Testy penetracyjne

Usługi bezpieczeństwa systemów informatycznych

Sprawdź, czy wskazane zasoby umożliwiają nieautoryzowany dostęp do poufnych danych

W ramach testów penetracyjnych przełamujemy zabezpieczenia określonych zasobów. Mogą to być aplikacje webowe, mobilne, zasoby infrastrukturalne widoczne z internetu lub inne. Cel testów możemy być ustalony z góry lub może być przedmiotem fazy rekonesansu prowadzonej przez nas. W zależności od ilości informacji przekazanych na początku projektu, testy mogą być prowadzone według scenariusza black boxgrey box lub white box.

W odróżnieniu od zautomatyzowanych skanów podatności, testy penetracyjne odróżniają się indywidualnym podejściem oraz manualnymi pracami wykonywanymi przez pentesterów.


Zobacz także:


Hybrydowe testy penetracyjne - poznaj swoje słabe obszary

Testy hybrydowe wykraczają poza granice zwykłego testu penetracyjnego. Nasi pracownicy symulują prawdziwy atak hakerski. Działania wykonywane są w różnych obszarach – bezpieczeństwa fizycznego, zasobów widocznych w Internecie, podatności pracowników na phishing oraz inne zagrożenia.

Przykładowo, nasz zespół po przełamaniu ochrony fizycznej może skupić się na badaniu podatności sieci bezprzewodowej. Z kolei udany phishing może być początkiem badania podatności w sieci wewnętrznej organizacji. W trakcie wykonywanych testów w wielu przypadkach potencjalnie nieduże luki skutkowały na końcu przejęciem uprawnień administratorskich.

Hybrydowe testy penetracyjne - jak możemy pomóc Twojej firmie?

Kompleksowe działania pozwolą podjąć właściwe decyzje dotyczące działań usprawniających bezpieczeństwo oraz zaplanować odpowiednią alokację czasu i zasobów finansowych na ten cel.

Najczęściej identyfikowane słabości:

  • niewłaściwa konfiguracja umożliwiająca infiltrację sieci wewnętrznej
  • niewystarczająca świadomość pracowników dotycząca ataków phishingowych
  • istotne luki w aplikacjach webowych
  • możliwość ominięcia kontroli dostępu fizycznego.

Przykładowe działania naszych zespołów pentesterskich dla różnych obszarów testowych

  • skanowanie i identyfikacja usług sieciowych
  • przygotowanie exploitów dla zidentyfikowanych podatności
  • analiza słabości wykorzystywanego oprogramowania CMS
  • próba unieruchomienia serwerów webowych poprzez ataki DoS w warstwie aplikacyjnej
  • analiza pamięci RAM w przypadku aplikacji grubego klienta
  • dekompilacja aplikacji
  • identyfikacja danych poufnych w plikach konfiguracyjnych
  • brute forcing serwerów webowych
  • analiza bezpieczeństwa Active Directory w przypadku uzyskania dostępu do sieci wewnętrznej
  • testy aplikacji webowych wykonywane zgodne z metodyką OWASP
  • próby manipulacji parametrami przekazywanymi przez aplikację mobilną do API.

Nasze działania pozwolą Ci odpowiednio zabezpieczyć udostępnione aplikacje i usługi, chroniąc się przed nieautoryzowanym dostępem czy też przerwami w ich funkcjonowaniu

Skontaktuj się z nami

Patryk Gęborys

Dyrektor, PwC Polska

Tel.: +48 519 506 760

Tomasz Sawiak

Wicedyrektor, PwC Polska

Tel.: +48 519 504 234

Obserwuj nas