Penetrační testy
Pravidelné penetrační testy i testy zranitelností jsou důležitým nástrojem v řízení bezpečnosti informací. Potřeby různých organizací v této oblasti se však často citelně liší, mimo jiné v důsledku rozdílných regulatorních požadavků na různé typy subjektů. V rámci služby bezpečnostního testování naši specialisté provádí návrh a realizaci bezpečnostních testů – testů zranitelností a penetračních testů – v souladu se specifickými potřebami zákaznické organizace.
Popis služby
Testy zranitelností (testy vulnerability) spočívají v automatizovaném sběru informací o stavu záplatování a konfigurace testovaných platforem a vyhodnocení těchto informací v kontextu aktuálních hrozeb a známých zranitelností. V případě testů zranitelností jsou identifikovány známé typy zranitelností ve zkoumané infrastruktuře, nedochází však k praktickému ověřování možností jejich využití. Tím se liší od penetračních testů.
Penetrační testy jsou zaměřeny na identifikaci zranitelností v testovaném prostředí, jejich následného využití a zhodnocení reálných dopadů. Poskytují tak možnost přesného zhodnocení rizika, které je s nalezenými zranitelnostmi spojené. Výsledkem těchto testů je formulace konkrétních doporučení pro mitigaci zranitelností.
Proč zrovna Alef?
- Jsme přes CSIRT tým členy uzavřené bezpečnostní komunity, kde se informace sdílí – máme díky tomu informace o zranitelnostech a útocích, které nejsou veřejně známé.
- Náš CSIRT tým je v ČR jediný komerční CSIRT, který je jak akreditovaný u Trusted Introducer, tak členem FIRTS.
- Jsme jedna z mála institucí v ČR, která dělá vlastní průzkum zranitelnosti.
- Máme reálné zkušenosti s implementacemi bezpečnostních řešení.
Pro koho je daná služba?
Pro všechny organizace, které chtějí jednorázově nebo pravidelně ověřovat úroveň implementovaných technických i organizačních bezpečnostních opatření s pomocí praktických testů zranitelností nebo penetračních testů.
Hlavní výhody služby
Získání přehledu o existujících a reálně využitelných zranitelnostech, které se organizace týkají.
Zhodnocení schopnosti informačních i jiných systémů odolávat reálným útokům.
Schopnost validovat efektivní eliminaci zranitelností.
Ověření schopnosti organizace detekovat útok/adekvátně na něj reagovat.
Jak probíhá implementace?
- Stanovení typu a rozsahu testů
- Sběr informací a analýza testovaného prostředí
- Vyhledávání a testování zranitelností
- Tvorba závěrečné zprávy a prezentace výsledků