Penetrační testování

Cílem penetračních testů je důkladně prozkoumat bezpečnostní mechanismy informačních systémů a zjistit tak, jak je chráněn proti útokům na důvěrnost (např. krádež), integritu (např. falzifikace) a dostupnost dat (např. odepření služeb).
Opakované provádění penetračních testů síťové infrastruktury a informačních systémů patří v současné době mezi základní kameny ochrany aktiv společnosti. Cílem penetračních testů v pojetí společnosti VITSOL je identifikovat zranitelná místa, klasifikovat jejich rizika a navrhnout potřebná opatření k minimalizaci jejich dopadu. Pomocí penetračních testů ověřujeme zabezpečení datových sítí, informačních systémů, prověřujeme bezpečnost připojení k internetu, metodu přístupu mobilních uživatelů, úroveň zabezpečení bezdrátových sítí a dalších technologií v celé škále ICT. Základní částí penetračních testů síťové infrastruktury je prověření síťových serverů, provozovaných služeb, pracovních stanic a dalších síťových zařízení jako jsou firewally, routery, switche, apod. Na bezpečnost ICT je třeba hledět také z perspektivy bezpečnostních politik společnosti a sledování jejich souladu se skutečným stavem. Penetrační testy v tomto případě poslouží k prověření a dokumentaci aktuálního stavu zabezpečení ICT a k nalezení případných rozporů s bezpečnostní politikou nebo obecně známými bezpečnostními principy.
Pomocí penetračních testů, analýzy současného stavu (použitých bezpečnostních technologií a síťové infrastruktury) poskytujeme detailní představu o stavu technologické informační bezpečnosti ve společnosti. Důležitou součástí je seznam nalezených nedostatků a doporučených opatření tak, aby byl zajištěn proces dosažení souladu se současnými bezpečnostními standardy. Navržená opatření mohou zahrnovat širokou škálu zásahů do IT struktury, od pouhé změny konfigurace systémů až po celkovou restrukturalizaci IS.


Standardní realizace penetračních testů:

  • analýza architektury systému a vymezení samostatných funkčních celků určených pro penetrační testy,
  • určení konkrétních měřících bodů na základě identifikovaných funkčních celků,
  • identifikace cílů, dostupných služeb a potenciálních rizik,
  • provedení vlastních testů identifikovaných cílů a služeb,
  • snaha o získání práv oprávněných uživatelů, pokus o vstup do zabezpečených částí webových aplikací,
  • analýza výsledků testů a identifikace bezpečnostních rizik,
  • ověření nalezených rizik, případné provedení dalších doplňujících testů,
  • analýza výsledků zaměřená na návrh protiopatření,
  • návrh protiopatření vedoucích k minimalizaci nalezených rizik,
  • zpracování výstupní zprávy

V rámci analýzy systému a určení měřících bodů pro penetrační testy je objednatel vždy informován o povaze testů, cíli testů, čase a způsobu provedení testů a o možných dopadech na provozní systémy. Testy jsou provedeny po odsouhlasení objednatelem.