Cloud

Testy penetracyjne chmury (cloud) sprawdzają, czy Twoje zasoby w chmurze, takie jak serwery i aplikacje, są bezpieczne a ich konfiguracja odpowiada dobrym praktykom i standardom bezpieczeństwa.

Głównym celem testów jest sprawdzenie odporności rozwiązań chmurowych na włamania i cyberataki poprzez kompleksowe testy zgodne z OWASP API TOP 10 / OWASP ASVS / PCI DSS/ CIS oraz zaleceniami dostawców chmurowych.

Zrealizowane projekty: Pracowaliśmy m.in. dla banków, domów maklerskich, firm leasingowych, energetycznych, telekomunikacyjnych, produkcyjnych oraz e-commerce.

Dowiedz się więcej

Kluczowe cechy usługi Cloud:

  • W ramach testów: 1) sprawdzamy, jak ustawione są uprawnienia i logowanie użytkowników, 2) testujemy aplikacje i interfejsy API w chmurze – szukamy błędów i problemów, 3) oceniamy, czy systemy dobrze wykrywają i reagują na zagrożenia.
  • W zależności od dostępu do danych: 1) Black-box, 2) Grey-box, 3) White-box.
  • Zakres prac może obejmować: 1) Testy infrastruktury chmurowej – analiza konfiguracji sieci, grup bezpieczeństwa, uprawnień IAM, interfejsów API, konfiguracji usług, 2) Testy aplikacji webowych i API – wykrywanie podatności takich jak SQL Injection, XSS, przejęcie sesji, 3) Testy mechanizmów uwierzytelniania i kontroli dostępu – weryfikacja MFA, RBAC, zarządzania tożsamościami, 4) Testy podatności i konfiguracji – skanowanie znanych luk i błędów konfiguracji, 5) Testy wykrywania i reagowania na incydenty – ocena skuteczności systemów monitoringu i alertów, 6) itp.
  • Ryzyko oceniane według międzynarodowych standardów CVSS, OWASP RRM.
  • Wyniki testów stanowią informacje wejściowe dla procesów zarządzania ryzykiem oraz incydentami bezpieczeństwa w organizacji.
  • Testy realizowane przez ekspertów z certyfikatami, m.in. OSCE, OSCP, OSWE, OSEE, CPTE, CEH, CISSP, CISA i wieloletnim doświadczeniem w zabezpieczaniu systemów, administracji i programowaniu.
Sprawdź, co zyskujesz »

Korzyści

Zwiększenie bezpieczeństwa danych

Poprawa ochrony informacji przetwarzanych w systemach IT.

Redukcja ryzyka ataków

Zmniejszenie ryzyka włamań i skutecznych cyberataków.

Wczesne wykrywanie podatności

Identyfikacja luk, błędów i słabych punktów systemów zanim zrobią to cyberprzestępcy.

Praktyczne rekomendacje

Szybkie i efektywne kosztowo rozwiązania gotowe do wdrożenia (tzw. "quick wins").

Zgodność z normami

Spełnienie międzynarodowych standardów, takich jak ISO 27001, OWASP, OSSTMM i PCI DSS.

Uniknięcie strat

Zapobieganie stratom finansowym, utracie reputacji, problemom prawnym oraz sankcjom nadzorczym, w tym karom przewidzianym dla Zarządu w regulacjach DORA, RODO, itp.

Sprawdzenie bezpieczeństwa

Ocena, jak dobrze chronione są systemy IT i procesy w organizacji.

SWOT bezpieczeństwa

Wskazanie mocnych i słabych stron systemów IT oraz procedur bezpieczeństwa.

Zmniejszenie ryzyka

Wykrywanie i usuwanie słabych punktów, aby ograniczyć możliwość ataków i incydentów.

Ochrona przed atakami

Testy oparte na rzeczywistych scenariuszach pomagają w skutecznej obronie przed cyberzagrożeniami.

Oszczędność kosztów

Wczesne wykrycie luk pozwala uniknąć wydatków na naprawę skutków ataków.

Sprawdź nasze podejście »

Przemyślany plan działania

PL

EN

DE

Zobacz raport »

Masz pytania?

Skorzystaj z BEZPŁATNEJ KONSULTACJI

Zapisz się już teraz!

Raport

Wynikiem będzie szczegółowy raport z wynikami testów oraz praktycznymi rekomendacjami, obejmujący:

  • Streszczenie dla Zarządu, obejmujące:
    • Cel i zakres wykonanych prac;
    • Zastosowane podejście;
    • Podsumowanie wyników i wykonanych prac opisane biznesowym (nietechnicznym) językiem;
  • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
    • Zakres testów;
    • Data realizacji testów;
    • Opis zastosowanych metodyk i technik;
    • Zestawienie zidentyfikowanych podatności;
    • Narzędzia wykorzystane do realizacji testów;
    • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
      • Tytuł – tytuł zidentyfikowanej podatności;
      • Opis podatności – szczegółowy, techniczny opis zidentyfikowanych podatności;
      • Proof of concept (wyniki analizy możliwości wykorzystania podatności):
        • sposób wywołania podatności;
        • informacje potwierdzające zidentyfikowane podatności np.
          • przypadki testowe (zrzuty ekranów, przykłady zmanipulowanych zapytań), które dokumentują istnienie podatności;
          • listing poleceń źródłowych stanowiące dowód występowania podatności (tam gdzie ma to zastosowanie);
          • fragmenty logów (tam gdzie ma to zastosowanie);
    • Skutki wykorzystania podatności (szczegółowy opis możliwych skutków wykorzystania podatności);
    • Poziom ryzyka wg CVSS lub OWASP RRM oraz w skali:
      • KRYTYCZNY/Critical,
      • WYSOKI/ High,
      • ŚREDNI/Medium,
      • NISKI/Low,
      • INFORMACYJNY/Info.
    • Odniesienie do baz danych o podatnościach;
    • Rekomendacje – opis praktycznych działań, jakie należy podjąć w celu eliminacji zidentyfikowanych podatności lub minimalizacji ryzyka z nich wynikającego oraz uwzględniający specyfikę działania Klienta wraz z określeniem sposobu ich wdrożenia.

Najczęściej zadawane pytania

Czy oferujecie Państwo zarówno testy manualne, jak i automatyczne? Jakie są różnice w podejściu do obu typów testów w Państwa firmie?

Zgodnie z metodyką Optima Partners skupiamy się głównie na przeprowadzaniu testów manualnych. Testy automatyczne są tylko dodatkiem do testów manualnych.

Realizujemy też dla Klientów testy automatyczne w ramach cyklicznych skanów bezpieczeństwa aplikacji w celu szybkiej identyfikacji podatności tzw. low hang fruits.

Jak liczny zespół mają Państwo do dyspozycji?

Posiadamy zespół:

  • ponad 20 inżynierów bezpieczeństwa (pentesterów) posiadających m.in. następujące certyfikaty: OSCE, OSCP, OSWE, OSEE, CPTE, CEH – szczegółowy opis posiadanych certyfikatów znajduje w odpowiedzi na pytanie na stronie głównej.
Czy posiadacie Państwo certyfikaty potwierdzające kwalifikacje zespołu związane z bezpieczeństwem IT?

Tak, posiadamy certyfikaty potwierdzające kwalifikacje zespołu takie, jak:

    1. CISSP (Certified Information Systems Security Professional),
    2. OSCE (Offensive Security Certified Expert),
    3. OSCP (Offensive Security Certified Professional),
    4. OPST (OSSTMM Professional Security Tester),
    5. OSEE (Offensive Security Exploitation Expert),
    6. OSWE (Offensive Security Web Expert),
    7. OSWP (Offensive Security Wireless Professional),
    8. CEPT (Certified Expert Penetration Tester),
    9. CEH (Certified Ethical Hacker),
    10. Certified Penetration Tester (CPT),
    11. CSX Cybersecurity Practitioner (CSX-P),
    12. GPEN (GIAC Penetration Tester),
    13. GWAPT (GIAC Web Application Penetration Tester),
    14. GMOB (GIAC Mobile Device Security Analyst),
    15. GXPN (GIAC Exploit Researcher and Advanced Penetration Tester),
    16. Industrial Automation and Control Systems Security (ISA-99)
    17. LPT (Licensed Penetration Tester),
    18. ECSS (EC-Council Certified Security Specialist),
    19. AWE (Advanced Windows Exploitation),
    20. eCPPT (eLearnSecurity Certified Professional Penetration Tester),
    21. eJPT (eLearnSecurity Junior Penetration Tester),
    22. eMAPT (eLearnSecurity Mobile Application Penetration Tester),
    23. eWPT (eLearnSecurity Web application Penetration Tester),
    24. eWPTX (Web application Penetration Tester eXtreme),
    25. CompTIA Security+,
    26. Systems Security Certified Practitioner (SSCP),
    27. CompTIA Project+,
    28. CIA (Certified Internal Auditor),
    29. CISA (Certified Information Security Auditor),
    30. CISM (Certified Information Security Manager),
    31. Audytor Wiodący ISO 27001,
    32. Audytor wewnętrzny SZBI BS 7799,
    33. Audytor Wiodący ISO 22301
    34. CRISC (Certified in Risk and Information Systems Control),
    35. CBCP – Certified Business Continuity Professional (DRII),
    36. Certified ISO 31000 Risk Manager (PECB),
    37. ITIL Foundation,
    38. ITIL Intermediate,
    39. Prince2 Practitioner.

i wiele więcej…

Jakie narzędzia i technologie wykorzystujecie Państwo do testów penetracyjnych rozwiązań chmurowych?

Do realizacji testów wykorzystujemy m.in. następujące narzędzia:

  • Narzędzia wspomagające testy rozwiązań chmurowych:
    • Microsoft Azure
      • Nessus (z Professional Feed) – skaner podatności, analizator konfiguracji i zgodności ze standardami
      • ScoutSuite
      • Cloudbrute
      • MicroBurst
      • SkyArk
      • nmap
      • Natywne narzędzia chmurowe np. Azure Security Center
    • Amazon AWS
      • Nessus (z Professional Feed) – skaner podatności, analizator konfiguracji i zgodności ze standardami
      • ScoutSuite
      • Pacu
      • Cloudbrute
      • SkyArk
      • nmap
      • Natywne narzędzia chmurowe np. AWS Security Hub, AWS Inspector
    • GCP (Google Cloud Platform)
      • Nessus (z Professional Feed) – skaner podatności, analizator konfiguracji i zgodności ze standardami
      • ScoutSuite
      • Cloudbrute
      • nmap
      • Natywne narzędzia chmurowe np. Security Command Center
Jakie metodyki wykorzystujecie Państwo do testów penetracyjnych rozwiązań chmurowych?

Autorska metodyka Optima Partners oparta jest o międzynarodowe normy i standardy takie jak:

    • Testy rozwiązań chmurowych
      • The Open Source Security Testing Methodology Manual (OSSTMM)
      • Offensive Security and Backtrack / Kali Linux
      • Penetration Testing Execution Standard (PTES)
      • P-PEN Wojskowej Akademii Technicznej
      • Penetration Testing Framework (PTF)
      • EC-Council Licensed Penetration Tester methodology (LPT)
      • Information Systems Security Assessment Framework (ISSAF)
      • NIST PUB 800-115
      • NIST 800-42, Guideline on Network Security Testing
      • SANS 20 Critical Security Controls
      • Zalecenia organizacji SANS Institute
      • Offensive Security
      • EC-Council
      • Web Application Security Consortium Threat Classification (WASC-TC)
      • CIS Benchmark
      • STIG
      • Wytyczne hardeningu publikowane przez producentów oprogramowania i sprzętu (np. Microsoft, Cisco, VMware)
    • Szacowanie ryzyk
      • Metryka WASC Threat Classification
      • System scoringowy CVSS
      • OWASP Risk Rating Methodology
Jaki jest potencjalny czas trwania testów oraz audytu, włącznie z opracowaniem wyników i zaleceń po ich zakończeniu?

W zależności od złożoności testowanego systemu testy zwykle trwają od 1 do 6 tygodni.

Jak wygląda proces raportowania wyników testów? Czy dostarczacie Państwo szczegółowy raport zawierający podatności, ich ryzyko oraz rekomendacje?

Wynikiem naszych prac jest raport z niezależną oceną poziomu bezpieczeństwa wg międzynarodowych standardów (CVSS, OWASP), który może być zaprezentowany zainteresowanym stronom (udziałowcom, kontrahentom, klientom) wraz z praktycznymi rekomendacjami.

Raport obejmuje:

  • Streszczenie dla Zarządu, obejmujące:
    • Cel i zakres wykonanych prac;
    • Zastosowane podejście;
    • Podsumowanie wyników i wykonanych prac opisane biznesowym (nietechnicznym) językiem;
  • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
    • Zakres testów;
    • Datę realizacji testów;
    • Opis zastosowanych metodyk i technik;
    • Narzędzia wykorzystane do realizacji testów;
    • Zestawienie zidentyfikowanych podatności zawierające, co najmniej:
      • identyfikator podatności,
      • nazwę,
      • opis,
      • opis wpływu,
      • prawdopodobieństwo jej wykorzystania oraz 
      • sposoby jej wyeliminowania.
    • Szczegółowy, techniczny opis zidentyfikowanych podatności, obejmujący:
      • Tytuł – tytuł zidentyfikowanej podatności;
      • Opis podatności – szczegółowy, techniczny opis zidentyfikowanych podatności;
      • Proof of concept (wyniki analizy możliwości wykorzystania podatności):
        • sposób wywołania podatności;
        • informacje potwierdzające zidentyfikowane podatności np.
          • przypadki testowe (zrzuty ekranów, przykłady zmanipulowanych zapytań), które dokumentują istnienie podatności;
          • listing poleceń źródłowych stanowiące dowód występowania podatności (tam gdzie ma to zastosowanie);
          • fragmenty logów (tam gdzie ma to zastosowanie);
    • Skutki wykorzystania podatności (szczegółowy opis możliwych skutków wykorzystania podatności);
    • Poziom ryzyka wg CVSS lub OWASP RRM oraz w skali:
      • KRYTYCZNY/Critical,
      • WYSOKI/High,
      • ŚREDNI/Medium,
      • NISKI/Low,
      • INFORMACYJNY/Info.
    • Odniesienie do baz danych o podatnościach;
    • Rekomendacje – opis praktycznych działań, jakie należy podjąć w celu eliminacji zidentyfikowanych podatności lub minimalizacji ryzyka z nich wynikającego oraz uwzględniający specyfikę działania Klienta wraz z określeniem sposobu ich wdrożenia.
Jak wygląda komunikacja podczas realizacji projektu? Czy istnieje możliwość bezpośredniego kontaktu z testerami lub liderem projektu?

Na bieżąco komunikujemy się z Klientem w czasie projektu. Do realizacji projektu dedykujemy:

  • Pentestera Wiodącego, z którym można się na bieżąco kontaktować w sprawach dotyczących realizacji testów, zidentyfikowanych podatności, itp.
  • Project Managera, z którym można się na bieżąco kontaktować w sprawach dotyczących zarządzania projektem, terminów, problemów, ryzyk itp.
Czy przewidujecie Państwo wsparcie po zakończeniu testów w zakresie usuwania wykrytych podatności i ponownych testów?

Tak, zakres naszych prac obejmuje:

  1. wsparcie w zakresie usuwania wykrytych podatności
  2. re-testy
  3. szkolenia w zakresie usuwania podatności.
Jakie są Państwa rekomendacje dotyczące cykliczności testów penetracyjnych? Czy oferujecie Państwo wsparcie przy tworzeniu strategii ciągłego monitorowania bezpieczeństwa?

W zależności od:

  • Poziomu wrażliwości / poufności przetwarzanych danych
  • Poziomu ryzyka naruszenia bezpieczeństwa
  • Liczby zmian w danym systemie

rekomendujemy przeprowadzanie testów penetracyjnych cyklicznie z częstotliwością od 3 do 24 miesięcy.

Oferujemy wsparcie w tworzeniu strategii ciągłego monitorowania bezpieczeństwa.

Czy oferujecie Państwo rabaty lub korzystniejsze warunki w przypadku podpisania długoterminowej umowy na cykliczne testy?

Tak.

Jak zabezpieczacie Państwo dane i raporty związane z testami penetracyjnymi oraz audytem kodu?

Stosujemy m.in. następujące zabezpieczenia zgodne z ISO 27001:

  • Kontrola dostępu do serwerowni, serwerów, zasobów sieciowych, na których składowane są dane i raporty.
  • Szyfrowanie dysków twardych.
  • Szyfrowanie plików za pomocą PGP.
  • Szyfrowanie załączników przesyłanych emailem za pomocą PGP.
  • Szyfrowanie treści emaili.
  • Ciągłe monitorowanie dostępu do danych i raportów.
  • Itp.