Jednou ze služeb poskytovaných národním bezpečnostním týmem CSIRT.CZ je penetrační testování. Jedná se o službu, která slouží k hledání slabých míst v IT infrastruktuře zákazníka. Penetrační testování tedy pomáhá organizacím identifikovat a eliminovat skryté hrozby, o kterých často ani nevědí. Může se jednat o polozapomenuté služby, o které se z historických důvodů nikdo nestará, o zranitelné webové a další aplikace, o chyby v nastavení, důsledky chyb běžných uživatelů a řadu dalších.
Během pentestů se naši testeři snaží ovládnout síť zákazníka. Postupuje se od průzkumu cíle, opatrného testování, využití zjištěných chyb a zranitelností až k ovládnutí účtů uživatelů i administrátorů. Samozřejmostí je podrobná zpráva pro zákazníka, kde jsou jednotlivé kroky popsány, identifikované zranitelnosti jsou ohodnoceny dle závažnosti a zároveň jsou přidány informace o vhodném opatření, které daný problém vyřeší.
Z důvodů velké odlišnosti sítí jednotlivých zákazníků není možné vytvořit typizovaný ceník. Připravili jsme pro vás alespoň vzorové příklady, abyste si mohli udělat představu o cenové hladině služeb.
Časová náročnost od:
Cena od:
Zahrnuje komplexní testování síťové infrastruktury automatickými nástroji a následnou ruční kontrolu identifikovaných zranitelností. Automatickým nástrojem bude provedena také kontrola hlavní webové prezentace zákazníka, avšak bez ručního testu. Zákazník obdrží výslednou zprávu se seznamem nalezených zranitelností a doporučeními na jejich řešení.
Malá až střední společnost, používající SW řešení třetích stran, IT využívá hlavně pro komunikaci se zákazníky (mail+web), využívá standardní kancelářský SW, provozuje přibližně 4-5 serverových služeb.
malá účetní firma, základní škola, hotel, obecní úřad
Časová náročnost od:
Cena od:
Zahrnuje komplexní testování síťové infrastruktury automatickými nástroji a následnou ruční kontrolu identifikovaných zranitelností. V rámci testu bude otestována i hlavní webová prezentace zákazníka. Zákazník obdrží výslednou zprávu se seznamem nalezených zranitelností a doporučeními na jejich řešení. Testování je vhodné pro firmy využívající standardní nástroje a aplikace + aplikace specifické pro danou oblast podnikání.
Malá až střední společnost používající SW řešení třetích stran, její provoz je na IT hodně závislý, ale v IT či telekomunikacích nepodniká, provozuje 10-20 serverových služeb.
vodárenská společnost, vysoká škola, dopravní podnik, krajský úřad
Časová náročnost od:
Cena od:
Zahrnuje kompletní testování síťové infrastruktury automatickými nástroji a následnou ruční kontrolu identifikovaných zranitelností. V rámci testu bude otestována hlavní webová prezentace zákazníka + další maximálně dvě webové prezentace. Delší doba testování umožňuje zaměřit se i na specifické aplikace zákazníka. Zákazník obdrží výslednou zprávu se seznamem nalezených zranitelností a doporučeními na jejich řešení
Střední až velká společnost používající SW řešení třetích stran i vlastní řešení. Její provoz je na IT hodně závislý, případně v IT či telekomunikacích podniká. Provozuje 20-30 serverových služeb.
hostingová společnost, ISP, vývojářská firma
Specifikace úrovní pentestingu včetně ceny uvedené u jednotlivých variant výše je pouze orientační. Závazná nabídka bude sestavena na základě konkrétního zadání.
Jedním z cílů sdružení CZ.NIC, jakožto provozovatele národního CSIRT týmu, je i zvyšování kybernetické bezpečnosti v České republice. Proto je institucím veřejného sektoru a neziskovým organizacím poskytována na penetrační testování sleva. Sleva je poskytována také členům sdružení CZ.NIC.
Na to, jaké jsou zkušenosti jednoho z našich prvních zákazníků a co můžete od služby očekávat, se můžete podívat ve videu z konference Internet a technologie 2019.