Įsilaužimų ir kibernetinio saugumo testavimas (PENTEST)
Įsilaužimų testavimas (pentest) – tai kontroliuotas kibernetinio saugumo testavimas, kurio metu imituojami realūs programišių veiksmai. Šios paslaugos tikslas – aptikti saugumo spragas sistemose, tinkluose, debesijos aplinkose ir programose dar prieš jomis pasinaudojant kenkėjams.
Kibernetinio saugumo testavimai kuriais galite pasitikėti
Mes – sertifikuota "Offensive Security Certified Professional" (OSCP) saugumo komanda, kuri padeda organizacijoms atrasti ir sutvarkyti spragas dar prieš jas išnaudojant kenkėjams. Siūlome ne tik vienkartinius įsilaužimų testus, bet ir nuolatinę „Pentest-as-a-Service“ paslaugą, garantuojančią, kad apsauga bus tikrinama ištisus metus.
Kokias vertes gaunate?
Skaidrumas ir fiksuota kaina
Aiškūs „Starter“, „Advanced“ ir „Continuous“ paketai – jokių paslėptų mokesčių.
Verslui suprantama rizikų kalba
Techninius radinius pateikiame rizikų matricoje su galimu finansiniu poveikiu bei rekomenduojamais veiksmais.
Atitiktis TIS2 / DORA / TISAX / ISO
Ataskaitą formatuojame taip, kad ją galėtumėte pridėti prie reguliacinių auditorių dokumentų.
Starter
Kam skirtas?
Mažoms ir vidutinėms įmonėms, kurios dar tik pradeda valdyti kibernetines rizikas.
Įtrauktos paslaugos
Išorinis (public-facing) saugumo testavimas
Automatinis infrastruktūros pažeidžiamumų skenavimas
Rezultatai
Ataskaita su CVSS v3.1 prioritetais ir vadovų santrauka
30 d. nemokamas kritinių spragų ištaisymo patikrinimas
Advanced
Kam skirtas?
Sparčiai augančioms arba brandžioms IT aplinkoms.
Įtrauktos paslaugos
Išorinis + vidinis + "cloud'ų" ar tinklo segmentų testas
Automatizuotas + rankinis REST / GraphQL API saugumo testavimas
Rezultatai
Starter + išsami techninė ataskaita + vadovų santrauka su finansine rizika, rizikų matrica
45 d. nemokamas kritinių spragų ištaisymo patikrinimas
Continuous
Kam skirtas?
Verslui, kuriam saugumas - kasdienė veikla (fintech, e-komercija, kritinė infrastruktūra).
Įtrauktos paslaugos
"Pentest-as-a-Service" ištisus metus
Mėnesinis automatizuotas skenavimas, rankinis testavimas, sertifikuotų analitikų vertinimas
Rezultatai
Mėnesinės ataskaitos
24 val. pagalba kritinėms spragoms
Paketas
Kam skirtas?
Įtrauktos paslaugos
Rezultatai
Starter
Advanced
Continuous
Mažoms ir vidutinėms įmonėms, kurios dar tik pradeda valdyti kibernetines rizikas.
šorinis (public-facing) penetracijos testas Automatinis infrastruktūros pažeidžiamumų skenavimas.
Ataskaita su CVSS v3.1 prioritetais, vadovų santrauka. 30 d. nemokamas kritinių spragų retestingas.
Sparčiai augančioms arba brandžioms IT aplinkoms.
Išorinis + vidinis + cloud'ų ar tinklo segmentų testas. Rankinė REST / GraphQL API ir programų analizė.
Išsami techninė ataskaita, vadovų santrauka su finansine rizika, rizikų matricos pateikimas.
45 d. nemokamas visų radinių retestingas.
Verslui, kuriam saugumas – kasdienė veikla (fintech, e-komercija, kritinė infrastruktūra).
„Pentest-as-a-Service“ ištisus metus.
Mėnesinis automatizuotas skenavimas, rankinis testavimas, sertifikuotų analitikų vertinimas.
Mėnesinės PDF ataskaitos.
24 val. pagalba kritinėms spragoms.
Ką siūlome?
Įsilaužimų testavimą (PENTEST)
Išorinės, vidinės, debesijos, API, mobiliųjų ir IoT aplinkos.
Darbą grindžiame OWASP ir PTES metodikomis.
Pažeidžiamumų aptikimą ir vertinimą
Automatinis ir rankinis infrastruktūros, konfigūracijų bei kodo skenavimas.
Prioritetai nustatomi pagal CVSS v3.1.
Nuolatinę "Pentest-as-a-Service" paslaugą
Mėnesinės santraukos, tiesioginis kanalas „Slack“, "Discord" ar „Teams“, integracija su „Jira“.
Kaip tai veikia?
Pradinis pokalbis
Nusistatome tikslus ir pasirenkame paketą.
Paruošimo etapas
Suderiname apimtį, tvarkaraštį.
Testavimas
Atliekame suderintą testavimą.
Rezultatų aptarimas
Pateikiame ataskaitą, rekomendacijas ir (jei taikoma) pakartotinius patikrinimus. Pristatome ir aptariame rezultatus.
Užpildykite klausimyną šiandien – per 24 val. jums pateiksime pasiūlymą.
Įsilaužimų testavimas - DUK
Kas yra įsilaužimų testavimas (PENTEST)?
Įsilaužimų testavimas (pentest) – tai kontroliuotas kibernetinio saugumo testavimas, kurio metu imituojami realūs programišių veiksmai siekiant nustatyti saugumo spragas IT sistemose, tinkluose, programose ar debesijos aplinkose.
Kuo skiriasi įsilaužimų testavimas nuo pažeidžiamumų skenavimo?
Pažeidžiamumų skenavimas dažniausiai yra automatinis ir identifikuoja galimas spragas, o įsilaužimų testavimas apima ir rankinius veiksmus – realų spragų išnaudojimą, rizikos įvertinimą ir praktinių rekomendacijų pateikimą.
Kaip dažnai reikalingas kibernetinio saugumo testavimas?
Rekomenduojama atlikti įsilaužimų testavimą bent kartą per metus, taip pat po reikšmingų IT infrastruktūros, programų ar aplinkos pakeitimų.
Ar įsilaužimų testavimas gali sutrikdyti sistemų veikimą?
Profesionaliai atliekamas pentestas yra saugus ir atliekamas suderintomis sąlygomis. Rizikingi veiksmai derinami iš anksto, kad nebūtų sutrikdyta kasdienė verslo veikla.
Kokias sistemas galima testuoti atliekant įsilaužimų testavimą?
Galima testuoti išorinius ir vidinius tinklus, internetines sistemas, API, debesijos aplinkas, mobiliąsias programėles, vidinius serverius bei kitus IT komponentus.
Kiek laiko trunka įsilaužimų testavimas?
Įprastas pentestas trunka nuo kelių dienų iki kelių savaičių, priklausomai nuo testuojamos infrastruktūros apimties, sudėtingumo ir pasirinkto paslaugų paketo.
Ar įsilaužimų testavimas reikalingas TIS2 ar ISO atitikčiai?
Taip. Kibernetinio saugumo testavimas dažnai yra rekomenduojamas arba reikalaujamas siekiant atitikti TIS2, ISO 27001, DORA ar kitų saugumo standartų reikalavimus.
Ką gaunu po įsilaužimų testavimo?
Pateikiama išsami ataskaita su vadovų lygio santrauka (negili techninė kalba), išsamūs aprašymai su rastomis saugumo spragomis, jų kritiškumu pagal CVSS, galimu poveikiu verslui bei aiškiomis rekomendacijomis, kaip jas pašalinti.
Ar atliekamas pakartotinis patikrinimas po spragų ištaisymo?
Taip. Daugeliu atvejų į paslaugą įtraukiamas nemokamas pakartotinis testavimas (retesting), kuris patvirtina, kad kritinės spragos buvo sėkmingai pašalintos.
Ar įsilaužimų testavimas gali būti laikomas kibernetine ataka, jei testuojami trečiųjų šalių (pvz., web hostingo) serveriai?
Ne. Įsilaužimų testavimas nėra laikomas kibernetine ataka, jeigu prieš testavimo pradžią yra gautas aiškus ir dokumentuotas sutikimas ne tik iš užsakovo, bet ir iš visų suinteresuotų trečiųjų šalių, kurių infrastruktūra ar paslaugos yra įtrauktos į testavimo apimtį (pavyzdžiui, web hostingo tiekėjo, debesijos paslaugų teikėjo ar duomenų centro). Testavimo metu laikomasi iš anksto suderintos apimties, metodikų ir laiko intervalo, o visi veiksmai atliekami teisėtai, kontroliuojamai ir tik saugumo vertinimo tikslais.