Penetration tests jeb drošības testēšana

Bezmaksas konsultācija

IDENTIFICĒ DROŠĪBAS NEPILNĪBAS

Drošības testētāju veikts Penetration tests palīdzēs identificēt iespējamās kiberdrošības nepilnības un saņemt skaidrus ieteikumus šo nepilnību labošanai: 

  • web aplikācijās (web apps); 

  • servera/darbvirsmas lietojumprogrammās; 

  • mobīlām lietojumprogrammām (iOS & Android); 

  • IT infrastruktūrā; 

  • API saskarnēs. 

Drošības testus veiks augsti sertificēti speciālisti ar CDPSE, CEH, CISA, CISSP, LPT un AZ-500 sertifikātiem. 

Jūsu ieguvumi

  1. Apzinātas drošības nepilnības. 

  1. Paaugstināta klientu datu aizsardzība, ja tādi tiek apstrādāti. 

  1. Skaidras rekomendācijas trūkumu novēršanai. 

  1. Mazināti bojājumu un apturētu pakalpojumu riski. 

WEB UN DARBAVIRSMU LIETOJUMPROGRAMMU DROŠĪBAS TESTĒŠANA

Web aplikāciju un servera/darbvirsmas lietojumprogrammu drošības testēšana tiek veikta un dokumentēta saskaņā ar attiecīgajam projektam atbilstošām vadlīnijām kā, piemēram, OWASP, PTES vai ST SP 800-115. Testēšana tiek veikta vairākās fāzēs un tipiski ietver šādas darbības:  

  • Informācijas iegūšana; 

  • Konfigurācijas pārbaudes; 

  • Lietotāju identitātes pārvaldības pārbaudes; 

  • Autentificēšanās testēšana; 

  • Autorizācijas testēšana; 

  • Sesiju vadība; 

  • Datu ievades validācijas pārbaudes; 

  • Kļūdu analīze;  

  • Vāju kriptogrāfisku risinājumu izmantošana; 

  • Biznesa loģikas testi; 

  • Klienta puses ievainojamību pārbaudes. 

MOBĪLO LIETOJUMPROGRAMMU DROŠĪBAS TESTĒŠANA

Piedāvājam arī veikt Android & iOS platformu atbalstītu lietojumprogrammu drošības testēšanu. Drošības testus mobilajām lietotnēm iesakām veikt obligāti, jo tās tiek ļoti plaši lietotas, glabā vērtīgu informāciju un, līdz ar to, ir arī svarīgs mērķis hakeriem. 

IT INFRASTRUKTŪRAS DROŠĪBAS TESTĒŠANA

Pēc nepieciešamības, veicam arī IT infrastruktūras tīkla drošības testēšanu. Pārbaudām iekšējos un/vai ārējos tīklus (LAN, VPN, WiFi), veicot tos attālināti ar VPN palīdzību vai, pēc nepieciešamības, klātienē. Šajā scenārijā iesakām arī veikt potenciālo (ar darbiniekiem saistīto) draudu simulāciju jeb sociālo inženieriju, lai reālvidē pārbaudītu darbinieku spējas atvairīt pikšķērēšanas mēģinājumus.  

API DROŠĪBAS TESTĒŠANA

Par cik API nav lietotāju saskarnes un ir paredzēta sistēmu savstarpējai sadarbībai, nereti tiek kļūdaini pieņemts, ka API pats par sevi ir drošāks. Tomēr hakeri pamanās atrast API saskarņu vājos punktus un tos izmantot, nereti rezultējoties faktā, ka ielaušanās netiek pamanīta mēnešiem. Pieredzējuši un augsti sertificēti drošības testētāji pārbaudīs jūsu API saskarnes pret populārākajiem riskiem (OWASP Top 10) un sniegs skaidrus ieteikumus drošības uzlabošanai. API testi ir ieteicami starpsistēmu (B2B) un mobīlām aplikācijām paredzētām API saskarnēm. 

DROŠĪBAS TESTĒŠANAS OPCIJAS

Black-Box drošības tests – tests var tikt veikts Jūsu uzņēmuma IT infrastruktūrai vai/un lietojumprogrammai. Mūsu testētāji darbojas kā uzbrucējs no ārpuses bez jebkādām priekšzināšanu bāzes (izņemot to, kas ir publiski pieejams) attiecībā uz testējamo “mērķa - upura” sistēmu. 

Gray-Boxdrošības tests - veicot testēšanu, mūsu speciālistiem ir zināma oficiāla informācija par sistēmu/vidi/lietojumprogrammu. Piemērs, pilna/daļēja arhitektūras informācija vai piekļuve iekšēja sistēmas lietotāja kontam. Šajā scenārijā mēs vairāk pievēršam uzmanību tam, kā var izmantot iespējamos draudus, ja uzbrucējam jau ir piekļuve jūsu sistēmai. 

White-Boxdrošības tests – nākamā līmeņa drošības tests pēc “Gray-Box”. Speciālistiem ir visa informācija un dokumentācija par mērķa sistēmu, ieskaitot pirmkodu (ja mērķis ir lietojumprogramma). 

CENA

Par cik projekti ir atšķirīgi, aicinām pieteikties uz bezmaksas konsultāciju, lai noskaidrotu pakalpojuma izmaksas Jūsu attiecīgajā gadījumā. 

Radām kopā?

Būsim priecīgi dalīties ar mūsu zināšanām, pieredzi un ekspertīzi. Dodiet ziņu, kas tieši jums interesē, un mēs ar jums sazināsimies!