Testowanie odporności cyfrowej – testy penetracyjne

Celem testów penetracyjnych jest weryfikacja czy infrastruktura informatyczna oraz posiadane przez firmę systemy IT są bezpieczne, w szczególności odporne na włamania i inne działania hackerskie.

Czy Twoja firma jest gotowa na atak hakerów?

Badanie wykonywane jest poprzez symulację działań wykonywanych przez hackerów w celu uzyskania nieautoryzowanego dostępu do wrażliwych dla organizacji zasobów informacyjnych, np. systemów czy sieci.

Testy penetracyjne aplikacji webowych

Ponieważ aplikacje webowe przetwarzają cenne dane, są one coraz częściej atakowane przez hakerów. Poniżej przedstawiamy wnioski płynące z danych europejskiej agencji ENISA:

  • Praktycznie każda aplikacja webowa posiada luki systemowe, umożliwiające cyberprzestępcom skuteczne przełamanie zabezpieczeń aplikacji. Może to doprowadzić do rozpowszechniania złośliwego oprogramowania, przekierowania do nieprzyjaznej strony albo kradzieży danych przy użyciu inżynierii społecznej.
  • Naruszenia wrażliwych danych wystąpiło w 91% aplikacji webowych. Najczęściej ujawnione były identyfikatory użytkowników (84% przypadków).
    Dwie trzecie aplikacji ucierpiało w wyniku naruszeń danych osobowych, a u około połowy wyciekły poświadczenia użytkownika.

 

Ekspozycja na nieautoryzowany dostęp była wykryta w 84% aplikacji webowych. Pełna kontrola nad celem została uzyskana w 5% przypadków.

  • Średniej wielkości aplikacja webowa ma przeciętnie 22 podatności w systemie bezpieczeństwa.
  • 1 na 5 podatności wykrytych w aplikacjach webowych jest krytyczna dla bezpieczeństwa systemu.
  • 20% organizacji przyznaje, że miało styczność z atakiem typu DDoS (rodzaj ataku, który uniemożliwia dostęp do aplikacji).
  • Najczęstszymi technikami ataku są przepełnienia bufora (24%), redukcja zasobów (23%), HTTP flood (rodzaj wolumetrycznego rozproszonego ataku DDoS)(23%), Low Slow (21%), HTTPS flood (21%).
  • Brak konfiguracji bądź niewłaściwie zrealizowane konfiguracje systemu bezpieczeństwa są powodem 84% wszystkich zaobserwowanych podatności w aplikacjach webowych.
  • 53% aplikacji webowych ma podatności XSS i 45% błędne uwierzytelnianie.
  • 39% stron jest podatnych na nieautoryzowany dostęp, a 16% stron udostępnia atakującym pełen dostęp do systemu.

Testy penetracyjne aplikacji mobilnych

Statystyki z publicznie dostępnych badań sugerują:

  • Prawie 52% ruchu sieciowego pochodzi z aplikacji mobilnych.
  • 13% organizacji doświadczyło incydentu złośliwego oprogramowania na platformach mobilnych.
  • 82% urządzeń z systemem operacyjnym Android jest wrażliwych na jedną z 25 podatności w systemie operacyjnym Android.
  • Aplikacje biznesowe są obarczone trzy razy większym ryzykiem wycieku danych logowania (i osobistych, i firmowych) niż przeciętna aplikacja.
  • Jedna na cztery aplikacje zawiera przynajmniej jedną krytyczną lukę bezpieczeństwa.
  • 50% aplikacji z 5 do 10 milionów pobrań ma lukę bezpieczeństwa.
  • 25% z 2 milionów aplikacji dostępnych na Google Play zawierają lukę bezpieczeństwa.

Rodzaje testów penetracyjnych w zależności od przedmiotu testów:

  • Wewnętrzne/zewnętrzne testy penetracyjne infrastruktury.
  • Testy penetracyjne punktów sieci bezprzewodowych i Wi-Fi.
  • Testy aplikacji webowych.
  • Testy aplikacji mobilnych.

Rodzaje testów penetracyjnych w zależności od udostępnionej przez klienta informacji:

Black Box

Test typu black box polega na przeprowadzeniu ataku hakerskiego, gdzie atakujący nie ma żadnej wiedzy na temat badanych komponentów. Ten typ testu określa też podatności w systemie, które atakujący może wykorzystać z perspektywy zewnętrznej sieci. Postrzegany jest jako najbardziej autentyczny, demonstrujący jak przeciwnik bez wiedzy na temat organizacji mógłby zaatakować system i dokonać szkód.

Gray Box

Test penetracyjny typu gray box jest metodą pentestu, w którym tester posiada częściową wiedzę na temat systemu, na przykład jest w posiadaniu danych dotyczących użytej technologii, architektury lub komponentów aplikacji.

White Box

Test typu white box to test, który obejmuje pełny dostęp do sieci i zasobów systemowych i aplikacyjnych dzielonych z testerem. Często tester posiada także dostęp do kodów źródłowych, schematów i architektury aplikacji.

Raport z testu penetracyjnego:
Pod koniec projektu przygotowujemy raport z testu w którym dokumentujemy przeprowadzone działania oraz uzyskane rezultaty. W każdym raporcie opisujemy zidentyfikowane podczas wykonywania testu podatności, ale także rekomendacje naprawcze.

Zapraszamy do skorzystania z naszych usług w tym zakresie.

Testy penetracyjne

Przykładowe realizacje:

Dla jednego z klientów publicznych przeprowadziliśmy projekt polegający na przeprowadzeniu testu socjotechnicznego dla losowej grupy kilkudziesięciu pracowników. Następnie wszyscy pracownicy przeszli cykl kilku szkoleń elearningowych w zakresie cyberbezpieczeństwa oraz bezpieczeństwa informacji. Po zakończeniu cyklu szkoleń została wytypowana metodą losową druga grupa pracowników dla potrzeb przeprowadzenia drugiego testu. Porównanie wyników testu socjotechnicznego przed i po szkoleniach pokazało, że dla przyjętych w projekcie mierników KPI poziom świadomości zagrożeń i umiejętności odpowiedniego reagowania na ich wystąpienie wzrósł u tego klienta o ponad 30%.

Skontaktuj się z nami

Zadzwoń lub wypełnij formularz
Wiesław Krawczyński

+48 22 537 50 50

    Administratorem danych osobowych jest Audytel S.A., ul. ks. I. Skorupki 5, 00-546 Warszawa, tel. +48 22 5375050, e-mail info@audytel.pl. Administrator wyznaczył Inspektora Ochrony Danych, z którym można kontaktować się pod adresem iod@audytel.pl.
    Dane będą przetwarzane w celach udzielenia odpowiedzi na zapytanie (podstawa prawna: prawnie uzasadniony interes administratora) oraz marketingu produktów własnych (podstawa prawna: prawnie uzasadniony interes administratora). Podanie danych jest warunkiem udzielenia odpowiedzi, a ich niepodanie uniemożliwi udzielenie odpowiedzi na pytanie. Dane będą przechowywane do czasu udzielenia odpowiedzi na przesłane zapytanie.
    Każdej osobie przysługuje prawo do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz ich przenoszenia. Każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania danych, wniesienia skargi do organu nadzorczego oraz cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych na podstawie prawnie uzasadnionego interesu administratora, a także sprzeciwu wobec przetwarzania jej danych osobowych na potrzeby marketingu.