Jakie konkretne metody i standardy stosujecie do testów penetracyjnych?
W Elementrica opieramy nasze testy penetracyjne na międzynarodowych standardach i sprawdzonych metodologiach, aby zapewnić kompleksowość i skuteczność naszych usług. Stosujemy PTES (Penetration Testing Execution Standard), który zapewnia szczegółowe ramy do przeprowadzania testów penetracyjnych, obejmujące wszystkie etapy od planowania po raportowanie. W testach aplikacji webowych korzystamy z wytycznych OWASP, które koncentrują się na identyfikacji i eliminowaniu podatności w aplikacjach internetowych. Wykorzystujemy również NIST SP 800-115, techniczny przewodnik NIST dotyczący testowania i oceny bezpieczeństwa informacji, który pomaga nam utrzymywać najwyższe standardy podczas testowania. Nasze podejście łączy te metodologie, co pozwala nam dostosować testy do potrzeb każdego klienta.
Jakie kwalifikacje i certyfikaty posiadają wasi pentesterzy?
Nasi pentesterzy to wysoko wykwalifikowani specjaliści z szeroką gamą certyfikatów uznawanych w branży, takich jak OSCP (Offensive Security Certified Professional), OSCE3 (Offensive Security Certified Expert 3), OSEP (Offensive Security Experienced Penetration Tester), OSED (Offensive Security Exploit Developer), OSWE (Offensive Security Web Expert), OSWA (Offensive Security Web Assessor) oraz OSWP (Offensive Security Wireless Professional). Inne certyfikaty obejmują BSCP (Burp Suite Certified Practitioner), CPTS (Certified Penetration Testing Specialist), CBBH (HTB Certified Bug Bounty Hunter), CREST CPSA (Practitioner Security Analyst), CREST CRT (Registered Penetration Tester), a także ISO/IEC 27001 Lead Auditor. Nasi specjaliści posiadają również certyfikaty Microsoft, takie jak Azure Security Engineer Associate, Security Operations Analyst Associate oraz Security Administrator Associate dla Microsoft 365. Wymagamy, aby wszyscy nasi młodsi pentesterzy posiadali przynajmniej certyfikat OSCP, co pozwala nam utrzymać wysoki poziom kompetencji w zespole.
W jaki sposób zapewniasz poufność i bezpieczeństwo naszych danych podczas testów i po ich zakończeniu?
Bezpieczeństwo i poufność danych naszych klientów to nasz najwyższy priorytet. Wprowadzamy rygorystyczne procedury bezpieczeństwa. Przed rozpoczęciem projektu podpisujemy szczegółowe umowy o zachowaniu poufności (NDA), które chronią Twoje informacje. Wszystkie dane zbierane podczas testów są przechowywane w zaszyfrowanej formie, a dostęp do nich mają wyłącznie autoryzowani członkowie zespołu. Używamy również bezpiecznych kanałów komunikacji do wymiany informacji i raportów. Po zakończeniu projektu stosujemy uzgodnione polityki dotyczące przechowywania i usuwania danych. Nasze praktyki są zgodne z regulacjami dotyczącymi ochrony danych, takimi jak RODO.
Jak wygląda proces raportowania i jakie informacje zawiera raport z testów?
Nasz proces raportowania jest przejrzysty i skoncentrowany na dostarczaniu wartościowych informacji. Raport zawiera podsumowanie wykonawcze, które przedstawia kluczowe wnioski i rekomendacje w przystępnej formie. Szczegółowe wyniki obejmują opisy wykrytych podatności, ich poziom ryzyka, szczegóły techniczne oraz potencjalny wpływ. Dostarczamy również dowody wykrycia, takie jak zrzuty ekranu czy logi, potwierdzające istnienie podatności. W raporcie znajdują się rekomendacje zawierające konkretne kroki naprawcze dla każdej podatności, priorytetowane według ryzyka, oraz opis zastosowanych metod i narzędzi. Dzięki naszej platformie E-Zero udostępniamy interaktywne raporty, które ułatwiają śledzenie postępów w usuwaniu podatności i współpracę z naszym zespołem.
Czy oferujecie wsparcie w usuwaniu wykrytych podatności po zakończeniu testów?
Tak, oferujemy wsparcie w procesie usuwania podatności po zakończeniu testów. Dostarczamy dodatkowe informacje i wyjaśnienia dotyczące wykrytych zagrożeń, sugerujemy najlepsze praktyki oraz konkretne rozwiązania dopasowane do Twojego środowiska. Na życzenie możemy również przeprowadzić ponowne testy, aby potwierdzić skuteczność podjętych działań naprawczych. Naszym celem jest zapewnienie, że Twoja organizacja skutecznie usuwa wykryte zagrożenia.
Jak często powinniśmy przeprowadzać testy penetracyjne w naszej organizacji?
Zalecamy przeprowadzanie testów penetracyjnych co najmniej raz w roku lub po znaczących zmianach w infrastrukturze IT, takich jak wdrożenie nowych systemów lub aplikacji. Częstotliwość testów może być zwiększona w zależności od wymagań regulacyjnych — niektóre standardy mogą wymagać częstszych testów. Firmy o wyższym poziomie ryzyka mogą potrzebować częstszych ocen, a w przypadku ciągłej integracji i wdrażania regularne testowanie pomoże wykrywać nowe podatności. Nasza usługa Pulse oferuje ciągłe skanowanie i monitorowanie bezpieczeństwa, zapewniając stały wgląd w stan zabezpieczeń pomiędzy pełnymi testami penetracyjnymi.
Jakie są koszty Waszych usług i czy możecie dostosować ofertę do naszego budżetu?
Koszt usług zależy od zakresu i złożoności projektu. Oferujemy konkurencyjne ceny i jesteśmy elastyczni w dostosowywaniu oferty do Twojego budżetu. Po zrozumieniu Twoich potrzeb przygotujemy szczegółową propozycję z przejrzystym cennikiem. Nasza usługa Pulse jest również dostępna w modelu subskrypcyjnym, co może być atrakcyjne dla firm z ograniczonym budżetem.
