Puolamojo Saugumo Paslaugos
Mūsų puolamojo saugumo (angl. offensive security) paslaugos yra sukurtos padėti organizacijoms identifikuoti, įvertinti ir pašalinti saugumo spragas prieš tai, kai jomis pasinaudos piktavaliai. Mes siūlome dvi pagrindines paslaugų kryptis: pažeidžiamumų įvertinimą ir įsibrovimo testavimą.
Pažeidžiamumų įvertinimas (Vulnerability Assessment)
Pažeidžiamumų įvertinimas – tai procesas, skirtas IT infrastruktūros, tinklų, aplikacijų ir sistemų pažeidžiamumams aptikti ir įvertinti. Šis vertinimas atliekamas automatiniu arba pusiau automatiniu būdu, pasitelkiant specializuotus komercinius įrankius. Gauti rezultatai nėra tik programos sugeneruota ataskaita – juos rankiniu būdu peržiūri mūsų ekspertai, pašalindami klaidingus radinius (angl. false positives) ir sugrupuodami problemas pagal kritiškumą, kad žinotumėte, nuo ko pradėti tvarkytis.
Šis metodas leidžia greitai ir efektyviai nustatyti didelę dalį pažeidžiamumų santykinai mažomis sąnaudomis. Jis parodo, kokios spragos egzistuoja jūsų sistemose, ir leidžia užkirsti kelią potencialioms atakoms.
Mūsų atliekami pažeidžiamumų vertinimai apima:
- Interneto aplikacijų vertinimas (OWASP TOP 10, automatinis DAST): Dinaminis aplikacijų saugumo testavimas, naudojant automatinius komercinius DAST įrankius. Pagrindinis vertinimas atliekamas be išankstinių žinių apie išeities kodą, tačiau į skenavimą taip pat įeina patikrinimas su vieno autentifikuoto naudotojo paskyra. Tai leidžia nustatyti, kokie pažeidžiamumai yra pasiekiami prisijungusiems vartotojams. Toks nuskaitymas efektyviai identifikuoja žinomas programinės įrangos klaidas, nesaugias serverio konfigūracijas bei neatnaujintus komponentus.
- Infrastruktūros perimetro ir vidinio tinklo vertinimas: Išorinio tinklo, internete pasiekiamų bei viduje esančių įrenginių ir serverių saugumo analizė. Naudojant komercinį „Nessus“ pažeidžiamumų skenerį, tinkle ieškoma atvirų prievadų bei vertinamos veikiančios paslaugos. Pagal programinės įrangos versijas nustatoma, ar sistemos yra pažeidžiamos. Svarbu pabrėžti, kad šiame etape nebandoma išnaudoti spragų ar įsilaužti – visi rasti trūkumai tik detalizuojami ataskaitoje kaip potencialios grėsmės ir pažeidžiamumai.
Įsibrovimo testavimas (Penetration Testing)
Nors pažeidžiamumų vertinimas parodo galimas spragas, įsibrovimo testavimas atskleidžia, ar jos yra realiai išnaudojamos praktikoje ir kaip tokiu atveju suveikia jūsų esamos apsaugos priemonės.
Tai išsamus saugumo testavimo procesas, kurio metu mūsų kibernetinio saugumo specialistai (etiški įsilaužėliai) praktiškai bando išnaudoti pažeidžiamumus ir atakos vektorius. Šio proceso tikslas – įvertinti, kaip realūs grėsmių veikėjai galėtų pažeisti sistemos saugumą, gauti neteisėtą prieigą prie infrastruktūros ar nutekinti jautrią informaciją (klientų asmens duomenis, finansinius įrašus, intelektinę nuosavybę). Mes ne tik identifikuojame spragas, bet ir patvirtiname jų realų išnaudojamumą, įvertiname galimą finansinį ar reputacinį verslo poveikį bei pademonstruojame atakos grandines (angl. attack chains), kur kelios nedidelės spragos veda prie visiško sistemos kompromitavimo.
Testavimas atliekamas vadovaujantis pripažintomis tarptautinėmis metodikomis ir gerosiomis praktikomis (OWASP WSTG). Šį vertinimą rekomenduojama atlikti periodiškai (pvz., kartą per metus) arba po reikšmingų sistemų architektūros ar kodo pakeitimų.
Mūsų įsibrovimo testavimo paslaugos apima:
- Interneto aplikacijų įsibrovimo testavimas: Rankinis ir išsamus testavimas pagal OWASP WSTG (angl. Web Security Testing Guide) metodiką. Šis standartas apibrėžia gerokai platesnį ir detalesnį pažeidžiamumų sąrašą nei populiarusis „OWASP Top 10“. Skirtingai nei atliekant automatinį skenavimą, mūsų inžinieriai ieško specifiškų spragų, kurių skeneriai nemato: sudėtingų verslo logikos apėjimų, „lenktynių sąlygų“ (angl. race conditions), gilių autentifikacijos protokolo (pvz., OAuth 2.0, JWT, SAML) silpnybių bei teisių eskalavimo (kai paprastas vartotojas gauna administratoriaus teises arba prieigą prie kitų klientų duomenų).
- Patekimas į DMZ sistemas: Simuliuojamos atakos, orientuotos į viešai pasiekiamas aplikacijas. Išnaudodami jų pažeidžiamumus (pvz., RCE ar SQLi), siekiame gauti prieigą ne tik prie jautrios informacijos ar duomenų bazių, esančių tame pačiame serveryje. Pagrindinis šio testavimo tikslas – įrodyti, ar kompromituotą serverį galima panaudoti kaip atsparos tašką ir „peršokti“ (angl. pivot) į kitus serverius ar potinklius, esančius jūsų DMZ (demilitarizuotoje zonoje).
- Patekimas į vidinį tinklą: Šis testavimas apima visus prieš tai minėto DMZ scenarijaus elementus, bet prisideda papildomi tikslai. Pirmiausia bandoma iš kompromituotos DMZ zonos „peršokti“ tiesiai į vidinį organizacijos tinklą. Jeigu tai nepavyksta arba aplikacijos talpinamos už įmonės perimetro ribų, simuliuojamas patekimas į vidinį tinklą naudojant kitus atakos vektorius: tikslines el. pašto atakas (angl. phishing), belaidžių (Wi-Fi) tinklų nulaužimą ar fizinį saugumą. Galutinis tikslas – pademonstruoti, ar įmanoma kompromituoti pačius svarbiausius verslo duomenis ir įmonės vartotojų valdymo centrą (angl. Active Directory). Šis išsamus scenarijus skirtas organizacijoms, kurios nori iki galo įsitikinti, kurios jų apsaugos vietos yra silpniausios. Svarbu pabrėžti, kad nors tai yra giliausias mūsų siūlomas testavimas, jis atliekamas visiškai saugiai: vykdomos tik tokios komandos, kurios akivaizdžiai įrodo spragos egzistavimą, tačiau nepadaro jokios žalos infrastruktūrai, duomenims ir nesutrikdo sistemų veiklos.
Paslaugų kainos
„Atakos vektoriaus" 2026 m. (be PVM):
Paslaugos laikas skaičuojamas nuo to laiko kai gaunami leidimai testuoti ir reikalingi prisijungtimai ar VPN prieiga.
Pažeidžiamumų vertinimas
| Paslaugos aprašymas | Kaina | Kita |
|---|---|---|
| Interneto aplikacija — pagal OWASP Top 10 metodologija. | 2000 | Trukmė: 4 dienos. Automatinis DAST su keliomis rolėmis; specialisto vertinimas, ataskaita lietuvių k. su radiniais ir rekomendacijomis. |
| Infrastruktūros perimetras: iki 60 tinkle esančių įrenginių ir serverių | 2500 | Trukmė: 1 savaitė. Komercinis pažeidžiamumų skeneris; specialisto įvertinimo ataskaita lietuvių k. su radiniais ir rekomendacijomis. |
Įsibrovimo testavimas
| Paslaugos aprašymas | Kaina | Kita |
|---|---|---|
| Viena interneto aplikacija pagal OWASP WSTG | 3000 | Trukmė: 2 savaitės. Mišrus DAST; Sertifikuotas specialistas; komerciniai įrankiai, Iki tryjų naudotojų rolių testavimas; lietuvių k. ataskaita su PoC, CVSS; retest per 2 savaites; NDA. |
| Patekimas į DMZ esančias sistemas per interneto aplikacijų pažeidžiamumus, ir gilesnis sverbimasis per sistemų, paslaugų konfigūracijos, prieigos kontrolės, tinklo lygmens silpnybes | 7500 | Trukmė: 1 mėnuo. Aukštos kvalifikacijos sertifikuotas specialistas, komerciniai įrankiai; lietuvių k. ataskaita su PoC, CVSS; retest per 30 dienų; NDA. |
| Patekimas į vidinį tinklą — platesnis atakos vektorių spektras ne tik interneto aplikaciją iš DMZ, bet ir per soc. inžineriją, Wi-Fi, ar trečiųjų šalių sistemas (iki 60 įrenginių) | 15000 | Trukmė: iki 2 mėnesių. Aukštos kvalifikacijos sertifikuotas specialistas ir testuotojas, komerciniai įrankiai; lietuvių k. ataskaita su PoC, CVSS; retest per 30 dienų; NDA. |
| Patekimas į vidinį tinklą per interneto aplikaciją, soc. inžineriją, Wi-Fi, DMZ ar trečiųjų šalių sistemas (iki 250 įrenginių) | 20000 | Trukmė: iki 4 mėnesių. Aukštos kvalifikacijos sertifikuotas specialistas, projektų vadovas, komerciniai įrankiai; lietuvių k. ataskaita su PoC, CVSS; retest per 30 dienų; NDA. |
Kaip užsisakyti
Jei svarstote apie puolamojo saugumo paslaugas, kurios padėtų atpažinti ir įvertinti jūsų organizacijos spragas ir norite padidinti savo sistemų atsparumą prieš realias grėsmes, susisiekite su mumis, ir aptarsime geriausią testavimo strategiją pagal jūsų poreikius.