DCIT
EN

Externí penetrační testy

Externí penetrační test simuluje útok na Vaše vnitřní systémy z vnějšího prostředí, tzn. konzultant simuluje potenciálního útočníka (hackera), který se snaží překonat Váš vnější perimetr z internetu.

Účel

Cílem externího penetračního testu je ověřit odolnost vnějšího perimetru.

Typickým cílem externího testu jsou všechna Vaše aktivní zařízení, jako např. webové servery, poštovní servery, firewally a další síťová zařízení.

Fáze testování

Tento druh testování zahrnuje několik kroků, např.:

  • Analýza dat z veřejných zdrojů s cílem objevit co nejvíce informací o Vaší infrastruktuře.

  • Síťový průzkum zaměřený na identifikaci všech Vašich zařízení přístupných z internetu a potenciálních vstupních míst do interní sítě.

  • Dále jsou všechna identifikovaná zařízení testována na známé bezpečnostní chyby pomocí automatizovaných nástrojů (např. vulnerability skenery, skenery webových aplikací a další specializované nástroje).

  • Typický externí penetrační test se provádí v takzvaném režimu nulové znalosti. To znamená, že nám nejsou poskytnuty žádné autentizační údaje (uživatelské jméno, heslo, certifikát, klíč atd.) nebo jiné neveřejné informace.

  • Webové stránky, které se nacházejí v IP rozsazích externího penetračního testu, jsou podrobeny pouze základnímu hodnocení bezpečnosti; pokud máte zájem o detailní bezpečnostní kontrolu webových aplikací (založené na metodice OWASP), doporučujeme náš Penetrační test WWW aplikací.

  • Všechna zjištění z předchozích kroků jsou ověřena manuálními testy, false-positives jsou eliminovány, opravdové bezpečnostní chyby jsou zdokumentovány a pokud je to možné, snažíme se demonstrovat jejich zneužitelnost.

  • Všechny závěry spolu s navrhovanými doporučeními jsou uvedeny v závěrečné zprávě.

Reporting

Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a samozřejmě doporučení ke snížení rizika.

Pro klasifikaci závažnosti zranitelnosti standardně využíváme škálu: Nízká (Low), Střední (Medium), Vysoká (High) a Kritická (Critical). V případě požadavku zákazníka přidáme hodnocení pomocí CVSS skóre (Common Vulnerability Scoring System) nebo použijeme zákazníkem dodané klasifikační schéma.

Zpráva je připravena ve formátu MS Word a PDF a zákazníkovi zaslána bezpečným způsobem.

Penetrační testy mohou být zakončeny prezentací výsledků u zákazníka – manažerská prezentace nebo technický workshop/diskuse nad závěrečnou zprávou.

Další typy testů

Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.

Vzorová zpráva

Ukázka výstupu pro lepší představu o kvalitě naší práce.

Demo zpráva

Máte otázky?

Pokud Vás zajímá více detailů, prosím kontaktujte nás.

Dotaz e-mailem