Testy penetracyjne

Usługi bezpieczeństwa systemów informatycznych dla firm

Sprawdź, czy wskazane zasoby umożliwiają nieautoryzowany dostęp do poufnych danych - wykonaj testy penetracyjne

W ramach testów penetracyjnych przełamujemy zabezpieczenia określonych zasobów. Mogą to być aplikacje webowe, mobilne, zasoby infrastrukturalne widoczne z internetu lub inne. Cel testów możemy być ustalony z góry lub może być przedmiotem fazy rekonesansu prowadzonej przez nas. W zależności od ilości informacji przekazanych na początku projektu, testy mogą być prowadzone według scenariusza black boxgrey box lub white box.

W odróżnieniu od zautomatyzowanych skanów podatności, testy penetracyjne odróżniają się indywidualnym podejściem oraz manualnymi pracami wykonywanymi przez pentesterów.
 



Nasze działania pozwolą Ci odpowiednio zabezpieczyć udostępnione aplikacje i usługi, chroniąc się przed nieautoryzowanym dostępem czy też przerwami w ich funkcjonowaniu

Przykładowe działania naszych zespołów pentesterskich dla różnych obszarów testowych

  • skanowanie i identyfikacja usług sieciowych
  • przygotowanie exploitów dla zidentyfikowanych podatności
  • analiza słabości wykorzystywanego oprogramowania CMS
  • próba unieruchomienia serwerów webowych poprzez ataki DoS w warstwie aplikacyjnej
  • analiza pamięci RAM w przypadku aplikacji grubego klienta
  • dekompilacja aplikacji
  • identyfikacja danych poufnych w plikach konfiguracyjnych
  • brute forcing serwerów webowych
  • analiza bezpieczeństwa Active Directory w przypadku uzyskania dostępu do sieci wewnętrznej
  • testy aplikacji webowych wykonywane zgodne z metodyką OWASP
  • próby manipulacji parametrami przekazywanymi przez aplikację mobilną do API.

Hybrydowe testy penetracyjne

Testy hybrydowe wykraczają poza granice zwykłego testu penetracyjnego. Nasi pracownicy symulują prawdziwy atak hakerski. Działania wykonywane są w różnych obszarach – bezpieczeństwa fizycznego, zasobów widocznych w Internecie, podatności pracowników na phishing oraz inne zagrożenia.

Przykładowo, nasz zespół po przełamaniu ochrony fizycznej może skupić się na badaniu podatności sieci bezprzewodowej. Z kolei udany phishing może być początkiem badania podatności w sieci wewnętrznej organizacji. W trakcie wykonywanych testów w wielu przypadkach potencjalnie nieduże luki skutkowały na końcu przejęciem uprawnień administratorskich.

Jak możemy pomóc Twojej firmie?

Kompleksowe działania pozwolą podjąć właściwe decyzje dotyczące działań usprawniających bezpieczeństwo oraz zaplanować odpowiednią alokację czasu i zasobów finansowych na ten cel.

Najczęściej identyfikowane słabości:

  • niewłaściwa konfiguracja umożliwiająca infiltrację sieci wewnętrznej
  • niewystarczająca świadomość pracowników dotycząca ataków phishingowych
  • istotne luki w aplikacjach webowych
  • możliwość ominięcia kontroli dostępu fizycznego.

Skontaktuj się z nami

Tomasz Sawiak

Tomasz Sawiak

Dyrektor, PwC Polska

Tel.: +48 519 504 234

Obserwuj nas