Profesionál v oblasti IT a Bezpečnosti

Cílem bezpecnostních testu je odhalení co možná nejvetšího poctu zranitelností informacního systému na všech jeho úrovních pocínaje sítovou infrastrukturou, a aplikační vrstvou konče. Bezpecnostní testy nabízíme od úrovne BLACK BOX, kde k systému pristupujeme bez všech znalostí o jeho infrastrukture, a ž k cílenému testu predem urceného prostredí, komponenty, servisy, apod. za úcelem (príklad scénáre:

  • Identifikovat provozované služby a systémy.
  • Odhalit chyby konfigurace provozovaných služeb.
  • Obejít autentizacní mechanizmy.
  • Získání vyšších práv v rámci systému.
  • Získat prístup k informacím, pro které není daný uživatel autorizován.
  • Identifikovat reakci systému na útok na autentizacní mechanizmy hrubou silou.
  • Overit možnost vkládání (injection) škodlivého kódu.
  • Overit možnost uložení souboru se škodlivým kódem do systému.
  • Identifikace možností manipulace s parametry URL a HTTP/HTTPS.
  • Overit možnost získání citlivých informací.
  • Overit zabezpecení komunikace s klientem.
  • Overit odolnost systému proti útokum typu DoS (testy budou provádeny nedestruktivní formou, tj. Pouze zjištení náchylnosti k útokum DoS, nikoli však vlastní útok, který by mohl mít za následek Nestabilitu systému ci jeho kolaps).

Tyto testy jsou realizovány na základe mezinárodních metodik a standardu:

  • Technologické standardy.
  • Mezinárodní metodiky pro penetracní testování.
  • Metodiky ISACA pro auditování.
  • Databáze zranitelností.
  • Konference s tématy hackingu.
  • Zkušenosti clenu testovacího týmu.
  • Specifické know-how dodavatele.
  • Best practices v dané oblasti.

Použité metodiky testování

Koncept testování vychází z následujících metodik:

  • OWASP – doporucení pri identifikaci hrozeb webových plizcí, zejména pak, OWASP Evaluating and Certification Criteria a OWASP Testing guide
  • CVE – Common Vulnerabilities and Exposures – databáze obecných ohrožení a zranitelností
  • OSVDB – Open Source Vulnerability Databáze – databáze zranitelností
  • OSSTMM (Open Source Security Testing Metodology) – metodologie pro testování bezpecnosti
  • NIST standard – standardy NIST pro oblast nastavení a testování
  • ISACA – doporucení pro auditory (CISA)
Rubriky
Archív