Penetration testiranje

Infoblox-DNS-Security
Advanced-DNS-Security

Ne postoje dve identične kompanije, što je je i razlog zašto naše usluge krojimo prema potrebama Vaše organizacije. Kada je u pitanju penetration testing, BEOtech ima „vendor agnostic“ prisup, što korisnicima naših usluga garantuje uvid u kompletan i detaljan rezult pen testa.

Proces obično identifikuje ciljne sisteme i određeni cilj, zatim pregleda dostupne informacije i preduzima različite načine za postizanje tog cilja.

Iako je glavni cilj pen-testiranja da identifikuje probleme koji se koriste kako bi se primenile efikasne bezbednosne kontrole, stručnjaci za IT bezbednost takođe mogu da koriste pen-test tehnike, zajedno sa specijalizovanim alatima, da testiraju robusnost bezbednosnih politika organizacije, njenu usklađenost sa propisima, svest o bezbednosti svojih zaposlenih i sposobnost organizacije da identifikuje i reaguje na bezbednosna pitanja i incidente, kao što je neovlašćeni pristup, kada do njih dođe.

Izveštaji pen-testa upućuju na potencijalne rizike ka organizaciji i predlažu protivmere za smanjenje rizika.

Proces angažovanja

Od početka angažmana, BEOtech će dodeliti kontakt osobu zaduženu za vođenje projekta koja će vas voditi kroz ceo proces. Vaš projekt menadžer će biti i kao i vođa tehničkog tima zaduženog za angažman. Angažman se obično sastoji od definisanja obima pen testa; početnog sastanka; statusnih sastanaka tokom testiranja, periodično, kako se etape angažmana završavaju; prenosa znanja; dostavljanja izveštaja; opcionog ponovnog testiranja i završnog brifinga. Podstičemo saradnike iz klijentskih kompanija da posmatra i prati proces testiranja kako bi učili iz našeg iskustva, pristupa i metodologije.
Smanjenje downtime-a tokom sprovođenja pentest
Koristeći različite metode, ulažemo sve napore da smanjimo vreme zastoja i uticaj na produkciono okruženje. BEOtech će prilagoditi svoje testove takod da ne utiče na produkciju (kada je to moguće), dok vas obaveštava o bilo kakvom smanjenju efikasnosti testiranja ili povećanju izloženosti riziku.
Frekvencija komunikacije
Ažuriranja statusa projekta se dostavljaju predstavniku korisnika najmanje jednom nedeljno. U zavisnosti od prirode testa, ako se otkriju ranjivosti visokog rizika, BEOtech će odmah obavestiti osoblje klijenta. Da bi se pomoglo u aktivnostima otkljanjanja ranjivosti, podelićemo detaljan izveštaj o ranjivosti sa svim koracima koji su doveli do uspešne eksploatacije ranjivosti.
Kvalitet i tačnost
Po završetku penetration testiranja, svi rezultati prolaze kroz interni proces recenzije kako bi se osiguralo da su sva testiranja detaljno opisana, dosledna i tačna. Oslanjajući se na naš ISO 2000-1:2011, 22301:2019 i 27001:2013 akreditovan sistem kvaliteta, naše testiranje je tačno i ponovljivo, sprovedenu u skadu sa preporukama standarda i precizno dokumentovano.

Reduce DNS Service Disruption

Metodologija testiranja

BEOtech penetration testing se sprovodi prema interno razvijenoj metodologiju. Metodologija je zasnovana na najboljim praksama i standardima u industriji kako bi se osiguralo da se svaki angažman obavlja na efikasan, dosljedan i temeljan način. Konkretno, koristimo metodologiju koja obezbeđuje jednostavan i ponovljiv proces koji uključuje NIST SP800-115 i OWASP principe.

I faza – Prikupljanje podataka

BEOtech pen testeri će analizirati arhitekturu okruženja korisnika i odrediti optimalan plan penetration testa. Na osnovu ciljeva angažovanja, BEOtech bi mogao da prikuplja javno dostupne podatake i informacija o korisniku. BEOtech će koristiti kombinaciju manuelnog testiranja i automatizovanih tehnika procene ranjivosti okruženja korisnika složenih tako da potvrdimo ranjivosti na najefikasniji način. Od osnovnog skeniranja okruženja, testiranja ranjivosti i unakrsnog uproeđivanja podataka skeniranja iz svih izvora, faza prikupljanja podataka pruža tačne rezultate koji eliminišu false positive rezultate i sprečavaju false negative rezultate.

II faza – Analiza

BEOtech penetration testeri procenjuju svaku ranjivost otkrivenu tokom faze prikupljanja podataka kako bi identifikovali potencijalne vektore napada. Svaka ranjivost se analizira u skladu sa Zajedničkim sistemom bodovanja ranjivosti (CVSS) kako bi se dodelile odgovarajuće ocene kritičnosti koje se odnose na vašu organizaciju. Vektori napada se analiziraju, a ocena rizika se dodeljuje izračunavanjem iskoristivosti ranjivosti, verovatnoće napada i uticaja na vašu organizaciju.

BEOtech penetration testeri takođe vrše root-cause analizu kako bi utvrdili kako je sistem postao ranjiv, kako je nastala oskrivena ranjivost. Nakon sprovođenja detaljne analize, BEOtech će obezbediti prioritetni izveštaj o sanaciji ranjivosti.

III faza – Validacija

U koordinaciji sa predstavnikom korisnika usluge, BEOtech pen testeri sprovode testiranje koristeći vektore napada prema unapred pripremljenom scenariju tokom faze analize. Penetartion testiranje pomaže vašoj organizaciji da utvrdi potencijlanu štetu koju hakerski napad može izazvati u dostupnosti  mreže, usluga, aplikacija i što je najvažnije, informacija koje se čuvaju na vašoj infrastrukturi. BEOtech penetration testeri ažuriraju ocene nivoa ranjivosti i ocene rizika vektora napada prema rezultatima penetration testa nakon faze analize validacije.

Usluga sa dodatnom vrednošću – Obrazovanje

Počevši od inicijalnog sastanka, statusnih sastanaka I prenosa znanja, BEOtech koristi svaku priliku da edukuje korinike usluga o našem procesu penetration testiranja i nalazima o ranjivosti njihove infrastrukture. Ova praksa daje vašoj organizaciji smernice i neophondo znanje o tome kako da efikasno poboljšate bezbednost informacionog sistema protiv pretnji koje stalno rastu i koje se stalno menjaju.

Advanced-DNS-Security