Linkedin

Bezpečnostní testy

BEZPEČNOSTNÍ TESTOVÁNÍ
pro vaše ICT prostředí, OT, ICS, SCADA

„Bezpečnost a zvyšování spolehlivosti průmyslových řídicích systémů a sítí je výzvou pro třetí desetiletí 21. století. Propojování ICT infrastruktury s dříve izolovaným průmyslovým prostředím vytváří nové výzvy pro udržení si přehledu o bezpečnosti komunikačních tras a jednotlivých aktiv, pro rychlou a správnou identifikaci kybernetických rizik a pro procesy jejich zvládání.

Naše úsilí cílí na zlepšení bezpečnosti průmyslových systémů a zefektivnění způsobu reakce na hrozby tak, abychom ochránili provozní činnosti našich klientů.“

  • Používáme OWASP, NIST, IEC 62443, OSSTMM a dalších uznávané metodiky.
  • Klademe důraz na manuální přístup při testování, což má za následek odhalení většího množství chyb zejména v business logice aplikací.
  • Doporučíme vám a provedeme způsob testování formou, která nejlépe odpovídám rizikům vaší organizace a potenciálním útokům, kterým budete čelit (Black box, Grey box a White box).
 Michal Zábelka, obchodní ředitel
 

Máme řešení pro váš segment

Výrobní podniky

Provádíme testování prostředí výroby počínaje výrobními PLC přes ASD systémy, ICT infrastrukturu po kamerové a vstupové systémy.

Energetika

Zaměřujeme se na testování zranitelností systémů výrobní a distribuční soustavy včetně testů ochrany nestřežených přípojných bodů.

Doprava

Dopravní řídící systémy a dohledová centra testujeme s ohledem na jejich vysokou geografickou distribuovanost a zvláštní požadavky bezpečnostních režimů některých dopravních staveb.

Farmaceutický průmysl

Pro producenty léčiv poskytujeme testování bezpečnosti validovaných i nevalidovaných výrobních systémů a nevýrobní ICT infrastruktury.

Zdravotnictví

Provádíme testování zdravotnické techniky, nemocničních, laboratorních, radiologických a dalších informačních systémů, stejně jako ostatního ICT prosředí včetně veřejných ICT služeb.

Facility management

Testujeme řídící systémy budov včetně řízení prostředí, vstupových a kamerových systémů.

Typy bezpečnostních testů

Test zranitelností

Cílem je identifikace zranitelností informačního systému, které by mohl útočník zneužít. Tester se pokouší ověřit, zda jsou na systémech přítomny známé zranitelnosti.

Rozsah je stanoven počtem testovaných systémů, aplikací a infrastrukturních prvků.

Výstupem testu je závěrečná zpráva, která obsahuje:

  • celkový obrázek o stavu bezpečnosti testovaného prostředí
  • přehled nalezených zranitelnosti s ohodnocením jejich významu
  • popis a klasifikace nalezených zranitelností a doporučení k ošetření zranitelností

Penetrační test

Cílem je ověření, zda lze proniknout do informačního systému organizace. Tester využívá prostředky a metody nejrychleji vedoucí k cíli.

Rozsah je stanoven parametry:

  • Jak dlouho se bude tester pokoušet o průnik.
  • Jaké jsou priority testování – např. ovládnutí infrastruktury, získání informací apod.
  • Jaká jsou omezení testování.

Výstupem testu je závěrečná zpráva, která obsahuje:

  • záznam o provedení testu obsahující podrobnosti o zkoušených metodách a postupech průniku
  • přehled dosažených výsledků zahrnující získané přístupové údaje, informace apod.
  • seznam zranitelností, kterých bylo využito k provedení průniku

Testujeme vás jako potenciální útočník

Doporučíme vám a provedeme způsob testování formou, která nejlépe odpovídám rizikům vaší organizace a potenciálním útokům, kterým budete čelit.

Black box

Před realizací skenování zranitelností nebo penetračního testu disponují naši konzultanti minimum informací o testovaných cílech, např. pouze IP adresou, URL atp. Tento typ testu je zejména vhodný pro případy simulace chování externího útočníka.

Gray box

Před realizací skenování zranitelností nebo penetračního testu disponují naši konzultanti omezenou sadou informací o testovaných cílech, např. architektuře, technologiích a uživatelích a zároveň základní přístupy k testovaným cílům, např. na úrovni legitimního uživatele. Tento typ je zejména vhodný pro případ simulace chování interního útočníka s limitovanou sadou informací a uživatelskými oprávněními.

White box

Před realizací skenování zranitelností nebo penetračního testu disponují naši konzultanti veškerými dostupnými informacemi o testovaných cílech, např. plná dokumentace, zdrojové kódy aplikací atp. Zároveň disponují přístupem k testovaným systémům na úrovni privilegovaných uživatelů. Tento typ je zejména vhodný pro testování, kdy je potřeba identifikovat maximální množství zranitelností včetně těch, které není možné identifikovat v průběhu testování formou black box nebo gray box testů.

Zajímáte se o naše služby? Zanechte nám vzkaz.

Vaše údaje budou spravovány společností Taylor McCoy s.r.o., která se řídí těmito zásadami zpracování osobních údajů.