Wewnętrzne Testy Penetracyjne Infrastruktury IT

Metodyka testów penetracyjnych zakłada symulację działań rzeczywistych przestępców komputerowych próbujących uzyskać nieautoryzowany dostęp do zasobów organizacji wykorzystując wszystkie możliwe kanały dostępu oraz techniki penetracyjne. Metodyka testów penetracyjnych charakteryzuje się wysoką elastycznością poprzez dostosowanie technik penetracyjnych do scenariuszy ataków odpowiadającym największym zagrożeniom z punktu widzenia badanej organizacji.

Opis usługi:

Autorska metodyka testów penetracyjnych jest spójna z najlepszymi praktykami w tym zakresie, w tym m.in.:

• Open Source Security Testing Methodology Manual (OSSTMM),
• NIST 800-42, Guideline on Network Security Testing,
• Information System Security Assessment Framework (ISSAF),
• Zalecenia organizacji SANS Institute, Offensive Security oraz EC-Council.

Niezależnie od realizowanego scenariusza ataku, metodyka zakłada realizację testów penetracyjnych w następujących etapach:

• Rozpoznanie,
• Testowanie,
• Exploitowanie (po uzyskaniu zgody).

Metodyka zakłada iteracyjne powtarzanie etapów w ramach nowych scenariuszy testów penetracyjnych związanych z eskalacją uprawnień lub zmianą kanału dostępu.
Przykładowe scenariusze testów penetracyjnych mogą symulować np.:

• Próby uzyskania dostępu do sieci wewnętrznej organizacji przez osobę
  z zewnątrz,
• Próby przejęcia kontroli nad stacją użytkownika organizacji poprzez infekcję złośliwym oprogramowaniem,
• Próby realizacji działań przy użyciu zagubionego komputera pracownika organizacji,
• Próby ominięcia zabezpieczeń przez pracownika organizacji,
• Próby uzyskania dostępu do organizacji przez gościa organizacji (lub kontraktora).

Korzyści dla klienta:

Klienci korzystający z naszych usług zyskują pewność, że ich infrastruktura IT jest zabezpieczona przed złożonymi i zaawansowanymi zagrożeniami, co zwiększa ich odporność na ataki oraz poprawia ogólną postawę bezpieczeństwa.

Cechy i specyfikacja:

Usługa obejmuje etapy rozpoznania, testowania i exploitowania (po uzyskaniu zgody), oferując szczegółową analizę podatności i rekomendacje dotyczące wzmocnienia bezpieczeństwa.

Dla kogo jest przeznaczona:

Usługa skierowana jest do organizacji wszystkich rozmiarów, które chcą przetestować swoją odporność na cyberataki i zabezpieczyć swoje środowisko IT.

Przykłady zastosowań:

Scenariusze testów mogą obejmować symulację ataków z zewnątrz i wewnątrz organizacji, infekcję złośliwym oprogramowaniem, działania z wykorzystaniem zagubionego sprzętu lub próby ominięcia zabezpieczeń przez pracowników i gości.