Frequently Asked Questions
Witamy na stronie z najczęściej zadawanymi pytaniami (FAQ), gdzie znajdziesz odpowiedzi na najważniejsze kwestie dotyczące naszych usług oraz procesu testów penetracyjnych. Naszym celem jest zapewnienie Ci pełnej informacji na temat tego, jak działamy, jakie korzyści niesie za sobą przeprowadzenie testów / audytów oraz jak możesz przygotować się do współpracy z nami. Jeśli masz jakiekolwiek pytania, które nie zostały uwzględnione w tej sekcji, zachęcamy do kontaktu z naszym zespołem – chętnie pomożemy!
#Zapytaj naszego konsultanta AI
Nasz wirtualny konsultant AI jest tutaj, aby pomóc Ci w rozwiewaniu wszelkich wątpliwości oraz problemów związanych z bezpieczeństwem Twoich danych i systemów. Niezależnie od tego, czy jesteś przedsiębiorcą, specjalistą IT czy osobą prywatną, nasz AI zapewnia szybkie i dokładne odpowiedzi na Twoje pytania.
DISCLAIMER: Nasz konsultant AI jeszcze się uczy. Korzystając z VIPentest AI, zgadzasz się na nasze warunki oraz zapoznałeś się z naszą Polityką Prywatności. Nie udostępniaj danych wrażliwych!
1. Do kogo skierowane są nasze usługi?
Nasze usługi, są skierowane do szerokiej grupy odbiorców, którzy cenią sobie bezpieczeństwo i integralność swoich systemów informatycznych. Naszymi klientami są przede wszystkim następujące grupy:
Firmy i organizacje:
Organizacje, które zarządzają wrażliwymi danymi klientów, takie jak instytucje finansowe, dostawcy usług medycznych oraz firmy z branży e-commerce, czerpią znaczące korzyści z naszych usług. Testy te są kluczowe w ochronie ich systemów przed zagrożeniami cybernetycznymi.
Instytucje rządowe:
Organy rządowe ponoszą ogromną odpowiedzialność za ochronę informacji obywateli. Nasze usługi są nieocenione w identyfikacji i eliminowaniu luk w systemach informacyjnych instytucji rządowych, zapewniając solidne zabezpieczenia.
Dostawcy usług IT:
Firmy świadczące usługi IT, w tym dostawcy usług chmurowych oraz usług typu “managed”, polegają na naszych pentestach, aby utrzymać bezpieczeństwo swojej oferty. Testy te są niezbędne, aby ich usługi pozostały bezpieczne i godne zaufania dla swoich klientów.
Deweloperzy oprogramowania:
Dla twórców aplikacji oprogramowania nasze audyty są niezastąpione. Pomagają zapewnić, że produkty są odporne na potencjalne ataki cybernetyczne i spełniają najwyższe standardy bezpieczeństwa, co daje spokój zarówno deweloperom, jak i użytkownikom.
Branże regulowane:
Branże objęte rygorystycznymi regulacjami, takie jak opieka zdrowotna (HIPAA), finanse (PCI DSS) i sektor energetyczny, polegają na naszych usługach, aby pozostać zgodnymi z obowiązującymi przepisami. Nasze testy pomagają tym sektorom spełniać wymogi regulacyjne przy jednoczesnym utrzymaniu najwyższego poziomu bezpieczeństwa.
Administratorzy sieci:
Aby zapewnić bezpieczeństwo sieci i zapobiec nieautoryzowanemu dostępowi do zasobów sieciowych, administratorzy sieci korzystają z naszych testów penetracyjnych oraz audytów konfiguracji. Testy te są kluczowe w identyfikacji i eliminowaniu potencjalnych zagrożeń, zapewniając integralność i bezpieczeństwo środowiska sieciowego.
Nasze usługi pomagają tym grupom identyfikować i usuwać słabe punkty w ich systemach, znacząco redukując ryzyko udanych cyberataków.
2. Czym różnimy się od innych dostawców usług?
Wysokie kompetencje w testach penetracyjnych
Skuteczność testów penetracyjnych zależy w dużej mierze od umiejętności i doświadczenia ekspertów, którzy je przeprowadzają. W VIPentest zatrudniamy wyłącznie specjalistów z wysokimi kwalifikacjami, potwierdzonymi certyfikatami oraz bogatym doświadczeniem. Naszym priorytetem są manualne metody testowania, dzięki którym nasi eksperci mogą dogłębnie przeanalizować działanie testowanej aplikacji oraz jej wewnętrznych systemów. Takie podejście zapewnia indywidualne podejście do każdego projektu, a wyniki testów są nie tylko precyzyjne, ale również w pełni miarodajne.
Manualne testy kontra automatyczne narzędzia
Wielu dostawców usług korzysta głównie z automatycznych narzędzi do skanowania bezpieczeństwa, tzw. narzędzi „point-and-shoot”. Automatyzacja taka często opiera się na ogólnych założeniach dotyczących aplikacji, co może prowadzić do niepełnych wyników lub pominięcia kluczowych aspektów. Co więcej, wyniki z tych narzędzi bywają źle interpretowane lub nieumiejętnie osądzane w kontekście testowanej aplikacji (false positives). W VIPentest przykładamy dużą wagę do tego, aby każde znalezisko było dokładnie zrozumiane i ocenione w odniesieniu do konkretnego systemu, co pozwala uzyskać pełniejszy i bardziej dokładny obraz bezpieczeństwa w kontekście biznesowym.
3. Dlaczego moja aplikacja/system jest celem dla hakerów?
Każda aplikacja lub system podłączony do Internetu może stać się celem. Internet jest nieustannie skanowany przez hakerów i boty, które poszukują podatnych systemów i aplikacji. Istnieje kilka powodów, dla których Twoja aplikacja może przyciągać cyberprzestępców:
Przechowywanie danych wrażliwych
Aplikacje, które gromadzą wrażliwe dane, takie jak dane osobowe, informacje finansowe lub poufne informacje biznesowe, są szczególnie atrakcyjnym celem. Te dane mogą zostać sprzedane na czarnym rynku, wykorzystane do kradzieży tożsamości lub innych złośliwych działań.
Korzyści finansowe
Hakerzy często atakują aplikacje w celu osiągnięcia korzyści finansowych. Może to być bezpośrednia kradzież środków, ataki ransomware lub wykorzystanie luk w celu popełnienia oszustwa. Platformy e-commerce, aplikacje bankowe oraz usługi związane z transakcjami finansowymi są szczególnie narażone na tego typu ataki.
Własność intelektualna
Aplikacje zawierające cenne informacje, takie jak oprogramowanie własnościowe, tajemnice handlowe lub dane badawcze, są celem hakerów, którzy chcą ukraść te dane w celu zdobycia przewagi konkurencyjnej lub sprzedaży.
Zasoby systemowe
Niektórzy hakerzy dążą do przejęcia zasobów aplikacji na własny użytek. Może to obejmować wykorzystanie serwera aplikacji do kopania kryptowalut (cryptojacking) lub jako część botnetu służącego do przeprowadzania innych ataków.
Uszczerbek na reputacji
Twoja konkurencja lub inne złośliwe podmioty mogą zaatakować Twoją organizację, aby zaszkodzić Twojej reputacji. Może to prowadzić do utraty zaufania klientów, zmniejszenia bazy użytkowników oraz strat finansowych wynikających z konieczności naprawy skutków ataku i utraty zysków.
Platforma do dalszych ataków
Kompromitacja Twojej aplikacji może dać hakerom dostęp do systemów lub sieci połączonych z Twoją aplikacją. Taki “ruch lateralny” może zwiększyć skalę i skutki ich złośliwych działań.
Brak środków bezpieczeństwa
Aplikacje, które korzystają z przestarzałego oprogramowania, mają niewystarczające szyfrowanie lub słabe mechanizmy kontroli dostępu, stają się łatwym celem. Hakerzy często skanują sieć w poszukiwaniu takich słabo zabezpieczonych systemów.
Wysoka widoczność i popularność
Aplikacje o wysokim profilu i dużej popularności przyciągają większą uwagę hakerów z powodu licznej bazy użytkowników oraz większego potencjalnego wpływu. Dotyczy to m.in. platform społecznościowych, influencerów, popularnych aplikacji biznesowych i konsumenckich.
Ataki socjotechniczne
Aplikacje, które umożliwiają interakcję z użytkownikami, takie jak serwisy e-mailowe lub sieci społecznościowe, mogą być wykorzystywane do ataków socjotechnicznych. Hakerzy wykorzystują te platformy do phishingu, rozprzestrzeniania złośliwego oprogramowania lub manipulowania użytkownikami w celu uzyskania poufnych danych.
Testowanie umiejętności
Czasami hakerzy atakują aplikacje tylko po to, aby sprawdzić swoje umiejętności lub udowodnić je swoim rówieśnikom. Choć takie ataki mogą nie mieć bezpośredniego celu finansowego, nadal mogą wyrządzić znaczące szkody.
4. Czy moja aplikacja/system jest bezpieczny po przeprowadzeniu testu penetracyjnego?
Test penetracyjny (pentest) znacząco podnosi poziom bezpieczeństwa Twojej aplikacji lub systemu, wykrywając podatności i pomagając je naprawić. Jednak nie jest to jednorazowe i jedyne rozwiązanie problemu cyberbezpieczeństwa. Utrzymanie bezpieczeństwa wymaga ciągłego monitorowania, regularnych aktualizacji oraz wdrażania kompleksowych praktyk bezpieczeństwa.
Oto kilka powodów, dla których Twoja aplikacja lub system może nadal być narażony na ryzyko, nawet po wykonaniu pentestu:
Zmieniający się krajobraz zagrożeń
Cyberzagrożenia i metody ataków nieustannie się rozwijają. Nowe luki bezpieczeństwa i exploity są regularnie odkrywane (0-days), co oznacza, że pentest identyfikuje podatności tylko w oparciu o aktualne zagrożenia w momencie jego przeprowadzenia.
Ograniczenia zakresu
Zakres pentestu może nie obejmować wszystkich elementów Twojego systemu, aplikacji lub infrastruktury. Obszary, które nie zostały objęte testem, mogą nadal zawierać podatności, które nie zostały wykryte podczas audytowanego komponentu.
Błąd ludzki
Nawet doświadczeni badacze bezpieczeństwa mogą nie wykryć wszystkich podatności. Złożoność i specyfika systemów sprawiają, że niektóre luki mogą zostać przeoczone podczas pojedynczego pentestu.
Zmiany po penteście
Jakiekolwiek zmiany wprowadzone do systemu po zakończeniu pentestu – aktualizacje, nowe funkcje lub zmiany konfiguracji – mogą wprowadzić nowe podatności. Stałe monitorowanie i testowanie są niezbędne do utrzymania wysokiego poziomu bezpieczeństwa.
Podatności zero-day
Pentesty nie uwzględniają podatności typu zero-day, które są nieznane społeczności bezpieczeństwa i nie mają dostępnych łatek bezpieczeństwa. Nawet po przeprowadzeniu testów, takie podatności mogą zostać wykorzystane przez atakujących.
Zagrożenia wewnętrzne
Pentesty często koncentrują się na zagrożeniach zewnętrznych i mogą nie uwzględniać w pełni zagrożeń wewnętrznych, takich jak działania pracowników (insider threat) lub podatności w wewnętrznych procesach i systemach.
Ograniczony czas trwania
Pentest to ocena wykonywana w konkretnym momencie. Wyniki odzwierciedlają stan systemu w chwili testu, dlatego niezbędne są stałe i regularne działania, aby reagować na nowe zagrożenia.
Kroki zwiększające bezpieczeństwo po penteście:
Aby maksymalnie wykorzystać korzyści z pentestu i zapewnić ciągłe bezpieczeństwo Twojego systemu lub aplikacji, warto podjąć następujące kroki:
- Plan reagowania na incydenty: Stwórz i utrzymuj solidny plan reagowania na incydenty, aby szybko i skutecznie przeciwdziałać naruszeniom bezpieczeństwa.
- Regularne pentesty: Regularne testowanie pozwala na identyfikację i naprawę nowych podatności, jako część strategii ciągłego zabezpieczania systemu.
- Zarządzanie poprawkami: Regularnie aktualizuj i instaluj aktualizacje do oprogramowania i jego zależności, aby chronić system przed znanymi podatnościami.
- Monitorowanie bezpieczeństwa: Wdrożenie stałego monitorowania bezpieczeństwa umożliwia wykrywanie i reagowanie na potencjalne zagrożenia w czasie rzeczywistym.
- Przeglądy kodu: Regularne przeglądy kodu oraz stosowanie bezpiecznych praktyk programistycznych mogą zapobiec tworzeniu podatności już na etapie rozwoju systemu (SSDLC – Secure Software Development Lifecycle).
- Szkolenia pracowników: Edukowanie zespołu w zakresie najlepszych praktyk bezpieczeństwa i rozpoznawania zagrożeń może zmniejszyć ryzyko ataków socjotechnicznych takich jak phishing.
5. Jaka jest różnica między white-box, grey-box i black-box
Różnica między testami penetracyjnymi typu black-box, grey-box i white-box wynika z poziomu informacji oraz dostępu, jaki testerzy otrzymują przed rozpoczęciem testów. Każde z tych podejść ma swoje zalety i specyficzne zastosowania, w zależności od celów i wymagań oceny bezpieczeństwa.
Testy penetracyjne typu Black-Box
Opis:
W testach black-box tester nie posiada żadnej wiedzy o wewnętrznej strukturze, kodzie czy architekturze systemu. Tester działa z perspektywy zewnętrznego atakującego, symulując realistyczny scenariusz ataku bez dostępu do informacji wewnętrznych.
Zalety:
- Symuluje rzeczywisty atak, dostarczając informacji o tym, jak system wygląda z perspektywy zewnętrznego atakującego.
- Przydatny do oceny skuteczności obrony perymetralnej (np. firewalli, systemów wykrywania włamań).
- Pomaga zidentyfikować podatności, które mogą być narażone na ataki zewnętrzne.
Wady:
- Ograniczony zakres i głębokość testów ze względu na brak wiedzy wewnętrznej.
- Może nie wykryć podatności, które wymagają dostępu do wewnętrznych informacji.
- Często bardziej czasochłonny i mniej dogłębny w porównaniu do innych metod.
Testy penetracyjne typu Grey-Box
Opis:
W testach grey-box tester ma częściową wiedzę o wewnętrznej strukturze systemu. Może to obejmować dostęp do niektórych dokumentów wewnętrznych, diagramów architektury lub ograniczonych danych uwierzytelniających. Tester łączy te informacje z technikami ataków zewnętrznych.
Zalety:
- Łączy dogłębność testów typu white-box z realistycznym podejściem testów black-box.
- Jest bardziej efektywny i dokładny niż testy black-box, ponieważ testerzy mają kontekst i mogą skoncentrować się na kluczowych obszarach.
- Może identyfikować podatności zarówno z perspektywy zewnętrznego atakującego, jak i wewnętrznego użytkownika.
Wady:
- Może nie wykryć niektórych głębokich podatności, które wymagają pełnego dostępu.
- Jakość testów zależy od poziomu i jakości dostarczonych informacji.
Testy penetracyjne typu White-Box
Opis:
W testach white-box tester ma pełny dostęp do wewnętrznej struktury, kodu źródłowego i architektury systemu. Tester działa z pełną wiedzą o systemie, mając dostęp do kodu źródłowego, dokumentacji oraz szczegółów konfiguracji.
Zalety:
- Zapewnia najdokładniejszą i najbardziej wszechstronną ocenę, ponieważ testerzy mogą sprawdzić każdy aspekt systemu.
- Pomaga wykryć złożone i głęboko zakorzenione podatności, które mogłyby zostać pominięte w innych metodach testowania.
- Przydatny do weryfikacji bezpieczeństwa poszczególnych komponentów, przeglądów kodu oraz zgodności ze standardami bezpieczeństwa.
Wady:
- Nie symuluje rzeczywistego scenariusza ataku zewnętrznego, ponieważ tester ma dostęp do wewnętrznych informacji.
- Wymaga dużych nakładów czasu i zasobów, aby przeprowadzić dokładną analizę.
- Istnieje ryzyko stronniczości, jeśli testerzy są zbyt zaznajomieni z systemem.
Podsumowanie:
White-Box : Pełna wiedza, najbardziej kompleksowe, dogłębna ocena wewnętrzna.
Black-Box: Brak wcześniejszej wiedzy, symuluje atak zewnętrzny, dobry do testowania obrony perymetralnej.
Grey-Box :Częściowa wiedza, łączy perspektywę wewnętrzną i zewnętrzną, zrównoważone podejście.
6. Jak przygotować się do testu penetracyjnego?
Przygotowanie środowiska testowego
Upewnij się, że środowisko testowe zawiera najnowszy kod oraz konfiguracje. Testy powinny być przeprowadzane najlepiej w środowisku preprod lub testowym. Jeśli nie jest to dokładna replika środowiska produkcyjnego, istotne jest, aby środowisko testowe zawierało dane testowe. To pozwala testerom na ocenę wszystkich funkcjonalności systemu, zapewniając, że żaden element nie zostanie pominięty.
Upewnij się, że środowisko działa poprawnie
Zweryfikuj, czy wszystkie funkcje i komponenty w aplikacji działają prawidłowo, odwzorowując środowisko produkcyjne. Przeprowadź szczegółową kontrolę i poinformuj testerów z wyprzedzeniem o ewentualnych funkcjach, które mogą nie działać w środowisku testowym.
Utwórz kopie zapasowe
Ponieważ podczas testowania dane mogą zostać zmodyfikowane lub usunięte, niezwykle ważne jest utworzenie kopii zapasowych przed rozpoczęciem testu penetracyjnego.
Poinformuj dostawcę usług hostingowych
Powiadom dostawcę usług hostingowych o konieczności dodania adresów IP firmy przeprowadzającej testy penetracyjne do listy dozwolonych w systemach IDS, IPS oraz przy ograniczeniach szybkości. Dzięki temu testy będą mogły przebiegać bez zakłóceń. Więcej szczegółów znajdziesz w FAQ.
Dostarcz niezbędne informacje
W zależności od rodzaju testu penetracyjnego, konieczne może być dostarczenie specyficznych informacji przed jego rozpoczęciem. Zobacz także FAQ.
Dostosuj ustawienia SMTP w środowisku testowym
Skonfiguruj ustawienia SMTP, aby umożliwić testerom przegląd wszystkich wiadomości e-mail wysyłanych przez system. Dzięki temu będą mogli sprawdzić, jak aplikacja radzi sobie z komunikacją mailową. Szczegóły znajdziesz w FAQ.
7. Jaki jest czas realizacji testu penetracyjnego?
Czas trwania testu penetracyjnego może się znacznie różnić w zależności od kilku kluczowych czynników. Oto niektóre z nich:
Zakres projektu
Wielkość i złożoność sieci lub systemu, który jest testowany. Mniejsze aplikacje internetowe mogą być testowane szybciej niż rozległe sieci korporacyjne z wieloma aplikacjami i serwerami.
Rodzaj testu
Istnieją różne rodzaje testów penetracyjnych, w tym:
- Black Box : tester nie ma wcześniejszej wiedzy na temat infrastruktury.
- White Box : tester ma pełną wiedzę na temat infrastruktury.
- Grey Box : tester ma częściową wiedzę. Testy czarnym boxem mogą trwać dłużej, ponieważ tester musi najpierw zrozumieć infrastrukturę.
Głębokość testu
Wymagana dokładność testu. Szybkie, powierzchowne skanowanie można zakończyć szybko, podczas gdy szczegółowa analiza bezpieczeństwa aplikacji lub sieci zajmie znacznie więcej czasu.
Liczba systemów
Liczba serwerów, stacji roboczych, aplikacji i innych urządzeń, które muszą być testowane.
Dostępność zasobów
Dostępność zasobów wewnętrznych i zewnętrznych, takich jak dokumentacja oraz personel, który może udzielić odpowiedzi lub wsparcia.
Złożoność środowiska
Stopień skomplikowania środków bezpieczeństwa oraz ogólna złożoność środowiska IT. Bardziej złożone środowiska wymagają więcej czasu na dokładne testowanie.
Zwykle test penetracyjny może trwać od kilku dni do kilku tygodni. Dla mniejszych projektów czas realizacji wynosi zazwyczaj 1-2 tygodnie, podczas gdy większe i bardziej złożone projekty mogą wymagać 4-6 tygodni lub więcej.
8. Jak często powinienem przeprowadzać testy penetracyjne?
Określenie częstotliwości przeprowadzania testów penetracyjnych (pentestów) zależy od różnych czynników, takich jak charakter aplikacji, wrażliwość danych, które obsługujesz, regulacje w Twojej branży oraz tempo aktualizacji aplikacji. Oto kilka wytycznych, które mogą pomóc w podjęciu decyzji o częstotliwości pentestów:
Regularne Interwały
- Przynajmniej raz w roku: Większość organizacji powinna przeprowadzać pentesty przynajmniej raz w roku, aby zapewnić podstawową ocenę bezpieczeństwa.
- Co sześć miesięcy lub co kwartał: Firmy w ściśle regulowanych sektorach lub o wysokim ryzyku, takich jak sektor finansowy czy opieka zdrowotna, mogą skorzystać z bardziej frequentnych pentestów.
Po Ważnych Zmianach
- Aktualizacje i nowe wersje: Przeprowadzaj pentesty po każdej większej aktualizacji lub wydaniu aplikacji, aby zidentyfikować nowe luki, które mogły zostać wprowadzone w trakcie rozwoju.
- Zmiany w infrastrukturze: Ważne jest przeprowadzenie pentestu po znaczących zmianach w infrastrukturze, takich jak migracja na nowy serwer czy do środowiska chmurowego.
Wymagania Zgodności
- Regulacje specyficzne dla branży: Wiele sektorów ma określone wymagania dotyczące częstotliwości przeprowadzania pentestów. Upewnij się, że przestrzegasz regulacji obowiązujących w Twojej branży, takich jak PCI DSS, HIPAA czy GDPR.
- Certyfikaty: Jeśli Twoja organizacja dąży do uzyskania certyfikatów bezpieczeństwa, takich jak ISO 27001, mogą istnieć specyficzne wymagania dotyczące częstotliwości przeprowadzania pentestów.
Podejście Oparte na Ryzyku
- Ocena ryzyka: Przeprowadź ocenę ryzyka, aby określić, które części Twojej aplikacji lub infrastruktury są najbardziej narażone na ataki i dostosuj częstotliwość pentestów w zależności od tego.
- Aplikacje wysokiego ryzyka: Aplikacje wspierające kluczowe procesy biznesowe lub obsługujące wrażliwe dane powinny być testowane częściej.
Ciągłe Monitorowanie
- Monitorowanie bezpieczeństwa: Oprócz regularnych pentestów wprowadź ciągłe monitorowanie bezpieczeństwa, aby wykrywać zagrożenia w czasie rzeczywistym i reagować na incydenty bezpieczeństwa.
- Automatyczne testy: Wykorzystaj automatyczne testy i skanery do regularnego przeprowadzania powierzchownych skanów, uzupełnionych o szczegółowe pentesty manualne.
Skuteczna strategia bezpieczeństwa powinna obejmować zarówno regularne pentesty, jak i ciągłe monitorowanie bezpieczeństwa. Dokładna częstotliwość pentestów powinna być dostosowana do specyficznych potrzeb i profili ryzyka Twojej organizacji. Łącząc okresowe testy, testy po ważnych zmianach i ciągłe monitorowanie, możesz stworzyć solidną obronę przed ciągle zmieniającymi się zagrożeniami w cyfrowym świecie.
9. Jakie informacje należy dostarczyć przed testem penetracyjnym?
Aby zapewnić płynne przeprowadzenie testów bezpieczeństwa, konieczne jest dostarczenie specyficznych informacji dotyczących aplikacji. Poniżej przedstawiono wymagane informacje w zależności od typu testu:
1. Pentest Black-Box
W przypadku testu black-box tester nie ma wiedzy na temat środowiska i jego działania (lub ma jedynie ograniczone informacje).
- URL-e środowiska akceptacji i produkcji aplikacji.
2. Pentest Grey-Box
Tester ma pewną wiedzę o środowisku, są dostarczane dane logowania, ale nie ma pełnych uprawnień administracyjnych ani zarządczych.
- URL-e środowiska akceptacji i produkcji aplikacji.
- Użytkownicy testowi dla aplikacji: preferowany jest superużytkownik, który ma dostęp do całej aplikacji. Pozwoli to badaczom na większą elastyczność w tworzeniu użytkowników. W przeciwnym razie wymagane są co najmniej dwa konta dla każdej roli użytkownika.
- W przypadku, gdy wiele organizacji może się logować, a każda ma własne zarządzanie użytkownikami i dane, preferowany jest superużytkownik, który może zarządzać wszystkimi organizacjami. Jeśli nie jest to możliwe, wymagane są konta administratora dla co najmniej dwóch organizacji, aby móc sprawdzić, czy organizacja A nie ma dostępu do danych organizacji B.
- Dokumentacja użytkownika oraz informacje kontekstowe dotyczące aplikacji webowej, a także linki i dostosowane moduły.
3. Pentest White-Box
Nazywany również testem typu Glass-box lub Crystal-box. Tester ma wcześniejszą wiedzę, dane logowania oraz prawa administracyjne lub zarządcze.
- URL-e środowiska akceptacji i produkcji aplikacji.
- Użytkownicy testowi dla aplikacji: preferowany superużytkownik, aby umożliwić badaczom większą elastyczność. W przeciwnym razie wymagane są co najmniej dwa konta dla każdej roli użytkownika.
- W przypadku wielu organizacji, preferowany jest superużytkownik. W przeciwnym razie wymagane są konta administratora dla co najmniej dwóch organizacji.
- Dostęp do środowiska akceptacji z poziomu SSH (lub FTP) z minimalnymi uprawnieniami do odczytu i zapisu na wszystkich plikach aplikacji webowej (nie jest to obligatoryjne, ale prowadzi do najdokładniejszych wyników i ustaleń).
- Pełna dokumentacja.
- Dostęp do kodu źródłowego aplikacji.
- API (jeśli jest w zakresie): kolekcja Postman z ważnymi zapytaniami (przegląd punktów końcowych).
Dostarczenie tych informacji przed testem penetracyjnym jest kluczowe dla skutecznego i efektywnego przeprowadzenia analizy bezpieczeństwa aplikacji.
10. Jakie są zalety metod ręcznego testowania?
Ręczne testowanie w testach penetracyjnych oferuje kilka przewag w porównaniu do zautomatyzowanych metod testowania. Kluczowe korzyści wynikające z metod ręcznego testowania to:
- Głębokość i kontekstualne zrozumienie: Ręczne testy umożliwiają pentesterom lepsze zrozumienie kontekstu aplikacji lub sieci, które są testowane. Dzięki temu możemy zidentyfikować błędy logiczne, podatności wynikające z błędnych konfiguracji i inne problemy, które mogą być pomijane przez zautomatyzowane narzędzia.
- Kreatywność i elastyczność: W przypadku testowania ręcznego, nasi pentesterzy mogą zastosować kreatywne i niekonwencjonalne metody w celu znalezienia słabości. Możemy dostosować nasze podejście w oparciu o wyniki uzyskane podczas testu, co jest trudne do osiągnięcia za pomocą narzędzi automatycznych.
- Identyfikacja złożonych podatności: Niektóre podatności są złożone i wymagają kombinacji różnych technik ataku, aby je odkryć. Metody ręcznego testowania pozwalają nam zrozumieć tę złożoność i adekwatnie reagować na dynamiczne i niestandardowe sytuacje.
- Intuicja ludzka: Nasi pentesterzy mogą wykorzystać swoją intuicję i doświadczenie do rozpoznawania nietypowych wzorców lub podejrzanego zachowania, które mogą umknąć zautomatyzowanym skanerom. Na przykład, możemy wykrywać subtelne odchylenia w logice aplikacji lub interakcjach użytkowników.
- Weryfikacja zidentyfikowanych podatności: Metody ręcznego testowania umożliwiają weryfikację wyników. Jeśli zautomatyzowane narzędzie wykryje potencjalną podatność, nasi pentesterzy mogą przeprowadzić dalsze dochodzenie, aby wykluczyć fałszywe alarmy i lepiej ocenić wpływ podatności.
- Ocena wpływu na biznes: Ręczne testowanie może lepiej ocenić, które podatności mają największy wpływ na operacje biznesowe. Pomaga to organizacjom w priorytetyzacji łatania i poprawy ich środków bezpieczeństwa.
- Symulacja zaawansowanych ataków: Ręczne testowanie pozwala naszym pentesterom na symulację zaawansowanych i ukierunkowanych scenariuszy ataków, które są specyficznie skierowane na infrastrukturę i aplikacje organizacji. Pomaga to zrozumieć, jak mógłby działać prawdziwy atakujący.
- Raportowanie i doradztwo: W przeciwieństwie do wyników zautomatyzowanych narzędzi zabezpieczających, dostarczamy szczegółowe raporty, które zawierają zarówno techniczne ustalenia, jak i strategiczne porady oraz praktyczne rekomendacje dotyczące poprawy bezpieczeństwa klienta.
Podczas naszych testów penetracyjnych łączymy metody ręcznego testowania z narzędziami zautomatyzowanymi, co pozwala na dokładniejszą i bardziej kompleksową ocenę bezpieczeństwa.
11. Jak skutecznie przeprowadzić retest?
Skuteczne przeprowadzenie retestu po początkowym teście penetracyjnym wymaga kilku kluczowych kroków, aby upewnić się, że podatności zostały właściwie zaadresowane i że nie pojawiły się nowe problemy. Aby uzyskać więcej informacji na temat naszych retestów, procesu retestowania oraz wymaganej dokumentacji, zapraszamy również do odwiedzenia naszej strony z informacjami o retestach.
Strukturalne podejście do skutecznego przeprowadzenia retestu obejmuje:
Zaktualizowany raport: Po zakończeniu retestu otrzymasz zaktualizowany raport z testu penetracyjnego zawierający wszystkie wyniki retestu.
Przegląd początkowych ustaleń
Analiza raportu: Starannie przeanalizuj początkowy raport z testu penetracyjnego, koncentrując się na zidentyfikowanych podatnościach i ich poziomach ważności.
Priorytetyzacja podatności: Upewnij się, że najpierw zaadresowano podatności wysokie i krytyczne, a następnie te o średnim i niskim poziomie ważności.
Planowanie retestu
Definicja zakresu: Wyraźnie określ zakres retestu. Powinien on koncentrować się na wcześniej zidentyfikowanych podatnościach, ale także obejmować sprawdzenie nowych problemów.
Przygotowanie środowiska: Upewnij się, że środowisko testowe jak najdokładniej odzwierciedla środowisko produkcyjne, w tym wszelkie aktualizacje lub zmiany wprowadzone od czasu pierwszego testu.
Komunikacja z zespołem deweloperskim
Omówienie poprawek: Zaangażuj zespoły deweloperskie lub IT, aby zrozumieć, w jaki sposób zidentyfikowane podatności zostały zaadresowane.
Dokumentacja: Zbierz dokumentację wprowadzonych poprawek, taką jak zmiany w kodzie, wdrożone poprawki lub aktualizacje konfiguracji oraz wyślij je nam
Wykonanie retestu
Retest: Pozwól naszym pentesterom wykonać swoje zadanie podczas retestu, aby sprawdzić, czy poprawki skutecznie eliminują zagrożenia bezpieczeństwa.
12. Dlaczego powinienem dodać adresy IP do białej listy w systemach IPS, IDS i ograniczeniach typu rate-limiting podczas testu penetracyjnego?
W przygotowaniach do testu penetracyjnego prosimy o dodanie adresów IP, z których nasi badacze przeprowadzają testy, do białej listy w systemach IDS, IPS oraz rate-limiting. Whitelisting powinien zazwyczaj być ustawiony na serwerze WWW, aplikacji internetowej i/lub zaporze sieciowej. W przypadku hostingu zewnętrznego organizacja hostingowa powinna być o tym poinformowana.
„Dlaczego miałbym celowo uczynić swoją aplikację internetową mniej bezpieczną?” to pytanie, które często się pojawia, gdy prosimy o dodanie do białej listy.
Systemy IDS, IPS oraz rate-limiting często powodują opóźnienia, ponieważ na przykład liczba żądań wysyłanych do aplikacji internetowej na jednostkę czasu jest ograniczona. Czasami trzeba poświęcić dużo czasu na dostosowanie żądań, aby nie były rozpoznawane przez systemy IDS/IPS. Niemniej jednak, te środki bezpieczeństwa można obejść, jeśli mamy wystarczająco dużo czasu, dlatego powinny być traktowane jako dodatkowa warstwa zabezpieczeń, ale sama aplikacja internetowa nie powinna się na nich opierać. Ponieważ badania bezpieczeństwa odbywają się w ograniczonym czasie, ważne jest, aby te systemy, jeśli są aktywne, były tymczasowo dezaktywowane dla adresów IP używanych do testów, aby umożliwić skuteczne zbadanie podstawowej warstwy zabezpieczeń.
Dezaktywacja systemów IDS, IPS i rate-limiting nie jest wymagana, ale zaleca się ją dla lepszych i bardziej kompletnych wyników badań.
13. Dlaczego należy dostosować ustawienia SMTP podczas testu penetracyjnego?
Na początku oceny bezpieczeństwa (testu penetracyjnego) prosimy o tymczasowe dostosowanie ustawień SMTP aplikacji. Umożliwi to naszym badaczom / testerom penetracyjnym przeglądanie wszystkich wiadomości e-mail wysyłanych za pośrednictwem Twojej aplikacji.
Czym są ustawienia SMTP?
Te ustawienia służą do wysyłania wiadomości e-mail z Twojej aplikacji. Wysyłając wiadomości przez nasz serwer, możemy mieć dostęp do wszystkich wiadomości.
Dlaczego warto ustawić inne ustawienia SMTP?
To poprawia skuteczność i kompleksowość badania. Na przykład aplikacje często wysyłają e-maile w tle, które normalnie nie byłyby widoczne. Ustawiając dane SMTP, nasi badacze mają lepszy wgląd w funkcjonalności, co pozwala na lepsze testowanie. Dodatkowo umożliwia to naszym badaczom łatwiejszą współpracę, ponieważ mogą w prosty sposób przeglądać wszystkie wysłane wiadomości e-mail.
Czy skonfigurowanie SMTP jest trudne?
W większości aplikacji i frameworków deweloperskich ustawienia SMTP można skonfigurować bardzo łatwo. Zwykle można je dostosować w centralnej konfiguracji. Dlatego skonfigurowanie SMTP nie wiąże się z dodatkowymi kosztami (rozwojowymi).
Nasza aplikacja wysyła e-maile przez API, a nie przez SMTP.
Nie ma problemu, zamiast ustawiać ustawienia SMTP, można również przekazać wszystkie wiadomości e-mail na adres e-mail, który dostarczymy.
Czy konieczne jest ustawienie ustawień SMTP?
Nie, zasadniczo badacze mogą testować bez tych ustawień. Jednak wpływa to na skuteczność i kompleksowość badania.
14. W jaki sposób przekazać dostęp do środowiska testowego?
Dostęp do środowiska testowego może odbywać się na kilka sposobów, w zależności od specyfiki infrastruktury klienta oraz wymagań testów:
- VPN: Klient dostarcza dane dostępowe do swojego VPNa, co pozwala naszym testerom na uzyskanie wewnętrznej adresacji oraz dostęp do infrastruktury klienta.
- Aplikacja Zewnętrzna: W przypadku aplikacji, która jest dostępna w Internecie, klient dostarcza dedykowane adresy URL/nazwy hostów, dokumentację oraz konta użytkowników, w zależności od rodzaju przeprowadzanych testów.
- Obraz .ISO: Dostarczamy klientowi gotowy obraz .iso lekkiej dystrybucji Linuxa, który klient może zwirtualizować w swojej sieci. To środowisko będzie służyć jako exit node VPN, umożliwiający naszemu zespołowi dostęp do infrastruktury klienta.
- RDP: Klient może udostępnić dostęp po RDP do uprzednio zainstalowanego systemu Kali Linux w swojej infrastrukturze, co pozwala naszym testerom na przeprowadzenie testów bezpośrednio z tego systemu.
- TailScale: Dla szybkiego zestawienia połączenia, które nie wymaga długiej konfiguracji, możemy skorzystać z rozwiązania TailScale, umożliwiającego łatwe nawiązanie połączenia z infrastrukturą klienta. (NEW)
Wybór metody dostępu powinien być uzgodniony z naszym zespołem, aby zapewnić skuteczne przeprowadzenie testów penetracyjnych. W razie dodatkowych pytań, chętnie pomożemy!