Ethredix Ethredix
EN

Penetrační testování infrastruktury

Komplexní testování síťové infrastruktury, serverů a cloudových prostředí podle uznávaných bezpečnostních standardů.

External PT

Testování veřejně dostupné infrastruktury z pohledu externího útočníka.

Internal PT

Simulace útoku z vnitřní sítě po úspěšném průniku nebo insider threat.

Cloud Security

Posouzení konfigurace AWS, Azure, GCP podle CIS Benchmarks.

Testovací oblasti

Network Services

Testování všech veřejně i interně dostupných služeb - SSH, RDP, SMB, FTP, DNS, mail servery.

Port scanning, service enumeration, version detection

Operating System Security

Analýza konfigurace OS, missing patches, default credentials, weak configurations.

Windows, Linux, Unix hardening assessment

Network Segmentation

Testování síťové segmentace, VLAN bypass, firewall rules, lateral movement possibilities.

VLAN hopping, pivot points, network isolation

VPN & Remote Access

Posouzení bezpečnosti VPN, RAS, Citrix, VDI, remote desktop solutions.

Weak encryption, authentication bypass, CVE exploitation

Wireless Security

Testování WiFi sítí - WPA2/WPA3 security, rogue APs, evil twin attacks.

WPS attacks, KRACK, handshake capture

Cloud Configuration

Review IAM policies, S3 buckets, security groups, logging, encryption at rest.

AWS, Azure, GCP misconfiguration hunting

Metodiky a standardy

PTES

Penetration Testing Execution Standard - komplexní framework pro systematické provádění penetračních testů.

7 fází: Pre-engagement → Intelligence Gathering → Threat Modeling → Vulnerability Analysis → Exploitation → Post Exploitation → Reporting

OSSTMM

Open Source Security Testing Methodology Manual - vědecký přístup k testování bezpečnosti.

Metriky RAV (Risk Assessment Values) pro objektivní hodnocení

CIS Benchmarks

Center for Internet Security konfigurace pro hardening operačních systémů a cloud prostředí.

Level 1/2 compliance assessment

NIST SP 800-115

Technical Guide to Information Security Testing and Assessment podle NIST guidelines.

Federal standards pro security testing

Výstup testování

Executive Report

  • → Overall risk assessment
  • → Attack path visualization
  • → Business impact analysis
  • → Compliance gaps

Technické nálezy

  • → Vulnerable hosts/services
  • → CVSS v3.1 scoring
  • → Exploitation evidence
  • → Network diagrams

Remediační plán

  • → Prioritized action items
  • → Patching recommendations
  • → Configuration changes
  • → Hardening guidelines

Compliance mapping

  • → CIS Benchmarks alignment
  • → ISO 27001 controls
  • → NIST framework

Proces

01

Scoping a příprava

Definice scope, IP ranges, testing windows, rules of engagement, získání přístupů.

02

Reconnaissance

OSINT, subdomain enumeration, network mapping, service discovery, technology identification.

03

Vulnerability Assessment

Automated scanning, manual verification, configuration review, CVE mapping.

04

Exploitation

Controlled exploitation, privilege escalation, lateral movement testing, persistence.

05

Post-exploitation

Data exfiltration testing, credential harvesting, documenting access paths.

06

Reporting

Kompilace executive a technical reportu, remediační plán, compliance mapping.

Objednat penetrační test