Celem testów penetracyjnych jest weryfikacja poziomu bezpieczeństwa systemów informatycznych, aplikacji webowych oraz infrastruktury sieciowej samorządu poprzez symulację rzeczywistego ataku, wykrycie podatności i wskazanie skutecznych działań naprawczych.
Testy realizowane są zgodnie z najlepszymi praktykami rynkowymi i mają na celu spełnienie wymagań:
-
Dyrektywy NIS 2 w zakresie testowania zabezpieczeń systemów kluczowych,
-
Krajowych Ram Interoperacyjności (§ 19 ust. 2 pkt 14 – audyty bezpieczeństwa),
-
ISO/IEC 27001 i 27002 w zakresie oceny ryzyk i testów kontrolnych.
➤ Testy aplikacji webowych / API
-
Analiza podatności zgodnie z OWASP Top 10 (Injection, XSS, Broken Authentication itp.).
-
Testy manipulacji sesją i uprawnień.
-
Próby obejścia mechanizmów autoryzacji i uwierzytelniania.
-
Testowanie uploadów i komunikacji z backendem.
-
Testy API (REST, SOAP) pod kątem podatności logicznych i technicznych.
➤ Testy infrastruktury (zewnętrzne i wewnętrzne)
-
Skanowanie i analiza otwartych portów, usług i wersji oprogramowania.
-
Próby eksploatacji podatności systemowych.
-
Testy sieci Wi-Fi (jeśli dotyczy).
-
Symulacja ataków „czarnego scenariusza” (black-box).
➤ Testy socjotechniczne (opcjonalnie)
-
Kampanie phishingowe (e-mail / SMS).
-
Testy fizycznego dostępu lub wyłudzenia informacji.
-
Ocena świadomości pracowników.
➤ Testy Active Directory / Microsoft 365 (opcjonalnie)
-
Przegląd konfiguracji AD / Azure AD.
-
Identyfikacja podatności na „lateral movement”, pass-the-hash, Kerberoasting.
➤ Rezultaty i dokumentacja
-
Raport techniczny – szczegółowy opis podatności, śladów testów, zrzuty ekranu, CVSS scoring.
-
Raport zarządczy – streszczenie w języku nietechnicznym, priorytety działań.
-
Rekomendacje naprawcze – instrukcje eliminacji zagrożeń.
Skontaktuj się z nami, aby sprawdzić bezpieczeństwo systemów Twojego samorządu i wdrożyć skuteczne zabezpieczenia.