Penetration tests jeb drošības testēšana

Drošības testētāju veikts Penetration tests palīdzēs identificēt iespējamās kiberdrošības nepilnības un saņemt skaidrus ieteikumus šo nepilnību labošanai: 

• web aplikācijās (web apps); 

• servera/darbvirsmas lietojumprogrammās; 

• mobīlām lietojumprogrammām (iOS & Android); 

• IT infrastruktūrā; 

• API saskarnēs. 

Drošības testus veiks augsti sertificēti speciālisti ar CDPSE, CEH, CISA, CISSP, LPT un AZ-500 sertifikātiem. 

1. Apzinātas drošības nepilnības. 

2. Paaugstināta klientu datu aizsardzība, ja tādi tiek apstrādāti. 

3. Skaidras rekomendācijas trūkumu novēršanai. 

4. Mazināti bojājumu un apturētu pakalpojumu riski. 

Web aplikāciju un servera/darbvirsmas lietojumprogrammu drošības testēšana tiek veikta un dokumentēta saskaņā ar attiecīgajam projektam atbilstošām vadlīnijām kā, piemēram, OWASP, PTES vai ST SP 800-115. Testēšana tiek veikta vairākās fāzēs un tipiski ietver šādas darbības:  

• Informācijas iegūšana; 

• Konfigurācijas pārbaudes; 

• Lietotāju identitātes pārvaldības pārbaudes; 

• Autentificēšanās testēšana; 

• Autorizācijas testēšana; 

• Sesiju vadība; 

• Datu ievades validācijas pārbaudes; 

• Kļūdu analīze;  

• Vāju kriptogrāfisku risinājumu izmantošana; 

• Biznesa loģikas testi; 

• Klienta puses ievainojamību pārbaudes. 

Piedāvājam arī veikt Android & iOS platformu atbalstītu lietojumprogrammu drošības testēšanu. Drošības testus mobilajām lietotnēm iesakām veikt obligāti, jo tās tiek ļoti plaši lietotas, glabā vērtīgu informāciju un, līdz ar to, ir arī svarīgs mērķis hakeriem. 

Pēc nepieciešamības, veicam arī IT infrastruktūras tīkla drošības testēšanu. Pārbaudām iekšējos un/vai ārējos tīklus (LAN, VPN, WiFi), veicot tos attālināti ar VPN palīdzību vai, pēc nepieciešamības, klātienē. Šajā scenārijā iesakām arī veikt potenciālo (ar darbiniekiem saistīto) draudu simulāciju jeb sociālo inženieriju, lai reālvidē pārbaudītu darbinieku spējas atvairīt pikšķērēšanas mēģinājumus.  

Par cik API nav lietotāju saskarnes un ir paredzēta sistēmu savstarpējai sadarbībai, nereti tiek kļūdaini pieņemts, ka API pats par sevi ir drošāks. Tomēr hakeri pamanās atrast API saskarņu vājos punktus un tos izmantot, nereti rezultējoties faktā, ka ielaušanās netiek pamanīta mēnešiem. Pieredzējuši un augsti sertificēti drošības testētāji pārbaudīs jūsu API saskarnes pret populārākajiem riskiem (OWASP Top 10) un sniegs skaidrus ieteikumus drošības uzlabošanai. API testi ir ieteicami starpsistēmu (B2B) un mobīlām aplikācijām paredzētām API saskarnēm. 

Black-Box drošības tests – tests var tikt veikts Jūsu uzņēmuma IT infrastruktūrai vai/un lietojumprogrammai. Mūsu testētāji darbojas kā uzbrucējs no ārpuses bez jebkādām priekšzināšanu bāzes (izņemot to, kas ir publiski pieejams) attiecībā uz testējamo “mērķa - upura” sistēmu. 

Gray-Box drošības tests - veicot testēšanu, mūsu speciālistiem ir zināma oficiāla informācija par sistēmu/vidi/lietojumprogrammu. Piemērs, pilna/daļēja arhitektūras informācija vai piekļuve iekšēja sistēmas lietotāja kontam. Šajā scenārijā mēs vairāk pievēršam uzmanību tam, kā var izmantot iespējamos draudus, ja uzbrucējam jau ir piekļuve jūsu sistēmai. 

White-Box drošības tests – nākamā līmeņa drošības tests pēc “Gray-Box”. Speciālistiem ir visa informācija un dokumentācija par mērķa sistēmu, ieskaitot pirmkodu (ja mērķis ir lietojumprogramma). 

Par cik projekti ir atšķirīgi, aicinām pieteikties uz bezmaksas konsultāciju, lai noskaidrotu pakalpojuma izmaksas Jūsu attiecīgajā gadījumā.