Testy penetracyjne

Mamy wieloletnie doświadczenie

Posiadamy wiedzę ekspercką potwierdzoną sukcesami w pracy z wieloma Klientami oraz nasze własne sukcesy potwierdzone zgłoszonymi CVE.

Mamy świetnych pentesterów

Nasi ludzie posiadają między innymi certyfikaty: Offensive Security Certified Professional (OSCP), Fortinet Network Security Expert i wiele innych.

Dla kogo prowadzimy testy?

Pracujemy dla Klientów wszystkich sektorów: publicznego, medycznego, automotive, utilities, media, przemysłu ciężkiego. Pomagamy podmiotom małym średnim i dużym bo zależy nam na bezpieczeństwie każdego.
iteration
Dowiedz się więcej

Testy penetracyjne w formie subskrypcji (PTaaS)

Sprawdź nasz najnowszy model prowadzenia testów penetracyjnych, który gwarantuje podniesienie poziomu bezpieczeństwa Twoich rozwiązań dzięki cyklicznemu testowaniu, umożliwiającemu eliminowanie podatności bezpieczeństwa na bieżąco.

Aplikacje internetowe (webowe)

Wykonujemy testy penetracyjne aplikacji webowych WordPress, Drupal, Joomla, Magento i wiele innych systemów gotowych. Ale nade wszystko, testujemy systemy dedykowane stworzone na wyłączny użytek naszych Klientów.

Webaplikacje to obecnie najczęściej występujący rodzaj systemów informatycznych i większość testów które prowadzimy, dotyczy technologii webowych, czyli opartych o przeglądarkę internetową (Google Chrome, Opera, Firefox, Microsoft Edge).

Testy prowadzimy w oparciu o najlepszą wiedzę i doświadczenie własne oraz zgodnie z metodykami OWASP, OSSTMM, NIST.

 

Firmware (aplikacje wbudowane)

Prowadzimy testy penetracyjne oprogramowania niskopoziomowego przygotowanego w C, C++.

Firmware to rodzaj oprogramowania wbudowany w urządzenia. Typowym przykładem jest BIOS płyty głównej lub sterownik macierzy dyskowych RAID.

Ekspresy do kawy, system pomiaru ciśnienia w oponach samochodu, piekarnik, słup oświetleniowy ma swój firmware, który często zawiera błędy krytyczne umożliwiające nawet uszkodzenie urządzenia.

Prowadzimy testy dla każdego rodzaju firmware od przemysłu ciężkiego, przez utilities, automotive po urządzenia Przemysłu 4.0.

 

Systemy operacyjne Windows, Linux

Prowadzimy testy penetracyjne systemów operacyjnych (rodzina Windows Server i Desktop, Linux, Unix).

Dzięki testom możliwe jest określenie najsłabszych punktów systemu umożliwiającego działanie pozostałych podsystemów i aplikacji (baz danych, systemów dziedzinowych, usług serwera).

Testy systemów prowadzimy w oparciu o wiele różnych metod, które stosujemy łącznie. Dzięki temu raport jest zazwyczaj bardzo bogatym oraz rzetelnym źródłem informacji.

IoT (Internet Rzeczy)

Posiadamy doświadczenie w wykonywaniu testów urządzeń Internetu rzeczy (Internet of Things).

Weryfikujemy bezpieczeństwo urządzeń pomiarowych prądu, gazu, wody, urządzeń sterowania produkcją oraz innych urządzeń przemysłowych i pomiarowych.

Urządzenia testujemy poprzez otwarte porty, przejmowanie sygnału czy kod źródłowy w oprarciu o inżynierię wsteczną.

Aplikacje mobilne iOS, Android

Wykonujemy testy penetracyjne aplikacji mobilnych. To obecnie bardzo popularny rodzaj aplikacji, tuż po aplikacjach webowych, ponieważ rynek urządzeń mobilnych rozwija się najszybciej.

Wykonujemy wiele testów aplikacji mobilnych dla platform Google Android oraz Apple iOS. Testy prowadzimy w oparciu o najlepszą wiedzę i doświadczenie własne oraz zgodnie z założeniami OWASP MSTG (Mobile Security Testing Guide).

Jak testujemy?

Atak kontrolowany

W porozumieniu i za wiedzą Klienta na przygotowanym środowisku testowym, jeden do jeden odpowiadającym środowisku produkcyjnemu. Wyłącznie na tym środowisku prowadzimy działania mające na celu odnalezienie podatności.

Zazwyczaj udaje nam się znaleźć podatności i przygotowujemy dla każdej z nich propozycję rozwiązania przez zastosowanie różnych metod, niekoniecznie technicznych.

Black, Grey, White box

W zależności od ustaleń pracujemy różnymi metodami:

  • Black box – posiadając minimalną wiedzę na temat testowanego systemu, co najbardziej odpowiada rzeczywistym warunkom, w których dochodzi do włamania.
  • Grey box – posiadając wiedzę w wybranym obszarze systemu np.: dostęp do konta użytkownika/administratora.
  • White box – posiadając pełną wiedzę i dostęp do dokumentacji systemu, co pozwala również na wykonanie przeglądu kodu źródłowego i często jest przez nas łączone. Ten wariant jest najbardziej efektywny, ponieważ testowany system przeglądany jest w całości również „od środka”.

Raport

Nasz raport zawiera zawsze propozycje albo gotowe rozwiązania umożliwiające naprawę podatności wraz z informacją o ocenie zagrożenia w skali od 1 do 10, dopasowaną do realiów Klienta.

Każda podatność jest określona poprzez opis merytoryczny oraz szacowanie ryzyka, również, po uzgodnieniu z Klientem w obszarze wizerunkowym, organizacyjnym, formalnym i finansowym.