatyzowaną platformę do zaawansowanych testów penetracyjnych, która wspiera bezpieczeństwo cybernetyczne w organizacji, w szczególności zadania tzw. Red Team.

PenTera to narzędzie firmy Pcysys, które oferuje w pełni zautomatyzowaną platformę do zaawansowanych testów penetracyjnych, która wspiera bezpieczeństwo cybernetyczne w organizacji, w szczególności zadania tzw. Red Team. Stosując perspektywę hakera, oprogramowanie identyfikuje, analizuje i pomaga usunąć luki w podatnościach i systemach bezpieczeństwa. Platforma koncentruje się na testowaniu infrastruktury, zakładając, że haker już się do niej włamał. W bezpiecznej formie i wykorzystując także znalezione podatności, uruchamia fizycznie tzw. exploity, działając jakkolwiek bez zaburzania działania produkcyjnych systemów. Raport z wykrytych nieprawidłowości może być zintegrowany z systemami typu SIEM/SOAR, dzięki czemu administratorzy SOC oraz Red/Blue Team mogą mieć pełny wgląd zarówno w przebieg ataku, aby podjąć działania zapobiegawcze jeszcze zanim realny atak nastąpi. Oprogramowanie może działać w trybie 24/7, skanując sieć w poszukiwaniu nowych luk bezpieczeństwa.
PenTera jest używana przez organizacje zaangażowane w bezpieczeństwo IT oraz przez dostawców usług (MSSP) na całym świecie.

Zautomatyzowana platforma testów penetracyjnych

Tysiące pentesterów do twojej dyspozycji.

WYZWANIA

W miarę jak hakerzy stają się coraz bardziej wyrafinowani, specjaliści ds. Bezpieczeństwa korporacji i organy regulacyjne stają się coraz bardziej świadomi potrzeby uwzględnienia perspektywy hakera w ich bieżącej strategii cyberobrony.

Tradycyjnie testy penetracyjne były wykonywane ręcznie przez firmy usługowe, angażując kosztowną siłę roboczą w celu wykrycia ukrytych luk w zabezpieczeniach i sporządzenia długich raportów, przy niewielkiej przejrzystości po drodze.

Profesjonalne testy penetracyjne oparte na usługach, jakie znamy obecnie, są czasochłonne, uciążliwe, kosztowne, stanowią tylko pojedynczy punkt w czasie i nie mogą spełniać potrzeby ciągłej weryfikacji zabezpieczeń w dynamicznym środowisku IT.

ROZWIĄZANIE

Skupiając się na zagrożeniu wewnętrznym, PenTera naśladuje atak hakera – automatyzując wykrywanie luk w zabezpieczeniach i etyczną eksploitacje, zapewniając jednocześnie niezakłócone działanie sieci. Szczegółowe raporty są tworzone wraz z proponowanymi środkami zaradczymi, o krok przed złośliwym hakerem jutra.

PRODUKT PRZYSZŁOŚCI

Bezagentowość

Zero instalacji agentów lub konfiguracji sieci. Testy penetracyjne rozpoczynają się od fizycznego dostępu do sieci LAN bez żadnych poświadczeń. Tak jak zrobiłby to haker.

Nieszkodliwa eksploitacja

Jak haker, dokonujemy etycznych eksploitacji bez zakłócania usługi: np. ruch boczny, zdalne wykonywanie kodu, ataki przekaźnikowe, łamanie haseł, etyczne wstrzykiwanie złośliwego kodu i eskalacja uprawnień.

Widoczność wektora ataku

Każdy krok ataku jest szczegółowo przedstawiany i raportowany w celu udokumentowania i wyjaśnienia tzw. „kill chain” ataku oraz wskazania minimalnej liczby luk w zabezpieczeniach, aby zatrzymać ścieżkę ataku.

Automatyzacja

Naciśnij „Start” i zajmij się innymi rzeczami w trakcie testu penetracyjnego. Wszystko, co musisz zrobić, to zdefiniować zakres adresów IP i wybrać typ testów, które chcesz wykonać.

Punkty kontrolne ataku

W przypadku systemów krytycznych pracownik zespołu bezpieczeństwa może przejąć dyskretną kontrolę nad etapami eksploatacyjnymi wyższego rzędu, aby selektywnie kontrolować poziom inwazyjności ataku.

Priorytetowe środki zaradcze

Uzyskaj przejrzyste podsumowanie najważniejszych kroków zaradczych do wykonania w oparciu o priorytety w obliczu zagrożeń, które są istotne dla sieci organizacyjnej i krytycznych zasobów.

Najnowsze techniki hakerskie

Narzędzie stworzone przez praktyków branży. Wiedz, że Twoje techniki testów penetracyjnych są najbardziej aktualne.

Chirurgiczna dokładność

Możesz ustawić dowolny punkt początkowy i cel testów penetracyjnych oraz przeprowadzić testy ataków ukierunkowanych pod kątem określonej słabości lub odporności cybernetycznej określonych aplikacji.

KORZYŚCI

Ciągła ochrona | Utrzymuj całą infrastrukturę na tym samym wysokim poziomie

Niezwykle ważne jest, aby konsekwentnie sprawdzać zabezpieczenia w organizacji. Platforma zautomatyzowanych testów penetracyjnych firmy Pcysys testuje całą infrastrukturę za pomocą szerokiego wachlarza technik hakerskich, dzięki czemu pozostajesz odporny niezależnie od tego, w jaki sposób haker próbuje się włamać.

Spójna walidacja | Testuj tak często, jak potrzeba  codziennie, co tydzień lub co miesiąc

Ponieważ sieci, użytkownicy, urządzenia i aplikacje nieustannie się zmieniają i ujawniają luki w zabezpieczeniach, ciągłe testy penetracyjne mają kluczowe znaczenie. Pcysys umożliwia sprawdzanie stanu bezpieczeństwa cybernetycznego tak często, jak potrzebujesz, zachowując czujność przez cały czas.

Obecna obrona | Bądź na bieżąco z najnowszymi technikami hakerskimi

Złośliwi hakerzy stale rozwijają swoje techniki i narzędzia, dlatego niezwykle ważne jest, aby narzędzia do weryfikacji ryzyka ewoluowały tak szybko, jak hakerzy. Pcysys zapewnia, że dopasowujesz i rozwijasz głębię technik testowania.

ŁATWE WDROŻENIE

PenTera jest lokalnie instalowana w Twojej sieci, skutecznie zabezpieczając Twoje luki przed Internetem i światem zewnętrznym. Oprogramowanie wymaga standardowego sprzętu, a instalacja zajmuje tylko kilka godzin, po zakończeniu których cała funkcjonalność jest dostępna w każdym środowisku.

MASZYNA VS COWIEK

Globalny niedobór specjalistów ds. Bezpieczeństwa informacji i wzrost stopnia wyrafinowania zagrożeń cybernetycznych powodują, że istnieje potrzeba automatycznego oprogramowania do testów penetracyjnych. Poprawiamy sposób, w jaki organizacje weryfikują ryzyko związane z cyberbezpieczeństwem, dostarczając najbardziej wyrafinowaną, ciągłą i opłacalną platformę testów penetracyjnych.

Ciągła walidacja infrastruktury kluczem do obniżenia ryzyka

Właściwe zrozumienie luk w zabezpieczeniach infrastruktury oraz możliwych sposobów ich wykorzystania do skompromitowania systemów odpowiedzialnych za bezpieczeństwo IT jest podstawą oceny stanu bezpieczeństwa w organizacji, co z kolei przekłada się na możliwość właściwego adresowania problemów, a także określenie metod ich eliminacji. Obecnie okresowe statyczne badanie podatności, ani wyrywkowe testy penetracyjne, nie odzwierciedlają rzeczywistej sytuacji w czasie dla naszego przedsiębiorstwa.

Duże i skomplikowane środowiska informatyczne podlegają stałym dynamicznym zmianom, co wykorzystują zmieniające się zaawansowane i coraz bardziej złożone formy złośliwego oprogramowania a także stale pojawiające się nowe wektory ataków. Właściwe zabezpieczenie organizacji przed tego rodzaju zagrożeniami wymaga stałego nadzoru nad stanem zabezpieczeń i weryfikacji skuteczności zastosowanych działań w zasadzie w trybie ciągłym.

W tej sytuacji niezbędne jest zastosowanie właściwych narzędzi, które umożliwiają skuteczną kontrolę stanu bezpieczeństwa w dowolnym momencie, przez cała dobę, bez konieczności angażowania wysoko wyspecjalizowanych specjalistów. Narzędzie takie powinno umożliwiać nie tylko kompleksowe skanowanie sieci komputerowych w poszukiwaniu znanych podatności, ale także umożliwić zbadanie możliwości ich wykorzystania do przeprowadzenia fizycznych zaawansowanych ataków, w kontrolowany sposób, jednak z odzwierciedleniem metod zbliżonych do realnych warunków i scenariuszy. Rezultatem działania tego rodzaju platformy powinien być raport, obejmujący cześć ogólną, skierowana do kadry zarządzającej obszarem bezpieczeństwa, jak też cześć szczegółową, pozwalającą na precyzyjne określenie wykrytych podatności oraz rzeczywistych, wynikających ze skutecznych wyników działania konkretnych wektorów ataków. Dodatkowo raport powinien wskazywać szczegółowe ścieżki działania w każdym z przeprowadzonych scenariuszy ataku, zarówno skutecznym jak też takim, w który został skutecznie powstrzymany przez istniejące zabezpieczenia. Rozwiązanie powinno oferować system rekomendacji możliwych działań w celu eliminacji wykrytych zagrożeń, wraz z ich szczegółowym opisem i odnośnikami do rekomendowanych rozwiązań oraz oferować wbudowany moduł do symulacji zastosowanych działań naprawczych w taki sposób, aby można było określić najskuteczniejszy i optymalny sposób wdrożenia zmian, zarówno w funkcji priorytetów, pozwalając na szybkie wyeliminowanie skutków podatności i ewentualne rozłożenie mniej krytycznych działań w czasie.

Narzędzia dostępne w obszarze zarządzania bezpieczeństwem

1. Skanery podatności.

Zalety: narzędzia te pozwalają na skuteczne i szybkie wykrywanie znanych luk w zabezpieczeniach poszczególnych urządzeń i systemów. Skuteczność wykrywania jest wprost proporcjonalna do jakości bazy podatności, z którego narzędzie korzysta. Im lepsza baza, tym lepszy wynik skanu. Sam proces skanowania jest wspierany przez oprogramowanie, którego wykorzystanie nie wymaga specjalistycznej wiedzy z zakresu bezpieczeństwa, w szczególności technik ataków.

Wady: skanery podatności wykrywają tylko znane podatności, tzn. te które znalazły się w bazie producenta rozwiązania, ale nie uwzględniają kontekstu i specyfiki organizacji, ani specyficznych technik i wektorów ataków. Badanie podatności dotyczy bowiem poszczególnych obiektów i nie uwzględnia relacji pomiędzy tymi obiektami, a innymi elementami sieci. Skanowanie podatności można zatem określić jako metodę statyczną. Dynamicznie zmieniające się relacje w sieci komputerowej pomiędzy systemami i użytkownikami nie są zazwyczaj przedmiotem analizy tego rodzaju narzędzi. Nie umożliwiają one także określenia, czy wykryta luka w zabezpieczeniach pozwala na jej rzeczywiste wykorzystanie do przeprowadzenia ataku w konkretnej infrastrukturze, przez co realnie generuje fałszywe alerty o istniejących, ale niekoniecznie niebezpiecznych w danej infrastrukturze podatnościach, co znacznie utrudnia właściwe określenie priorytetów w zakresie procesu eliminacji zagrożeń oraz dalszej naprawy i zabezpieczenia infrastruktury. Wyniki skanu podatności zazwyczaj wymagają wnikliwej analizy przez specjalistów w zakresie bezpieczeństwa, którzy potrafią na podstawie ich podstawie określić rzeczywiste zagrożenia w danej organizacji oraz kolejność i sposób ich usuwania. Działanie zatem wymaga zaangażowania dodatkowych zasobów oraz zajmuje dużo więcej czasu niż to wynika z czasu działania samego narzędzia, jakim jest skaner podatności. Dodatkowo należy zwrócić uwagę na to, że zatrudnieni do analizy specjaliści muszą na bieżąco śledzić zagadnienia związane z wykrywanymi zagrożeniami oraz posiadać wysokie kwalifikacje w tym zakresie, od których zależy bezpośrednio przełożenie wyniku skanowania w postaci surowego raportu na wynik w postaci skutecznego zlokalizowania rzeczywistych problemów w organizacji oraz zaplanowania sposobu ich usunięcia a także zabezpieczenia na przyszłość.

2. Manualne testy podatności.

Zalety: precyzyjna, wielowątkowa i często nie rutynowa analiza stanu bezpieczeństwa infrastruktury i aplikacji. Testerzy podatności wykorzystują wiele wyspecjalizowanych narzędzi, które odpowiednio skonfigurowane, dostarczają szczegółowe informacje w

obszarach, które zazwyczaj są niedostępne dla narzędzi oraz osób, bez odpowiedniego przygotowania i wieloletniego doświadczenia.

Wady: testy manualne, ze względu na ich specyfikę, są zazwyczaj testami wyrywkowymi a nie kompleksowymi. W związku z tym koncentrują się na pewnych z góry określonych obszarach, w których specjaliści spodziewają się znaleźć typowe, najczęściej występujące problemy. Innym aspektem testów manualnych jest nie zawsze osiągalna powtarzalność wyników, pomimo zbliżonej metodologii, co wynika z indywidualnych umiejętności i predyspozycji testerów oraz analityków, biorących udział w procesie. Ponadto zasoby wykorzystywane do testów manualnych są zazwyczaj pozyskiwane z zewnątrz, dlatego istotna jest również ograniczona dostępność, konieczność planowania prac z dużym wyprzedzeniem oraz stale rosnący koszt robocizny w tak wyspecjalizowanym obszarze, jakim jest bezpieczeństwo cybernetyczne.

3. Symulatory ataków.

Zalety: narzędzia te pozwalają na wykonywanie szeregu kontrolowanych symulacji wektorów ataków w bezpiecznym, odizolowanym środowisku testowych. Niektóre z nich można również wykorzystywać do kontrolowanych kampanii, wykorzystujących pewne formy ataków na realnych użytkowników (np. phishing) , dzięki czemu pozwalają na testowanie podatności na określone zagrożenia i podnoszenia świadomości na temat tego rodzaju zagrożeń w organizacji.

Wady: symulatory ataków działają w oderwaniu od rzeczywistej, realnej infrastruktury w danej organizacji, dlatego w sposób selektywny i ograniczony odnoszą się do tych podatności, o których istnieniu nie jesteśmy świadomi. Adekwatność wykonanych symulacji do realnej sytuacji bezpieczeństwa w organizacji jest zatem uzależniona od wiedzy i umiejętności osób odpowiedzialnych za zarządzanie obszarem bezpieczeństwa cybernetycznego

4. Narzędzia do automatyzacji testów penetracyjnych (Network Penetration Testing tools).

Zalety: narzędzia klasy NPT, oferowane są zarówno w wersjach komercyjnych, jak też open source. Umożliwiają bardzo szeroki zakres funkcjonalności, które w rękach kompetentnego specjalisty pozwalają na wykonywanie setek scenariuszy testowych, automatyzujących pracę pentesterów, przez co znacznie zwiększających wydajność i skuteczność wykrywania, badania i weryfikacji luk w bezpieczeństwie infrastruktury IT. Wersje open source są polecane głównie specjalistom ds. pentestów, gdyż do właściwego wykorzystania wymagają bardzo specjalistycznej wiedzy i integracji w obszarach, które najczęściej nie są wspierane przez ich twórców źródłowych. Nie oferują też wsparcia w zakresie specyficznych funkcji, które są wynikiem inwencji użytkownika końcowego. Narzędzia komercyjne oferują zestaw predefiniowanych funkcji, które zapewniają działanie automatyzujące określone obszary zarówno wykrywania elementów sieci, skanowania ich podatności, jak też dalszych działań związanych z weryfikacją możliwych konsekwencji wykorzystania istniejących luk w systemach bezpieczeństwa. Dodatkowa zaletą takich rozwiązań może być automatyczne generowanie raportów nie tylko o wykrytych podatnościach, ale też skutecznych i zablokowanych wektorach ataków na te wykryte podatności. Poza tym narzędzia do automatyzacji testów penetracyjnych pozwalają na wykonywanie testów kompleksowo, tzn. umożliwiają wykonanie wielu testów równolegle na całej puli adresów IP, przez co skracają czas potrzebny na przeprowadzenie ćwiczenia, a ponadto pozwalają na wykrywanie wszystkich miejsc, gdzie dane podatności występują, dodatkowo wykonują na bieżąco wykorzystywanie tych podatności (ang. exlpoitation), sprawdzając czy w danym punkcie jest rzeczywiście możliwe obejście zabezpieczeń oraz jakie są dalsze skutki przełamania systemów bezpieczeństwa (np. uzyskanie danych do logowania lub przedostanie się do innego obszaru

sieci). Dodatkowo narzędzia tego typu pozwalają na osiągnięcie zadowalającego poziomu powtarzalności, przez co powtórne sprawdzanie podatności po działaniach naprawczych może dostarczyć wiarygodne potwierdzenie zamknięcia luk oraz trwałego zabezpieczenia możliwości kompromitacji zabezpieczeń w danym obszarze.

Wady: ograniczenia narzędzi automatyzujących wynikają głównie ze specyfiki samej automatyzacji. Nie wszystkie działania można opisać kodem, dlatego nie obejmują one wszystkich obszarów oraz aspektów bezpieczeństwa. Narzędzia tego typu, podobnie jak skanery podatności, specjalizują się w obszarach infrastruktury sieciowej, aplikacji oraz kodów źródłowych. Dodatkowo ze względu na specyfikę, niektóre z nich wymagają bardzo skomplikowanych konfiguracji, przez co są adresowane do tych specjalistów, którzy na co dzień wykonują testy manualne i potrzebują narzędzi do automatyzacji niektórych, bardziej skomplikowanych lub czasochłonnych zadań.

Jakie potrzeby biznesowe organizacji adresuje platforma do automatyzacji testów penetracyjnych

Ciągłe i nieograniczone monitorowanie stanu zabezpieczeń infrastruktury – zgodnie z regułą, że na poziom bezpieczeństwa mają wpływ różne działania, najistotniejsze jest zapewnienie prawidłowo zorganizowanego procesu zarządzania bezpieczeństwem, począwszy od badania stanu podatności, poprzez ustalenie wpływu na organizację, ustalenie priorytetów, przeprowadzenie działań naprawczych aż po obowiązkową weryfikację zastosowanych rozwiązań.

Identyfikacja luk w zabezpieczeniach sieciowych – regularne badanie podatności systemów i infrastruktury nie tylko wynikające z ich zmian, ale także z dynamicznie zmieniających się warunków otoczenia oraz stale ulepszanych innowacyjnych technika ataków i nowych zagrożeń.

1. Identyfikowanie wszystkich wektorów ataku bez ograniczeń związanych z posiadaną infrastrukturą oraz czynnikiem ludzkim – wyeliminowanie wpływu ograniczeń wynikających z dostępności wysoko wyspecjalizowanej kadry ekspertów ds. Bezpieczeństwa cybernetycznego oraz konieczności dostosowywania narzędzi do stale zmieniających się warunków otoczenia i nowych wektorów ataków.

2. Optymalizacja rozwiązań zabezpieczających dzięki natychmiastowej weryfikacji – umożliwienie oceny skuteczności stosowanych rozwiązań prezencyjnych oraz narzędzi do reagowania na incydenty oraz zwalczania zaawansowanych zagrożeń. Ocena nowego rozwiązania zabezpieczającego przed zakupem może pozwolić nie tylko na zastosowanie tych najskuteczniejszych, ale także na zmniejszenie kosztów rozbudowy i utrzymania infrastruktury o elementy nie wnoszące w organizacji zasadniczych wartości w zakresie skuteczności w zwalczaniu zagrożeń cybernetycznych.

3. Kompleksowe testowanie i walidacja systemów i procesów bezpieczeństwa w bezpieczny i kontrolowany sposób – możliwość optymalizacji nie tylko narzędzi i systemów bezpieczeństwa, ale przede wszystkim budowy właściwych procesów zarządzania bezpieczeństwem w całej organizacji.

4. Sprawdzanie poprawności zabezpieczeń bez ujawniania poufnych informacji stronom trzeci – to aspekt, dzięki któremu można zmniejszyć zakres zaangażowania zewnętrznych zasobów, które są angażowane głównie w przypadku braku kompetencji własnych w organizacji. Zastosowanie narzędzi, które wykonują zadania powierzane dotąd zewnętrznym specjalistom, nie tylko optymalizuje koszty operacyjne, ale pozwala na ograniczenie ryzyka wnoszonego przez uprzywilejowany dostęp do najbardziej wrażliwych obszarów informacji o słabościach organizacji.

5. Uzupełnianie wiedzy zespołu zarządzającego bezpieczeństwem – wykonywanie testów skoncentrowanych na konkretnych zagrożeniach w celu szkolenia członków poszczególnych zespołów, aby skutecznie przestrzegali odpowiednich procedur i sprawdzali sposoby reakcji na incydenty w realnych warunkach.

6. Zapewnienie zgodności z wymaganiami audytu – jest dodatkowych aspektem optymalizującym zarówno koszty jak też automatyzującym i skracającym proces przygotowania niezbędnej dokumentacji audytowej.

7. Ograniczenie kosztów powielających się obszarów usług oraz systemów – wdrożenie narzędzi automatyzujących procesy badania podatności oraz testów penetracyjnych eliminuje konieczność stosowania systemów klasy skaner podatności wewnątrz organizacji oraz zmniejsza zapotrzebowanie na manualne testy penetracyjne. W obu wymienionych obszarach (skanery i testy podatności) wymagany jest obecnie czynnik ludzki, który wykonuje fizyczne działania lub co najmniej jest niezbędny do analizy wyników skanowania. W przypadku zastosowania platformy automatyzującej testy penetracyjne, wszystkie działania przygotowawcze może wykonać administrator sieci a generowane raporty wynikowe zawierają nie tylko informacje o wykrytych problemach, ale przede wszystkim informują o ich wpływie na organizację oraz opisują sposób eliminacji tych zagrożeń oraz zabezpieczenia się przed podobnymi zdarzeniami w przyszłości.

Rekomendacja

Narzędzie (platforma), która oferuje w maksymalnie zautomatyzowanej formie osiągnięcie funkcjonalności łączącej skanowanie podatności, testy penetracyjne oraz symulowanie określonych ścieżek ataków przy całkowicie bezpiecznym wykorzystaniu realnej infrastruktury w organizacji.

Narzędzie takie musi zapewnić możliwie najszerszy i uniwersalny zakres funkcjonalny z w/w obszarów, ze szczególnym uwzględnieniem prostoty obsługi (bez konieczności angażowania ekspertów), wariantową szczegółowością oferowanych raportów (ogólny status bezpieczeństwa -tzw. scoring – dla kadry zarządzającej i szczegółowe raporty dla obsługi operacyjnej), obejmujących również konkretne zalecenia (podpowiedzi) w kontekście specyfiki sieci w konkretnej organizacji. Narzędzie powinno zapewnić pełną dostępność w trybie 24/7, bez konieczności instalowania jakichkolwiek dodatkowych zasobów na monitorowanych systemach (w szczególności kolejnych agentów), które mogłyby negatywnie wpływać na ich wydajność lub zarządzalność przez inne systemy.