Testy Penetracyjne web aplikacji wykonywane są w oparciu o standard weryfikacji bezpieczeństwa aplikacji OWASP Application Security Verification Standard (ASVS)

Lista OWASP Top 10 to lista 10 najczęstszych zagrożeń bezpieczeństwa aplikacji internetowych.
Zgodnie z najnowszą klasyfikacją luki bezpieczeństwa są raportowane wg poniższych kategorii:

A01:2021-Broken Access Control
A02:2021-Cryptographic Failures
A03:2021-Injection
A04:2021-Insecure Design
A05:2021-Security Misconfiguration
A06:2021-Vulnerable and Outdated Components
A07:2021-Identification and Authentication Failures
A08:2021-Software and Data Integrity Failures
A09:2021-Security Logging and Monitoring Failures
A10:2021-Server-Side Request Forgery

Testy Penetracyjne infrastruktury realizowane są w oparciu o standard OSSTMM (Open Source Security Testing Methodology Manual) oraz standard PTES (Penetration Testing Methodologies and Standards)

Podczas Testów Penetracyjnych używany jest Common Vulnerability Scoring System (CVSS), który jest otwartym systemem oceny podatności oprogramowania na zagrożenia.

CVSS jest systemem punktowania podatności w skali od 0-10, którą wykorzystuje severity do określenia poziomów ważności wykrytych luk.

System Common Vulnerability Scoring System (CVSS) jest używany do oceniania istotności i ryzyka bezpieczeństwa systemu komputerowego.

Testy penetracyjne Black Box: Tester nie posiada żadnej wiedzy na temat systemu, który jest testowany. Jest to najbardziej realistyczny scenariusz, który najbardziej przypomina atak zewnętrznego hakera.

Testy penetracyjne White Box: Tester ma pełny dostęp do informacji o systemie, w tym do kodu źródłowego, architektury i dokumentacji. Pozwala to na najbardziej dogłębną analizę.

Testy penetracyjne Gray Box: Jest to pośrednia metoda między testami Black i White Box. Tester ma ograniczoną wiedzę na temat systemu 

Testy penetracyjne są kluczowe dla utrzymania bezpieczeństwa systemów informatycznych.
Test Penetracyjny pozwala na identyfikację luk bezpieczeństwa i podatności które są przekazywane w postaci raportu wynikowego.

Wdrożenie zaleceń wynikających z raportu wynikowego pozwalają na naprawę luk w zabezpieczeniach przed atakiem ze strony osób trzecich.

Testy penetracyjne są realizowane w taki sposób aby były jak najmniej inwazyjne i nie powodowały destabilizacji testowanego systemu.
W przypadku stwierdzenia niestabilności działania testowanego systemu, testy są przerywane i nawiązywany jest natychmiastowy kontakt z klientem.
Wieloletnie doświadczenie w realizacji testów penetracyjnych przez firmę NetAudit pozwala na minimalizacje ryzyka związanego z potencjalnym negatywnym wpływem realizowanych testów na stabilność testowanego środowiska.

Testy penetracyjne są zalecane dla firm każdej wielkości.
Każda firma, która przechowuje lub przetwarza dane, powinna przeprowadzać regularne testy penetracyjne. Bez względu na to, czy jest to mała firma, czy wielka korporacja, testy penetracyjne są kluczowe dla utrzymania bezpieczeństwa danych i zasobów.

Wszystkie firmy, niezależnie od wielkości, są narażone na ataki cybernetyczne, a testy penetracyjne są kluczowym elementem identyfikacji i naprawy potencjalnych luk w zabezpieczeniach.

Zalecanym minimum jest przeprowadzanie testów penetracyjnych co najmniej raz do roku dla systemów informatycznych o kluczowych znaczeniu biznesowym.
Optymalna częstotliwość zależy od wielu czynników, takich jak złożoność i poziom krytyczności infrastruktury IT, rodzaj przechowywanych danych.

Firmy z sektora finansowego lub opieki zdrowotnej, które przechowują szczególnie wrażliwe dane, powinny wykonywać testy penetracyjne po każdej większej modyfikacji kluczowych elementów systemów informatycznych.

Rozporządzenie nakłada obowiązek testowania – co najmniej raz w roku – kluczowych systemów i aplikacji teleinformatycznych. Program testowania powinien obejmować różne aspekty, takie jak analiza open source, oceny bezpieczeństwa sieci, testowanie scenariuszy oraz testy penetracyjne.

Utwardzanie systemów ma na celu takie ich skonfigurowanie, by zminimalizować ryzyko ataku z zewnątrz i wpływu złośliwego oprogramowania na użytkownika. Eksperci, w ramach podejmowanych działań, zwracają szczególną uwagę na stan zabezpieczeń newralgicznych elementów – zarówno systemów operacyjnych, jak i urządzeń. Schemat czynności w ramach tego typu usługi wyglądać może następująco:

przegląd i modyfikacja systemów Windows
przegląd i modyfikacja systemów Linux
przegląd i modyfikacja urządzeń sieciowych
uzgodnienie z klientem zakresu zmian

CIS Benchmarks utworzony przez The Center for Internet Security, Inc. (CIS) jest uznanym światowym standardem i najlepszymi praktykami w zakresie zabezpieczania systemów IT i danych przed atakami. Dostępnych jest obecnie ponad 100 CIS Benchmarks dla ponad 25 linii produktów od czołowych dostawców.

OSINT (z ang. Open Source Intelligence) to tzw. biały wywiad, który polega na pozyskiwaniu informacji z otwartych źródeł , czyli z miejsc ogólnodostępnych. Usługa OSINT może być używana do znalezienia podatnych lub słabo zabezpieczonych urządzeń, które mogą być wykorzystane do ataków czy zdobycia informacji o infrastrukturze sieciowej firmy.

Raport Bezpieczeństwa OSINT pomaga organizacjom zrozumieć poziom ryzyka, na jakie mogą być narażone w wyniku niewłaściwej kontroli informacji publikowanych w Internecie lub danych, które wyciekły i są dostępne publicznie.

Raporty powstają w wyniku przeprowadzanych testów OSINT w celu zebrania publicznie dostępnych danych wrażliwych na temat firmy. Informacje te są zwykle dostępne dla każdego użytkownika Internetu. Informacje te są następnie weryfikowane pod kątem możliwości kradzieży danych lub uzyskania nieautoryzowanego dostępu do systemów IT organizacji. Raport ujawnia podstawowe zagrożenia bezpieczeństwa, na które organizacja może być podatna ze świata zewnętrznego np:

- otwarte porty
- firmowe adresy email, które były częścią wycieków danych
- wygasłe certyfikaty
- używane nieaktualne protokoły szyfrowania
- podatności, możliwe do wykorzystania podczas ataku na infrastrukturę
- linki, które nie powinny być dostępne „z zewnątrz”,
- odkryte usługi na konkretnych adresach publicznych i portach.