Penetrační testy

Pravidelné penetrační testy i testy zranitelností jsou důležitým nástrojem v řízení bezpečnosti informací. Potřeby různých organizací v této oblasti se však často citelně liší, mimo jiné v důsledku rozdílných regulatorních požadavků na různé typy subjektů. V rámci služby bezpečnostního testování naši specialisté provádí návrh a realizaci bezpečnostních testů – testů zranitelností a penetračních testů – v souladu se specifickými potřebami zákaznické organizace.

Popis služby

Testy zranitelností (testy vulnerability) spočívají v automatizovaném sběru informací o stavu záplatování a konfigurace testovaných platforem a vyhodnocení těchto informací v kontextu aktuálních hrozeb a známých zranitelností. V případě testů zranitelností jsou identifikovány známé typy zranitelností ve zkoumané infrastruktuře, nedochází však k praktickému ověřování možností jejich využití. Tím se liší od penetračních testů.

Penetrační testy jsou zaměřeny na identifikaci zranitelností v testovaném prostředí, jejich následného využití a zhodnocení reálných dopadů. Poskytují tak možnost přesného zhodnocení rizika, které je s nalezenými zranitelnostmi spojené. Výsledkem těchto testů je formulace konkrétních doporučení pro mitigaci zranitelností.

 

Proč zrovna Alef?

  • Jsme přes CSIRT tým členy uzavřené bezpečnostní komunity, kde se informace sdílí – máme díky tomu informace o zranitelnostech a útocích, které nejsou veřejně známé.
  • Náš CSIRT tým je v ČR jediný komerční CSIRT, který je jak akreditovaný u Trusted Introducer, tak členem FIRTS.
  • Jsme jedna z mála institucí v ČR, která dělá vlastní průzkum zranitelnosti.
  • Máme reálné zkušenosti s implementacemi bezpečnostních řešení.

Pro koho je daná služba?

Pro všechny organizace, které chtějí jednorázově nebo pravidelně ověřovat úroveň implementovaných technických i organizačních bezpečnostních opatření s pomocí praktických testů zranitelností nebo penetračních testů.


Hlavní výhody služby

Získání přehledu o existujících a reálně využitelných zranitelnostech, které se organizace týkají.

Zhodnocení schopnosti informačních i jiných systémů odolávat reálným útokům.

Schopnost validovat efektivní eliminaci zranitelností.

Ověření schopnosti organizace detekovat útok/adekvátně na něj reagovat.

Jak probíhá implementace?

  1. Stanovení typu a rozsahu testů
  2. Sběr informací a analýza testovaného prostředí
  3. Vyhledávání a testování zranitelností
  4. Tvorba závěrečné zprávy a prezentace výsledků