Sistemų Pažeidžiamumų Testavimas
(Penetration Testing)

Sistemų pažeidžiamumų testavimas (dažnai vadinamas Penetration Testing arba Pentesting) - tai kontroliuojama kibernetinė ataka prieš jūsų IT infrastruktūrą, kurią atlieka „etiniai programišiai“.

Mūsų tikslas nėra pakenkti, o kaip tik, identifikuoti silpnąsias vietas - nuo pasenusios programinės įrangos, pažeidžiamo kodo, silpnų bei pažeidžiamų sistemos vietų, trečiųjų šalių kodo integracijos iki neteisingų konfigūracijų - kurios galėtų tapti vartais duomenų vagystei ar sistemų sugadinimui. Mes mąstome kaip įsilaužėliai, kad jūs galėtumėte gintis kaip profesionalai.

Žiūrėti kainas

Atliekame pilną sistemų penetracinį testavimą trimis lygiais: BlackBox(išorinė ataka be prieigos), GreyBox(dalinė prieiga su autentifikacija) ir WhiteBox(pilnas kodų bei infrastruktūros auditas). Reali kaina skaičiuojama pagal žmogaus darbo dienas (MD), kurių vienos dienos kaina vidutiniškai €800-€1,500.

Testavimo metu atliekame išsamią analizę - tikriname tiek vartotojui matomą dalį, tiek vidinius sistemos procesus ("po kapotu"). Vertinimui dažniausiai taikome OWASP Top 10 standartą, apimantį kritines ir dažniausiai pasitaikančias saugumo rizikas, taip pat atsižvelgiame į naujausias tendencijas kas liečia kenkėjiškų programu kūrime bei naujų atakų naudojime.

Kodėl jūsų verslui to reikia?

Penetracinis testas parodo realią riziką prieš ją išnaudojant programišiams ir leidžia aiškiai suplanuoti biudžetą bei darbus. Jis būtinas, kai reikia apsaugoti klientų duomenis ir atitikti BDAR/GDPR ar kitus standartus (pvz., ISO 27001), nes pateikiame įrodymus, kad kontrolės veikia.

Paleidžiate naują produktą ar atlikote reikšmingus kodo bei infrastruktūros atnaujinimus prieš paleidimą - pentestas sumažina tikimybę, kad kritinė klaida atsiskleis jau turint realius vartotojus.

Siekiate verslo tęstinumo ir norite įvertinti finansinę riziką (pvz., ransomware grėsmę) bei prastovų kainą, todėl iš anksto uždarome kritinius atakos kelius.

Partneriai, bankai ar sertifikavimo procesai reikalauja reguliarių saugumo auditų - pentesto ataskaita tampa įrodymu, kad saugumas buvo valdytas ir patikrintas.

Norite aiškaus darbų plano: kokie testai bus atliekami, kiek MD reikės ir kokia preliminari kaina. Į planą įtraukiame sritį, metodiką ir prioritetizuotą spragų sąrašą su rekomendacijomis.

Žiūrėti kainas

Paslaugų lygiai ir kainos

Pasirinkite testavimo modelį pagal norimą gylį ir prieigos lygį.

Black-Box (Juodosios dėžės)

€3,000 - €10,000+ / projektas
Trukmė: priklauso nuo išorinio perimetro dydžio

Simuliuojama išorinė ataka be jokios išankstinės informacijos ar prieigos.

  • Žvalgyba ir informacijos rinkimas (OSINT).
  • Išorinio perimetro skenavimas (portai, pasenusios versijos).
  • Pažeidžiamumų eksploatavimas: SQLi, XSS ir kt.
  • Saugumo ataskaita su rizikos lygiu ir rekomendacijomis.
Pasirinkti
Populiariausia

Grey-Box (Pilkosios dėžės)

€5,000 - €15,000+ / projektas
Trukmė: pagal aplikacijos dydį ir vaidmenų scenarijus

Ataka su daline prieiga - kaip nepatenkintas darbuotojas ar nutekėję vartotojo duomenys.

  • Viskas, kas įeina į Black-Box testavimą.
  • Aplikacijos testavimas po prisijungimo (authenticated testing).
  • Privilegijų kėlimas ir prieigos kontrolės apeities.
  • Verslo logikos testai (mokėjimai, kainos, kuponai, patvirtinimai).
  • API saugumo vertinimas.
Pasirinkti

White-Box (Baltosios dėžės)

€10,000 - €30,000+ / projektas
Trukmė: pilnas auditas pagal kodą ir infrastruktūrą

Visapusiškas auditas su pilna prieiga prie kodo, architektūros ir konfigūracijų.

  • Išeities kodo auditas (SAST) - rankinis ir automatinis.
  • Infrastruktūros konfigūracijų auditas (Cloud, serveriai, DB).
  • Gilaus lygio architektūrinė analizė.
  • Išsami ataskaita ir taisymo planas su konkrečiomis kodo vietomis.
Pasirinkti

Reali kaina visada skaičiuojama pagal apimtį - vadinamąsias MD (Man-Days - žmogaus darbo dienas). Viena pentesterio darbo diena vidutiniškai kainuoja nuo €800 iki €1,500. Įmonė paprašys jūsų užpildyti klausimyną apie sistemos dydį ir pagal tai pateiks tikslų dienų skaičių ir galutinę sąmatą.

Testavimo Procesas

Mūsų metodika remiasi tarptautiniais OWASP standartais ir apima šiuos 10 pagrindinių žingsnių, užtikrinančių visapusišką saugumo vertinimą:

1. Informacijos rinkimas

Renkama viešai prieinama informacija apie taikinį.

2. Konfigūracijos ir diegimo valdymas

Tikrinami numatytieji slaptažodžiai, SSL/TLS sertifikatų konfigūracija ir galimos konfigūracijos klaidos.

3. Tapatybės valdymas ir Autentifikacija

Testuojami vartotojų registracijos procesai, slaptažodžių politika, atsparumas "brute-force“.

4. Sesijų valdymas

Analizuojamas sesijų saugumas.

5. Autorizacija (Prieigos kontrolė)

Ieškoma būdų pasiekti kito vartotojo duomenis arba gauti aukštesnes privilegijas.

6. Įvesties validavimas (Injection)

Tikrinamas sistemos atsparumas SQL injekcijoms, XSS atakoms ir kitiems bandymams įterpti kenkėjišką kodą

7. Failų įkėlimas

Testuojamas failų įkėlimo funkcionalumas.

8. Verslo logika

Ieškoma loginių klaidų procesuose, kurios leistų manipuliuoti kainomis, apeiti mokėjimus ar piktnaudžiauti nuolaidų sistema.

9. Kliento pusės (Client-Side) testai

Analizuojamas naršyklėje veikiantis kodas, siekiant apsaugoti vartotojus nuo atakų, tokių kaip DOM manipuliacijos ar jautrių duomenų nutekėjimas.

10. API Testavimas

Jei sistema turi API, tikrinami visi integracijos taškai.

Nežinote, kurį pasirinkti?

Susisiekite ir nemokamai pakonsultuosiu, koks testavimo lygis tinkamiausias jūsų verslo specifikai.

Gauti konsultaciją