Testovanie odolnosti IT infraštruktúry

Testovanie odolnosti IT infraštruktúry

Penetračné testovanie infraštruktúry predstavuje kľúčovú metódu na odhalenie technických a konfiguračných zraniteľností v sieťových, serverových a virtualizačných prostrediach. Táto forma testovania pomáha organizáciám overiť odolnosť ich systémov voči útokom zvonka aj zvnútra a zabezpečiť, že implementované bezpečnostné opatrenia fungujú v praxi.

Prínosy penetračného testovania infraštruktúry

  • Identifikácia zraniteľností v sieťovej architektúre, serveroch, firewalloch a ďalších prvkoch.

  • Overenie účinnosti segmentácie, prístupových politík a detekčných mechanizmov.

  • Prevencia úspešného zneužitia chýb, ktoré by mohli viesť k eskalácii oprávnení alebo kompromitácii siete.

  • Pomoc pri napĺňaní požiadaviek regulačných rámcov (DORA, NIS2, ISO/IEC 27001).

  • Získanie objektívneho prehľadu o technickej odolnosti prostredia vrátane tretích strán.


Hlavné ciele penetračného testovania infraštruktúry

  • Preveriť hranice sieťovej bezpečnosti (externé IP adresy, DMZ, VPN, verejne exponované služby).

  • Otestovať odolnosť voči laterálnemu pohybu v internej sieti.

  • Identifikovať chyby v konfiguráciách, zastarané systémy a neaktualizované služby.

  • Získať prístup k cieľovým systémom pomocou autentizovaných aj neautentizovaných metód.

  • Vyhodnotiť detekčné a reakčné schopnosti bezpečnostných nástrojov.


Typické útoky a rozdiely medzi vektormi napadnutia

Názov útoku alebo zraniteľnosti Vektor Kategória Popis
SMB Relay / LLMNR poisoning Interná sieť Laterálny pohyb Zneužitie nedostatočného zabezpečenia prostredia Windows.
Hrubá sila na VPN / obchádzanie MFA Perimeter Slabiny prístupu Získanie prístupu do siete cez nedostatočne zabezpečené prihlasovanie.
Eskalácia oprávnení Server / OS Lokálny útok Získanie administrátorských oprávnení v dôsledku zraniteľnosti operačného systému.
Nesprávne nakonfigurované pravidlá firewallu Sieťová vrstva Konfiguračná chyba Neželaný otvorený prístup k portom alebo službám do vnútorného prostredia.
Zastaraný serverový softvér Aplikačná vrstva Technická zraniteľnosť Systémy bez aktualizácií zraniteľné voči známym CVE.


Aké požiadavky stanovuje DORA v súvislosti s penetračným testovaním infraštruktúry?

Regulácia DORA považuje testovanie bezpečnosti infraštruktúry za súčasť povinného „basic testingu“ (nižšia z dvoch úrovní) a očakáva:

  • Pravidelné vykonávanie penetračných testov minimálne 1× ročne, prípadne po významných zmenách infraštruktúry.

  • Zameranie na systémy podporujúce kritické alebo dôležité obchodné funkcie.

  • Dokumentovanie zraniteľností, návrh nápravných opatrení a overenie ich implementácie.

  • Testovanie aj prostredí prevádzkovaných tretími stranami, ak sú súčasťou ICT ekosystému.



Aké sú požiadavky na testovacie tímy?

  • Pokročilá znalosť sieťových protokolov, správy serverových platforiem a segmentácie infraštruktúry.

  • Schopnosť realizovať odpočúvacie útoky, eskaláciu oprávnení a cielené testy detekcie.

  • DORA nepredpisuje konkrétne certifikácie, ale vyžaduje primeranú odbornosť tímu.

  • Skúsenosti s testovaním hybridných prostredí (on-premise, cloud, virtualizácia, kontajnerizácia).

  • Nezávislosť testovacieho tímu od vývojového tímu, prevádzkového IT oddelenia a dodávateľov infraštruktúry.

  • Dokumentácia testu vrátane relevantných forenzných výstupov a reportu spĺňajúceho požiadavky regulátorov a auditných štandardov.


Prečo spolupracovať s BDO?

BDO poskytuje penetračné testovanie infraštruktúry ako súčasť komplexnej bezpečnostnej stratégie. Pomáhame organizáciám odhaliť a odstrániť technické slabiny skôr, než ich zneužijú reálni útočníci. Využívame kombináciu manuálnych testov, automatizovaných nástrojov a znalostí reálnych útočných techník.

  • Technická odbornosť a skúsenosti
    Náš tím má rozsiahle skúsenosti s testovaním infraštruktúry v bankovníctve, telekomunikáciách, priemysle aj vo verejnej správe. Realizujeme externé, interné aj hybridné penetračné testy, simulácie útokov na servery, siete, zariadenia aj infraštruktúru tretích strán.
  • Znalosť regulačného rámca
    BDO rozumie požiadavkám DORA, NIS2 aj súvisiacim rámcom kybernetickej bezpečnosti. Pomáhame s integráciou výstupov z testovania do systému riadenia ICT rizík a kontinuálneho zvyšovania odolnosti. Výsledky našich testov je možné efektívne využiť pri auditoch, inšpekciách aj bezpečnostnom reportingu vedeniu.
  • Nezávislosť a dôveryhodnosť
    Ako nezávislá poradenská spoločnosť nie sme technologicky ani procesne napojení na prevádzkové časti organizácie. Poskytujeme objektívne a dôveryhodné výsledky rešpektujúce technické, obchodné aj regulačné požiadavky. Klienti nás vnímajú ako dlhodobého bezpečnostného partnera, nie iba dodávateľa služieb.


Certifikovaný tím s expertnou praxou
Naši špecialisti sú držiteľmi certifikácií OSCP, CRTP, CEH, CCISO, CISSP, CompTIA PenTest+, BSCP, CREST CPSA, MTCNA, CCNA, ktoré potvrdzujú ich schopnosti v oblasti technického testovania, sieťového prieskumu a pokročilých techník zneužitia.

CISO CISSP OSCP eCPPT PenTest RedTeam CEH CREST BURPSuite

Hlavné kontaktné osoby

Martin Hořický
Martin Hořický
Manager • CISO
i View bio
Marek Kovalčík
Partner
i View bio