API

Testy penetracyjne to symulacje działań cyberprzestępców, którzy z dowolnego miejsca na świecie próbują uzyskać dostęp lub przejąć kontrolę nad systemami IT i informacjami.

Głównym celem testów jest sprawdzenie odporności API na włamania i cyberataki poprzez kompleksowe testy zgodne z OWASP API TOP 10 / OWASP ASVS / PCI DSS.

Zrealizowane projekty: Pracowaliśmy m.in. dla banków, domów maklerskich, firm leasingowych, energetycznych, telekomunikacyjnych, produkcyjnych oraz e-commerce.

Dowiedz się więcej

Kluczowe cechy usługi API:

  • Realizowane są zgodnie z metodyką Optima Partners opartą o międzynarodowe standardy i wytyczne takie jak OWASP API TOP 10, OWASP ASVS, OWASP Testing Guide, PCI DSS, itp.
  • Ryzyko oceniane według międzynarodowych standardów CVSS, OWASP RRM.
  • Wyniki testów stanowią informacje wejściowe dla procesów zarządzania ryzykiem oraz incydentami bezpieczeństwa w organizacji.
  • Testy realizowane przez ekspertów z certyfikatami, m.in. OSCE, OSCP, OSWE, OSEE, CPTE, CEH, CISSP, CISA i wieloletnim doświadczeniem w zabezpieczaniu systemów, administracji i programowaniu.

  • Rodzaje testów: 1) Black-box (brak wiedzy o testowanych systemach), 2) Grey-box (częściowa wiedza o testowanych systemach informatycznych), 3) White-box (pełna wiedza na temat testowanego systemu, w tym dokumentacja oraz kod źródłowy).

Sprawdź, co zyskujesz »

Korzyści

Zwiększenie bezpieczeństwa danych

Poprawa ochrony informacji przetwarzanych w systemach IT.

Redukcja ryzyka ataków

Zmniejszenie ryzyka włamań i skutecznych cyberataków.

Wczesne wykrywanie podatności

Identyfikacja luk, błędów i słabych punktów systemów zanim zrobią to cyberprzestępcy.

Praktyczne rekomendacje

Szybkie i efektywne kosztowo rozwiązania gotowe do wdrożenia (tzw. "quick wins").

Zgodność z normami

Spełnienie międzynarodowych standardów, takich jak ISO 27001, OWASP, OSSTMM i PCI DSS.

Uniknięcie strat

Zapobieganie stratom finansowym, utracie reputacji, problemom prawnym oraz sankcjom nadzorczym, w tym karom przewidzianym dla Zarządu w regulacjach DORA, RODO, itp.

Sprawdzenie bezpieczeństwa

Ocena, jak dobrze chronione są systemy IT i procesy w organizacji.

SWOT bezpieczeństwa

Wskazanie mocnych i słabych stron systemów IT oraz procedur bezpieczeństwa.

Zmniejszenie ryzyka

Wykrywanie i usuwanie słabych punktów, aby ograniczyć możliwość ataków i incydentów.

Ochrona przed atakami

Testy oparte na rzeczywistych scenariuszach pomagają w skutecznej obronie przed cyberzagrożeniami.

Oszczędność kosztów

Wczesne wykrycie luk pozwala uniknąć wydatków na naprawę skutków ataków.

Sprawdź nasze podejście »

Przemyślany plan działania

PL

EN

DE

Zobacz raport »

Masz pytania?

Skorzystaj z BEZPŁATNEJ KONSULTACJI

Zapisz się już teraz!

Raport

Wynikiem będzie szczegółowy raport z wynikami testów oraz praktycznymi rekomendacjami, obejmujący:

  • Streszczenie dla Zarządu, obejmujące:
    • Cel i zakres wykonanych prac;
    • Zastosowane podejście;
    • Podsumowanie wyników i wykonanych prac opisane biznesowym (nietechnicznym) językiem;
  • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
    • Zakres testów;
    • Data realizacji testów;
    • Opis zastosowanych metodyk i technik;
    • Zestawienie zidentyfikowanych podatności;
    • Narzędzia wykorzystane do realizacji testów;
    • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
      • Tytuł – tytuł zidentyfikowanej podatności;
      • Opis podatności – szczegółowy, techniczny opis zidentyfikowanych podatności;
      • Proof of concept (wyniki analizy możliwości wykorzystania podatności):
        • sposób wywołania podatności;
        • informacje potwierdzające zidentyfikowane podatności np.
          • przypadki testowe (zrzuty ekranów, przykłady zmanipulowanych zapytań), które dokumentują istnienie podatności;
          • listing poleceń źródłowych stanowiące dowód występowania podatności (tam gdzie ma to zastosowanie);
          • fragmenty logów (tam gdzie ma to zastosowanie);
    • Skutki wykorzystania podatności (szczegółowy opis możliwych skutków wykorzystania podatności);
    • Poziom ryzyka wg CVSS lub OWASP RRM oraz w skali:
      • KRYTYCZNY/Critical,
      • WYSOKI/ High,
      • ŚREDNI/Medium,
      • NISKI/Low,
      • INFORMACYJNY/Info.
    • Odniesienie do baz danych o podatnościach;
    • Rekomendacje – opis praktycznych działań, jakie należy podjąć w celu eliminacji zidentyfikowanych podatności lub minimalizacji ryzyka z nich wynikającego oraz uwzględniający specyfikę działania Klienta wraz z określeniem sposobu ich wdrożenia.

Najczęściej zadawane pytania

Czy posiadają Państwo doświadczenie z testowaniem REST API i/lub aplikacji webowych?

Tak, posiadamy duże doświadczenie w testowaniu REST API  (i innych rodzajów API) i aplikacji webowych (ale również mobilnych i desktopowych). Realizujemy ponad 500 testów penetracyjnych rocznie.

Czy oferujecie Państwo zarówno testy manualne, jak i automatyczne? Jakie są różnice w podejściu do obu typów testów w Państwa firmie?

Zgodnie z metodyką Optima Partners skupiamy się głównie na przeprowadzaniu testów manualnych. Testy automatyczne są tylko dodatkiem do testów manualnych.

Realizujemy też dla Klientów testy automatyczne w ramach cyklicznych skanów bezpieczeństwa aplikacji w celu szybkiej identyfikacji podatności tzw. low hang fruits.

Jak liczny zespół mają Państwo do dyspozycji?

Posiadamy zespół:

  • ponad 20 inżynierów bezpieczeństwa (pentesterów) posiadających m.in. następujące certyfikaty: OSCE, OSCP, OSWE, OSEE, CPTE, CEH – szczegółowy opis posiadanych certyfikatów znajduje w odpowiedzi na pytanie na stronie głównej.
Czy posiadacie Państwo certyfikaty potwierdzające kwalifikacje zespołu związane z bezpieczeństwem IT?

Tak, posiadamy certyfikaty potwierdzające kwalifikacje zespołu takie, jak:

    1. CISSP (Certified Information Systems Security Professional),
    2. OSCE (Offensive Security Certified Expert),
    3. OSCP (Offensive Security Certified Professional),
    4. OPST (OSSTMM Professional Security Tester),
    5. OSEE (Offensive Security Exploitation Expert),
    6. OSWE (Offensive Security Web Expert),
    7. OSWP (Offensive Security Wireless Professional),
    8. CEPT (Certified Expert Penetration Tester),
    9. CEH (Certified Ethical Hacker),
    10. Certified Penetration Tester (CPT),
    11. CSX Cybersecurity Practitioner (CSX-P),
    12. GPEN (GIAC Penetration Tester),
    13. GWAPT (GIAC Web Application Penetration Tester),
    14. GMOB (GIAC Mobile Device Security Analyst),
    15. GXPN (GIAC Exploit Researcher and Advanced Penetration Tester),
    16. Industrial Automation and Control Systems Security (ISA-99)
    17. LPT (Licensed Penetration Tester),
    18. ECSS (EC-Council Certified Security Specialist),
    19. AWE (Advanced Windows Exploitation),
    20. eCPPT (eLearnSecurity Certified Professional Penetration Tester),
    21. eJPT (eLearnSecurity Junior Penetration Tester),
    22. eMAPT (eLearnSecurity Mobile Application Penetration Tester),
    23. eWPT (eLearnSecurity Web application Penetration Tester),
    24. eWPTX (Web application Penetration Tester eXtreme),
    25. CompTIA Security+,
    26. Systems Security Certified Practitioner (SSCP),
    27. CompTIA Project+,
    28. CIA (Certified Internal Auditor),
    29. CISA (Certified Information Security Auditor),
    30. CISM (Certified Information Security Manager),
    31. Audytor Wiodący ISO 27001,
    32. Audytor wewnętrzny SZBI BS 7799,
    33. Audytor Wiodący ISO 22301
    34. CRISC (Certified in Risk and Information Systems Control),
    35. CBCP – Certified Business Continuity Professional (DRII),
    36. Certified ISO 31000 Risk Manager (PECB),
    37. ITIL Foundation,
    38. ITIL Intermediate,
    39. Prince2 Practitioner.

i wiele więcej…

Jakie narzędzia i technologie wykorzystujecie Państwo do testów penetracyjnych API?

Do realizacji testów wykorzystujemy m.in. następujące narzędzia:

  • Narzędzia wspomagające testy API:
    • Acunetix Web Vulnerability Scanner
    • Burp Suite Pro
    • Firefox/inne przeglądarki +Pluginy
    • invicti
    • Nikto
    • OWASP DirBuster
    • OWASP ZAP
    • ratproxy
    • skipfish
    • w3af
    • Autorskie narzędzia i aplikacje wspomagające testy
  • Narzędzia wspomagające łamanie zakodowanych danych/haseł:
    • john the ripper
    • hashcat
    • cain&abel
    • THC hydra – aplikacja wspomagająca ataki brutal force, słownikowe itp. na wybrane usługi sieciowe
    • Autorskie narzędzia i aplikacje wspomagające testy.
Jakie metodyki wykorzystujecie Państwo do testów penetracyjnych API?

Autorska metodyka Optima Partners oparta jest o międzynarodowe normy i standardy takie jak:

    • Testy API
      • OWASP API TOP 10
      • OWASP Web Security Testing Guide
      • OWASP Application Security Verification Standard (ASVS)
      • Penetration Testing Execution Standard (PTES)
      • P-PEN Wojskowej Akademii Technicznej
      • Penetration Testing Framework (PTF)
      • EC-Council Licensed Penetration Tester methodology (LPT)
      • Information Systems Security Assessment Framework (ISSAF)
      • NIST PUB 800-115
    • Szacowanie ryzyk
      • Metryka WASC Threat Classification
      • System scoringowy CVSS
      • OWASP Risk Rating Methodology.
Jaki jest potencjalny czas trwania testów oraz audytu, włącznie z opracowaniem wyników i zaleceń po ich zakończeniu?

W zależności od złożoności testowanego systemu testy zwykle trwają od 1 do 4 tygodni.

Jak wygląda proces raportowania wyników testów? Czy dostarczacie Państwo szczegółowy raport zawierający podatności, ich ryzyko oraz rekomendacje?

Wynikiem naszych prac jest raport z niezależną oceną poziomu bezpieczeństwa wg międzynarodowych standardów (CVSS, OWASP), który może być zaprezentowany zainteresowanym stronom (udziałowcom, kontrahentom, klientom) wraz z praktycznymi rekomendacjami.

Raport obejmuje:

  • Streszczenie dla Zarządu, obejmujące:
    • Cel i zakres wykonanych prac;
    • Zastosowane podejście;
    • Podsumowanie wyników i wykonanych prac opisane biznesowym (nietechnicznym) językiem;
  • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
    • Zakres testów;
    • Datę realizacji testów;
    • Opis zastosowanych metodyk i technik;
    • Narzędzia wykorzystane do realizacji testów;
    • Zestawienie zidentyfikowanych podatności zawierające, co najmniej:
      • identyfikator podatności,
      • nazwę,
      • opis,
      • opis wpływu,
      • prawdopodobieństwo jej wykorzystania oraz 
      • sposoby jej wyeliminowania.
    • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
      • Tytuł – tytuł zidentyfikowanej podatności;
      • Opis podatności – szczegółowy, techniczny opis zidentyfikowanych podatności;
      • Proof of concept (wyniki analizy możliwości wykorzystania podatności):
        • sposób wywołania podatności;
        • informacje potwierdzające zidentyfikowane podatności np.
          • przypadki testowe (zrzuty ekranów, przykłady zmanipulowanych zapytań), które dokumentują istnienie podatności;
          • listing poleceń źródłowych stanowiące dowód występowania podatności (tam gdzie ma to zastosowanie);
          • fragmenty logów (tam gdzie ma to zastosowanie);
    • Skutki wykorzystania podatności (szczegółowy opis możliwych skutków wykorzystania podatności);
    • Poziom ryzyka wg CVSS lub OWASP RRM oraz w skali:
      • KRYTYCZNY/Critical,
      • WYSOKI/High,
      • ŚREDNI/Medium,
      • NISKI/Low,
      • INFORMACYJNY/Info.
    • Odniesienie do baz danych o podatnościach;
    • Rekomendacje – opis praktycznych działań, jakie należy podjąć w celu eliminacji zidentyfikowanych podatności lub minimalizacji ryzyka z nich wynikającego oraz uwzględniający specyfikę działania Klienta wraz z określeniem sposobu ich wdrożenia.
Jak wygląda komunikacja podczas realizacji projektu? Czy istnieje możliwość bezpośredniego kontaktu z testerami lub liderem projektu?

Na bieżąco komunikujemy się z Klientem w czasie projektu. Do realizacji projektu dedykujemy:

  • Pentestera Wiodącego, z którym można się na bieżąco kontaktować w sprawach dotyczących realizacji testów, zidentyfikowanych podatności, itp.
  • Project Managera, z którym można się na bieżąco kontaktować w sprawach dotyczących zarządzania projektem, terminów, problemów, ryzyk itp.
Czy przewidujecie Państwo wsparcie po zakończeniu testów w zakresie usuwania wykrytych podatności i ponownych testów?

Tak, zakres naszych prac obejmuje:

  1. wsparcie w zakresie usuwania wykrytych podatności
  2. re-testy
  3. szkolenia w zakresie usuwania podatności.
Jakie są Państwa rekomendacje dotyczące cykliczności testów penetracyjnych? Czy oferujecie Państwo wsparcie przy tworzeniu strategii ciągłego monitorowania bezpieczeństwa?

W zależności od:

  • Poziomu wrażliwości / poufności przetwarzanych danych
  • Poziomu ryzyka naruszenia bezpieczeństwa
  • Liczby zmian w danym systemie

rekomendujemy przeprowadzanie testów penetracyjnych cyklicznie z częstotliwością od 3 do 24 miesięcy.

Oferujemy wsparcie w tworzeniu strategii ciągłego monitorowania bezpieczeństwa.

Czy oferujecie Państwo rabaty lub korzystniejsze warunki w przypadku podpisania długoterminowej umowy na cykliczne testy?

Tak.

Jak zabezpieczacie Państwo dane i raporty związane z testami penetracyjnymi oraz audytem kodu?

Stosujemy m.in. następujące zabezpieczenia zgodne z ISO 27001:

  • Kontrola dostępu do serwerowni, serwerów, zasobów sieciowych, na których składowane są dane i raporty.
  • Szyfrowanie dysków twardych.
  • Szyfrowanie plików za pomocą PGP.
  • Szyfrowanie załączników przesyłanych emailem za pomocą PGP.
  • Szyfrowanie treści emaili.
  • Ciągłe monitorowanie dostępu do danych i raportów.
  • Itp.
Czy przewidujecie Państwo wsparcie w integracji wyników testów z naszym procesem DevOps, np. wprowadzanie automatycznych testów bezpieczeństwa w pipeline CI/CD?

Tak. Dodatkowo świadczymy usługi w zakresie opracowania, optymalizacji i wdrażania Secure SDLC.