Testy penetracyjne
Praktyczne badanie bezpieczeństwa systemu i sieci
Testy penetracyjne to praktyczne badanie bezpieczeństwa systemu IT. Audyt polega na przeprowadzeniu kontrolowanego ataku na infrastrukturę IT, dzięki któremu Klient otrzymuje realną ocenę stanu bezpieczeństwa infrastruktury, wskazując luki bezpieczeństwa, które mogą zostać wykorzystane do skompromitowania zabezpieczeń.
Usługa zapewnia Klientowi wiedzę na temat poziomu bezpieczeństwa systemu, w tym analizę wykrytych luk bezpieczeństwa. Wiedza oraz doświadczenie naszych ekspertów pozwala na precyzyjne sformułowanie rekomendacji technicznych, pozwalających na usunięcie zagrożeń oraz optymalizację kosztów wdrożenia zabezpieczeń.
Usługa adresuje wymagania Rozporządzenia o ochronie danych osobowych (RODO), Ustawy o krajowym systemie cyberbezpieczeństwa (NIS), normy ISO/IEC 27001 oraz ISO/IEC 20000.
Test penetracyjny składa się z pięciu etapów, podczas których eksperci BLUE energy:
- określają wektor ataku,
- wskazują metody prowadzenia audytu,
- opracowują dedykowany scenariusz badania z uwzględnioną specyfiką list kontrolnych,
- wykonują testy automatyczne oraz ręczne,
- zrealizują analitykę zebranych danych,
- opracują raport.
Jakie typy testów mogą być prowadzone?
- black box – z zerową wiedzą o systemie, w największym stopniu odzwierciedla rzeczywistą wiedzę potencjalnego atakującego oraz przebieg samego ataku,
- gray box – będące kompromisem pomiędzy black box i white box, zawierające elementy obu podejść np. wykorzystanie kont użytkowników o różnych uprawnieniach,
- white box – z pełną wiedzą o badanym systemie, z pełnym dostępem do dokumentacji projektowej, kodu źródłowego, konfiguracji urządzeń sieciowych itp.
Jaki test penetracyjny jest odpowiedni dla Twojej organizacji?
Bezpieczeństwo systemów automatyki przemysłowej, jest kluczowym elementem zapewnienia ciągłości działnia organizacji.
Testy penetracyjne mają na celu zweryfikować faktyczną odporność infrastruktury przemysłowej na ataki zarówno z zewnątrz, jak i z wewnątrz organizacji. Badaniu w tym zakresie mogą podlegać całe sieci przemysłowe, jak również pojedyncze urządzenia lub sterowniki.
W wyniku przeprowadzonych testów Klient otrzymuje informację dotyczącą luk bezpieczeństwa, które mogą być wykorzystane przez atakującego. W raporcie wskazane są również metody remediujące zagrożenia, których głównym założeniem jest utrzymanie pełnej funkcjonalności sieci i urządzeń przemysłowych.
Testy aplikacji mają na celu identyfikację luk bezpieczeństwa w aplikacjach wykorzystywanych przez Organizację.
Testowaniu mogą podlegać:
- aplikacje mobilne,
- aplikacje WWW,
- aplikacje klient-serwer.
Bezpieczeństwo Usług Kluczowych/Cyfrowych to “osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia usług oraz zapewnienia obsługi incydentów” (cytat za Art. 3 Ustawy).
Testy penetracyjne realizowane w ramach badania infrastruktury krytycznej mają na celu realnie ocenić poziom bezpieczeństwa poszczególnych systemów wykorzystywanych w ramach świadczenia usług kluczowych czy cyfrowych.
Co zyskuje Twoja organizacja dzięki testom penetracyjnym?
Wiedza na temat bezpieczeństwa systemu lub infrastruktury
Identyfikacja i analiza wykrytych luk bezpieczeństwa
Optymalizacja kosztów zabezpieczenia infrastruktury / aplikacji
Wiedza oraz doświadczenie ekspertów potwierdzone certyfikatami
Zawarcie w raporcie rekomendacji technicznych, pozwalające usunąć zagrożenia
Sprawdzona metodyka, opracowana na bazie uznanych metodologii OSSTMM, NIST oraz ISAAF
Co wyróżnia ekspertów BLUE energy?
- Jesteśmy młodym i dynamicznym zespołem
- Nasza wiedza potwierdzona jest certyfikatami
- Prowadziliśmy testy środowisk IT, OT, infrastruktury krytycznej, aplikacji WWW i mobilnych
- Mamy duże doświadczenie w zakresie prowadzenia testów bezpieczeństwa
- Zaufały nam zarówno organizacja państwowe, jak i firmy prywatne
Klienci
Partnerzy