Σκοπός της υπηρεσίας αυτής είναι η διενέργεια αξιολόγησης – αποτίμησης της ασφάλειας του πληροφοριακού συστήματος και των δικτυακών υποδομών και υπηρεσιών ενός φορέα, με την διεξαγωγή δοκιμών παρείσδυσης σε όλο το εύρος της δικτυακής υποδομής που περιλαμβάνει συστήματα, εφαρμογές, δικτυακό εξοπλισμό, web εφαρμογές και βάσεις δεδομένων.

Κατηγορίες Ελέγχων Ασφάλειας:

  • Έλεγχοι Ασφάλειας Δικτύων (Network Penetration Test)
  • Έλεγχοι Ασφάλειας Ασύρματων Δικτύων (Wireless Penetration Test)
  • Έλεγχοι Ασφάλειας Δικτυακών Εφαρμογών (Web Application Penetration Test)

Εντοπίζονται οι ευπάθειες (και οι κίνδυνοι που αυτές επιφέρουν) στην ασφάλεια των πληροφοριακών συστημάτων του οργανισμού με τον τρόπο που αυτά καλύπτουν τις σημερινές επιχειρησιακές του ανάγκες εξετάζοντας:

  • Αν και κατά πόσο είναι ευάλωτες σε επιθέσεις.
  • Πιθανά προβλήματα ασφάλειας τα οποία θα ήταν δυνατόν να εκμεταλλευτούν κακόβουλα είτε από το εσωτερικό ή το εξωτερικό χώρο του οργανισμού.

Το πλαίσιο και η μεθοδολογία εφαρμογής της υπηρεσίας εξασφαλίζει την απρόσκοπτη λειτουργία του οργανισμού, καθώς επίσης την εμπιστευτικότητα και εχεμύθεια των αποτελεσμάτων.

Η υπηρεσία αυτή περιλαμβάνει:

  • Την καταγραφή των πόρων και των πληροφοριακών συστημάτων του οργανισμού.
  • Την αποτίμηση – αξιολόγηση της ασφάλειας του δικτύου.
  • Τη διεξαγωγή δοκιμών παρείσδυσης και αξιολόγηση ευπαθειών για όσα τα μηχανογραφικά συστήματα και υποδομές του οργανισμού.
  • Την εκπαίδευση του προσωπικού, στην μεθοδολογία διενέργειας ελέγχων τρωτότητας και τη χρήση των ειδικών εργαλείων χρησιμοποιούνται.
  • Την προετοιμασία των υφιστάμενων μηχανισμών ασφάλειας της εταιρείας για την αποτελεσματική διερεύνηση παραβιάσεων ασφάλειας (forensic readiness).

Δομικά στοιχεία της υπηρεσίας:

  • Καταγραφή και αποτίμηση κινδύνου (Risk analysis – Risk assessment).
  • Εξωτερικές δοκιμές παρείσδυσης χωρίς γνώση (Black box external penetration testing).
  • Εσωτερικές δοκιμές παρείσδυσης χωρίς γνώση (Black box internal penetration testing).
  • Εξωτερικές δοκιμές παρείσδυσης με γνώση (White box external penetration testing).
  • Εσωτερικές δοκιμές παρείσδυσης με γνώση (White box internal penetration testing).

Μεθοδολογία

Η μεθοδολογία διεξαγωγής των δοκιμών παρείσδυσης βασίζεται σε διαθέσιμους ανιχνευτές ασφάλειας (security scanners).

Αξιολογείται αρχικά μέσω τεχνικών αποτίμησης κινδύνων ποιοι είναι οι κρίσιμοι πόροι του οργανισμοί και αναπτύσσεται ένα μοντέλο επίθεσης (customised attack pattern) προσαρμοσμένο για τα συστήματα του φορέα για να ελεγχθεί η αποτελεσματικότητα γνωστών επιθέσεων.

Το μοντέλο επίθεσης δεν περιορίζεται σε υψηλό επίπεδο διάγνωσης αδυναμιών, αλλά στόχος είναι να αναγνωρίζει κινδύνους οποιουδήποτε επιπέδου.

Η μεθοδολογία που εφαρμόζεται περιλαμβάνει τα παρακάτω στάδια:

  • Προσδιορισμός των κρίσιμων συστημάτων και των εφαρμογών.
  • Διερεύνηση πληροφοριών για τα συστήματα-στόχους.
  • Ανίχνευση των συστημάτων-στόχων για ανοικτές υπηρεσίες και θύρες επικοινωνίας.
  • Διερεύνηση για τεχνικές αδυναμίες.
  • Εκμετάλλευση των αδυναμιών.