====== Penetrační testy ======

Zranitelnosti, ať už vzniklé návrhem systému (chyba architekta), jeho chybnou implementací (chyba programátora) nebo jeho nevhodným používáním (chyba administrátora nebo uživatele) existovaly, existují a vždy existovat budou. **Penetrační testy pomohou tyto zranitelnosti včas odhalit**, takže náprava může být provedena dříve, než dojde k jejich zneužití skutečným útočníkem.

Výsledky penetračních testů pomohou manažerům bezpečnosti a administrátorům systémů s vyhodnocením aktuálního stavu bezpečnosti spravovaných systémů, s nápravou detekovaných bezpečnostních problémů a také s plánováním dalšího rozvoje.

===== Popis služby =====
Penetrační testy jsou **preventivní opatření**, takže je lze předem plánovat plně dle potřeb zákazníka. V rámci penetračních testů
  * vám poskytneme úvodní konzultaci,
  * otestujeme vaše sítě, služby a systémy,
  * doporučíme vám nápravná opatření,
  * výsledky shrneme v přehledné závěrečné zprávě.

Na základě specifikovaného seznam systémů pro testování a případných doplňujících podmínek, týkajících se průběhu testování, bude vytvořen přehled nalezených zranitelností, včetně ohodnocení jejich závažnosti, a současně návrh opatření k jejich nápravě.

{{ :cs:sluzby:sluzba-pentesty.png?nolink }}

Penetrační testy je také vhodné jednou za čas opakovat, typicky v intervalu jednoho až dvou let. Cílem opakování je vyhodnotit účinnost opatření zavedených na základě předchozího testu a současně také odhalit nově vzniklé zranitelnosti.

===== Případová studie =====
Pro lepší představu, jak tato služba funguje v praxi, můžete nahlédnout do případové studie {{ :cs:sluzby:case_study-penetracni-test.pdf| pen-cypherfix2016}}.

===== Jak postupovat =====
Chcete nalézt zranitelnosti ve svých systémech dříve než reálný útočník? [[[[cs:kontakt|Kontaktujte nás]] a následně
  - poskytneme nezávaznou konzultaci,
  - zjistíme potřebné informace o testované infrastuktuře (např. jaké služby, sítě, rozsahy IP adres mají být otestovány),
  - odhadneme časovou náročnost testů,
  - připravíme technické zadání,
  - vyřídíme administrativní záležitosti (smlouva o dílo, NDA, apod.),
  - dohodneme vhodný termín realizace,
  - provedeme penetrační testy ve vaší síti,
  - do závěrečné zprávy zpracujeme všechny nálezy a příslušné návrhy opatření,
  - výsledky u vás odprezentujeme.

===== Časté dotazy =====
Zde jsou uvedeny odpovědi na časté otázky týkající se penetračních testů. Můžete si také přečíst [[cs:castedotazy|otázky a odpovědi k dalším tématům]].

=== Způsobí penetrační testy nedostupnost testovaných systémů? ===
Penetrační testy jsou navrženy tak, aby byly co nejšetrnější k testovaným systémům. Výpadku daného systému sice nelze 100% vyloučit, ale není to cílem testů a v praxi je ovlivněno zanedbatelné množství systémů.

=== Mohou být součástí penetračních testů také webové servery? ===
Penetrační testy mají za úkol odhalit existující zranitelnosti v používaných systémech, což mohou být - a často také jsou - i webové servery. Takže ano, součástí penetračních testů mohou být webové servery.

=== Mohou být součástí penetračních testů také testy sociálního inženýrství? ===
Testy sociálního inženýrství poskytujeme jako [[cs:sluzby:testy-socialniho-inzenyrstvi|samostatnou službu]] a v případě zájmu je možné ji pojmout jako součást penetračních testů a prověřit chování uživatelů, zejména jejich schopnosti rozpoznat podvodné zprávy elektronické pošty a odolnost proti sociálnímu inženýrství.