Pentest

Šta je Pentest

Pentest je postupak dogovorenog, ciljanog i vremenski ograničenog 'napada 'na infrastrukturu klijentske organizacije. Sprovode ga etički hakeri, posebno obučeno i certificirano osoblje, primjenjujući manuelne odnosno automatske procedure, sa ciljem utvrđivanja i dokumentiranja pronađenih slabosti ciljanog sistema.

Na osnovu nalaza pentestiranja, klijent može poduzeti korektivne radnje.

Ključni alat provjere otpornosti računarske infrastrukture. Uočene slabosti se evidentiraju i dokumentiraju kroz izvještaj klijentu.

Enigma Pentest

Penetracijsko testiranje se obavlja u dogovoru sa klijentom sa kojim se usaglašava objekt i opseg penetracijskog testiranja. U cilju sagledavanja stanja otpornosti na dan testiranja i otklanjanja eventualno uočenih slabosti testiranog sistema pronađene slabosti se dokumentiraju i dijele sa klijentom u formi izvještaja.

Primjeri penentracijskog testiranja klijenta (lista je ilustrativna) su:

  • Računarska mreža
  • Web i desktop aplikacije
  • Cloud zasnovani servisi
  • Bankomati
  • Terminali, samouslužni i-li asistirani
  • Dijagnostički, telemetrijski, signalni i informativni uređaji

Kontekst prijetnje

Ažuriranje računarske infrastrukture poput informatičkih sistema, baza podataka, samostalnih i mrežnih komponenti, radnih stanica i drugo, stalan je posao održavanja. Odvija se asinhrono, vođeno razvojem IT infrastrukture, promjenama dobavljača, resursa i njihovih verzija, migracijama i slično. Istodobno, proizvođači, pružaoci usluga i zajednice pronalaze i objavljuju ranjivosti sistema, dok zlonamjerni akteri u odnosu na organizacije koje ih koriste osmišljavaju vektore napada.

IT sistemi se razvijaju. Po ažuriranju verzije, primjenom zakrpa, instaliranju nove opreme, migracije ili prelaska na drugog dobavljača mijenja se sigurnosni profil, uglavnom na bolje - ali nipošto uvijek. Pitanje je - koje je aktuelno stanje računarske otpornosti sistema? - Pentestiranje pruža odgovor.

Zašto Pentestiranje

Promjene unutar i izvan organizacije čine njenu izloženost prijetnjama kibernetičkog incidenta vrlo promjenjivim stanjem. Redovnim pentestiranjem, te po promjenama kritične infrastrukture, organizacija stiče vjerodostojan uvid u računarsku otpornost sistema ili komponenti koje koristi, čime:

  • informira svoje odluke o neophodnim koracima koje mora poduzeti u cilju smanjenja rizika od nastanka i-li posljedica kibernetičkog incidenta, i-li
  • podržava svoju regulatornu usklađenost, i-li
  • zadovoljava operativna pravila organizacijske grupacije ili klijenta.