Penetračné testy – interné

Pri internom penetračnom teste naši špecialisti simulujú správanie bežného interného užívateľa (zamestnanca) so základnými oprávneniami, ktorý je pripojený do Vašej internej siete.

Účel

Hlavným cieľom je overiť účinnosť interných bezpečnostných opatrení v IT prostredí, ktoré by mali zabrániť tomu, aby bežný užívateľ eskaloval svoje základné oprávnenia na vyššiu úroveň a získal neoprávnený prístup k dátam, ku ktorým nemá pridelený prístup (súbory, e-maily, databázy atď.).

Fázy testovania

Tento typ testovania zahrňuje:

  • Pre účely testu dostaneme falošnú identitu zamestnanca: účet v doméne MS Windows, e-mailový účet, štandardný firemný notebook / desktop (bez administrátorského prístupu).

  • Snažíme sa získať úplnú kontrolu nad firemným notebookom / desktopom užívateľa a pomocou získaných informácii zaútočiť na ostatné počítače vo vnútornej sieti.

  • Vybrané interné servery sú skenované na bezpečnostné zraniteľností pomocou automatizovaných nástrojov (vulnerability scanner + špecializované nástroje pre bezpečnostné testy). Cieľom tohto kroku je identifikovať najslabšie miesta vo vašej vnútornej infraštruktúre.

  • Na základe znalostí z predchádzajúco kroku sa snažíme eskalovať základné oprávnenia v doméne MS Windows (neprivilegovaný účet zamestnanca), aby sme získali vyššiu úroveň prístupu (najlepšie Domain Admin).

  • Podobne sa snažíme ukázať zneužitie zistených zraniteľných miest na systémoch iných než Windows (napr. servery UNIX, sieťové prvky alebo iné zariadenia).

  • Všetky závery spolu s navrhovanými odporúčaniami sú zdokumentované v záverečnej správe.

Tento typ interných penetračných testov Vám poskytne obrázok o tom, ako potenciálny útočník z radov zamestnancov (s dobrými technickými znalosťami) môže poškodiť Vaše vnútorné systémy, získať neoprávnený prístup alebo poškodiť dôležité dáta.

Ďalšie typy testov

Okrem vyššie popísaných testov poskytujeme našim klientom tiež mnoho iných typov penetračných testov – viď Penetračné testovanie – prehľad.

Máte otázky?

Pokiaľ Vás zaujíma viac detailov, prosím kontaktujte nás.

Otázka e-mailom