ESET SERVICES

Penetrační testování webových aplikací je vhodné jak pro jednoduché weby typu prezentační web, e-shop apod., tak pro komplexní portály ERP, CRM, SCM apod. Zaměřujeme se na všechny známé a nejčastěji se vyskytující zranitelnosti, včetně těch, které mohou vyplynout z business logiky aplikace.

Během testování vycházíme z relevantních kapitol standardů OWASP WSTG a OWASP Web Top Ten.

Penetrační testování vám navrhneme na míru, aby odpovídalo potřebám vaší organizace a zohledňovalo typy útoků, kterým můžete čelit.

Testujeme mobilní aplikace na platformě Android i iOS. K testování doporučujeme především aplikace, které pracují s osobními údaji, zpracovávají peněžní transakce nebo ukládají data. V těchto případech se zvyšuje riziko zneužití zranitelností k úniku citlivých dat, odcizení finančních prostředků nebo omezení funkčnosti aplikace.

Zaměřujeme se na všechny známé a nejčastěji se vyskytující zranitelnosti, včetně těch, které mohou vyplynout z business logiky aplikace.

Během testování vycházíme z relevantních kapitol standardů OWASP MASTG, OWASP Mobile Top Ten nebo OWASP MASVS.

Penetrační testování vám navrhneme na míru, aby odpovídalo potřebám vaší organizace a zohledňovalo typy útoků, kterým můžete čelit.

Jedná se o simulovaný útok na vaši vnější síť neboli perimetr s cílem odhalit slabá místa. Typickým předmětem externího penetračního testu jsou všechna aktivní zařízení, která jsou připojená k internetu - webové servery, poštovní servery, firewally, VPN přístupy apod.

S pomocí licencovaných bezpečnostních nástrojů v kombinaci s manuálním průzkumem se zaměříme na všechny známé a nejčastěji se vyskytující zranitelnosti.

Během testování obecně vycházíme z metodologie OSSTMM a ze standardů NIST SP 800-115 a PTES.

Penetrační testování vám navrhneme na míru, aby odpovídalo potřebám vaší organizace a zohledňovalo typy útoků, kterým můžete čelit.

Jedná se o simulovaný útok na vaši vnitřní síť s cílem odhalit slabá místa. Test vnitřní sítě probíhá z pohledu interního útočníka, jako simulace zaměstnance s běžnými uživatelskými oprávněními, bez dalších znalostí interní infrastruktury či provozovaných aplikacích. Nebo útočníka, který nepozorovaně pronikl do vaší interní sítě a nedisponuje vlastním uživatelským účtem.

S pomocí licencovaných bezpečnostních nástrojů v kombinaci s manuální verifikací („exploitací”) se zaměříme na všechny známé a nejčastěji se vyskytující zranitelnosti.

Během testování obecně vycházíme z metodologie OSSTMM a ze standardů NIST SP 800-115 a PTES.

Penetrační testování vám navrhneme na míru, aby odpovídalo potřebám vaší organizace a zohledňovalo typy útoků, kterým můžete čelit.

Penetrační testování webových služeb (API) je simulovaný útok na vaše API rozhraní s cílem prověřit, zda je dané rozhraní zabezpečené, zda nelze nežádoucím způsobem upravit komunikaci, zda nelze získat osobní či jiné citlivé údaje, přístup do nežádoucích oblastí nebo ovládnout cílový server. Penetrační testování webových služeb (API) je vhodné jak pro webové služby, které fungují na bázi protokolu SOAP/HTTP, tak pro REST API rozhraní.

V rámci testování se kromě syntaktických chyb (např. SQL injection) zaměříme i na sémantické chyby vyplývající z business logiky (např. chyby v autorizaci).

Během testování vycházíme ze standardů OWASP a OWASP API Security Top Ten.

Penetrační testování vám navrhneme na míru, aby odpovídalo potřebám vaší organizace a zohledňovalo typy útoků, kterým můžete čelit.

Vyhledejte zranitelnosti vašich systémů, abyste předešli bezpečnostním incidentům. 

Co je vulnerability assessment?
Posouzení zranitelnosti je systematický průzkum bezpečnostních slabin informačního systému. Vyhodnocuje, zda je systém náchylný ke známým zranitelnostem, přiřadí jim stupně závažnosti a doporučí nápravná opatření dle priority zranitelnosti nebo navrhne jejich zmírnění, je-li to nutné.

Mezi příklady hrozeb, kterým lze předcházet posouzením zranitelností, patří např:

• SQL injection, XSS a další útoky typu code injection.
• Eskalace oprávnění (získání zvýšeného přístupu k prostředkům, které by měly být před aplikací či uživatelem chráněny) v důsledku chybného návrhu aplikace nebo chybných ověřovacích mechanismů.
• Nezabezpečené výchozí nastavení - software dodávaný s nezabezpečeným nastavením, například s výchozím heslem správce.

Mezi nejčastější oblasti hodnocení zranitelností patří:

• Posouzení serverů - Posouzení kritických serverů, které mohou být zranitelné vůči útokům, pokud nejsou dostatečně otestovány nebo nejsou vytvořeny z otestovaného obrazu stroje.
• Posouzení sítě a bezdrátového připojení - Posouzení zásad a postupů, které mají zabránit neoprávněnému přístupu do soukromých nebo veřejných sítí a k prostředkům dostupným v síti.
• Posouzení databází - Posouzení databází nebo systémů pro zpracování velkých objemů dat z hlediska zranitelnosti a chybné konfigurace, identifikace podvodných databází nebo nezabezpečených vývojových/testovacích prostředí a klasifikace citlivých dat v infrastruktuře organizace.
• Skenování aplikací - Identifikace bezpečnostních zranitelností webových aplikací a jejich zdrojového kódu pomocí automatizovaného skenování na front-endu nebo statické/dynamické analýzy zdrojového kódu.

Co nabízí ESET Vulnerability Assessment?

ESET Vulnerability Assessment (EVA) je internetová služba, která vyhledává zranitelnosti systémů, zařízení a aplikací přístupných z Internetu. EVA používá neinvazivní techniky, které neohrožují chod ani provoz systémů. Testování je možné vykonávat jednorázově nebo periodicky. Výsledkem testu je zpráva o stavu zranitelnosti, která obsahuje popis jednotlivých zjištění, ohodnocení závažnosti a návody na odstranění bezpečnostních chyb. Vyhledávání a správa zranitelností je důležitá součást řízení informační bezpečnosti a výstupy se využívají při dalších činnostech, jako jsou analýza rizik, zjišťování efektivity IT procesů a bezpečnostní audit.

Další charakteristiky

• Služba typu security vulnerability assessment dokáže detekovat desítky tisíc zranitelností.
• Služba ESET Vulnerability Assessment testuje služby na nejrůznějších zařízeních, jako jsou firewally, VPN koncentrátory, modemy, routery, mail servery a forwardery, vzdálené terminálové přístupy (RDP, VNC, Citrix), servery DNS a cache, webové servery, FTP servery, souborové servery, databáze, ústředny VoIP, telefony, brány a videokonferenční zařízení.
• Umožňuje provedení jednorázového testu při změnách na testovaných zařízeních.
• Výstupem služby je popis zranitelnosti, hodnocení závažnosti a odkazy na zdroje, případně i návrh opatření.

Penetrační testování OT (Operational Technology), ICS (Industrial Control System) a SCADA (Supervisory Control And Data Acquisition) systémů je specifickým druhem penetračních testů, které mají za cíl prověřit odolnost technického zabezpečení prostředí, sítě či samotných dohledových a řídicích systémů.

Rozsah testovaných sítí a zařízení, testovací scénáře a techniky, použité nástroje a také plánovaný čas testování volíme tak, abychom minimalizovali dopady na běžný provoz. Vzhledem k citlivosti předmětu testování používáme především manuální způsob testování.

Při tomto druhu testování doporučujeme zvážit také bezpečnostní audit celého „ekosystému“ řídicích systémů vaší organizace.

Během testování obecně vycházíme z metodologie OSSTMM a z relevantních kapitol standardu NIST SP 800-82, resp. norem ISA/IEC 62443 a ČSN EN IEC 61508.

Penetrační testování vám navrhneme na míru, aby odpovídalo potřebám vaší organizace a zohledňovalo typy útoků, kterým můžete čelit.

Jedná se o metodické prozkoumání zdrojového kódu aplikace, jehož cílem je identifikovat chyby nebo bezpečnostní rizika vyplývající z programátorských nedostatků, nedodržování standardů či úmyslně zanesených „backdoorů“, ke kterým došlo při vývoji aplikace.

Součástí revize zdrojového kódu je statická i dynamická analýza.

Během bezpečnostního posouzení kódu se zaměříme na identifikaci zranitelností v kontrolních strukturách, validaci uživatelských vstupů, zpracování chybových stavů, práci se soubory či vstupními parametry funkcí. Běžným místem, kde mohou být nalezeny chyby, které ohrožují aplikace, je proces validace a zpracování uživatelských vstupů, a také absence obranných mechanismů proti známým typům útoků (brute-force, CSRF, DoS apod.).

Součástí služby jsou i konzultace a poradenství ohledně návrhu architektury vašeho softwarového projektu tak, aby splňoval všechny požadavky z pohledu kybernetické a informační bezpečnosti.

Testování technikami sociálního inženýrství je nejúčinnější způsob prověřování a zvyšování bezpečnostního povědomí vašich zaměstnanců, znalosti interních předpisů a jejich dodržování v rámci každodenní agendy.

Jedná se o řízenou kompromitaci informačních aktiv vaší organizace díky „soft & hard skills“ našich specialistů – komunikační dovednosti, technické prostředky, komunikační kanály a veřejně dostupné informace (OSINT).

Možnými scénáři útoku na zaměstnance vaší společnosti je zaslání phishingových e-mailů nebo krátkých textových zpráv (SMS), telefonický hovor za účelem získání citlivých údajů, případně podstrčení škodlivého kódu na přenosných médiích nebo prověření dodržování bezpečné skartace a likvidace informací.

Na testování technikami sociálního inženýrství lze navázat některým z našich školení v oblasti kybernetické bezpečnosti:

• E-learning: Školení kybernetické bezpečnosti (komplexní školení)
• E-learning: Školení kybernetické bezpečnosti (specifické moduly)
• ESET Cybersecurity Awareness Workshop

ESET Cybersecurity Awareness Workshop

Náplň interaktivního workshopu zpravidla vychází ze závěrů testování technikami sociálního inženýrství a best practice relevantních pro váš obor podnikání. Semináře vedou naši certifikovaní lektoři s dlouholetou praxí v oblasti kybernetické a informační bezpečnosti.

• Seminář je možné realizovat on-line nebo on-site, přímo na pracovišti v prostorách vaší organizace.

Školení pokrývá všechny klíčové oblasti kybernetické bezpečnosti. Zaměstnanci si během školení osvojí správné návyky bezpečného chování ve firmě i při práci z domova a budou tak schopni lépe čelit nejčastějším a nejzávažnějším bezpečnostním hrozbám, což bude mít za následek efektivnější ochranu dat a know-how vaší organizace.

Školení obsahuje herní prvky (účastník v roli avatara plní nejrůznější úkoly), což napomáhá k lepšímu soustředění a porozumění bezpečnostních situací.

Školení je zaměřené zejména na odolnost vůči personalizovaným útokům, zabezpečení účtů pomocí silných hesel, bezpečnost na internetu, ochranu elektronické komunikace a ochranu před škodlivým kódem. Specifikace školení

• Školení trvá 60 – 90 minut.
• Školení obsahuje simulátor phishingu pro testování zaměstnanců.
• Školení plní požadavky Zákona č. 181/2014 Sb. o kybernetické bezpečnosti o vzdělávání zaměstnanců v oblasti kybernetické a informační bezpečnosti.
• Školení je ukončeno závěrečným testem.
• Účastník školení získá certifikát o splnění školení a odznak pro platformu LinkedIn.

Funkční specifikace

• Uvítací e-mail pro účastníka s přístupem ke školení.
• E-mailová upozornění účastníkům školení o nezahájení nebo neukončení studia v pravidelných intervalech po zpřístupnění školení.
• Pravidelný report odpovědné osobě, včetně seznamu účastníků a informací o aktuálním stavu (absolvování) školení.
• Možné přerušení a opětovné spuštění školení.

Školení je koncipované do jednotlivých modulů, které lze zakoupit jednotlivě nebo je různě kombinovat. Podle specifických potřeb vaší organizace si tak můžete vybrat konkrétní oblasti, ve kterých chcete své zaměstnance vzdělávat.

Moduly:

• Phishing
• Silná hesla
• Sociální inženýrství
• Bezpečné používání mobilních zařízení
• Hlášení bezpečnostních incidentů
• Fyzická bezpečnost v prostorách zaměstnavatele
• Bezpečné používání e-mailu
• Bezpečnost v prostředí internetu
• Pravidla používaní sociálních sítí

Specifikace školení

• Délka jednoho modulu je cca 15 – 20 minut.
• Platnost licence je 1 rok.
• Školení plní požadavky Zákona č. 181/2014 Sb. o kybernetické bezpečnosti o vzdělávání zaměstnanců v oblasti kybernetické a informační bezpečnosti.
• Školení je ukončeno závěrečným testem.
• Účastník školení získá certifikát o splnění školení a odznak pro platformu LinkedIn.

Funkční specifikace

• Uvítací e-mail pro účastníka s přístupem ke školení.
• E-mailová upozornění účastníkům školení o nezahájení nebo neukončení studia v pravidelných intervalech po zpřístupnění školení.
• Pravidelný report odpovědné osobě, včetně seznamu účastníků a informací o aktuálním stavu (absolvování) školení.
• Možné přerušení a opětovné spuštění školení.