Kvalifikovaný auditor kybernetické bezpečnosti, NÚKIB
Auditor č. 1, číslo registrace: TODO (doplnit z registru NÚKIB)
Metodiky a certifikace
Testujeme tak, jak postupuje reálný útočník, a opíráme se o uznávané metodiky. Na rozdíl od běžného dodavatele počítáme i s fyzickým průnikem do budovy, protože útok často začíná u vchodu, ne u firewallu.
Od rekognoskace po report
Útok vedeme po krocích a každý z nich dokumentujeme. Klíčový rozdíl je krok získání přístupu, kde umíme udeřit nejen přes síť, ale i fyzicky.
- 01
Rekognoskace
Mapujeme veřejně dostupné informace, lidi, technologie a u red teamingu i fyzický provoz: kdy se střídá ostraha a kudy chodí dodavatelé.
- 02
Získání přístupu, i fyzicky
Hledáme vstupní bod. Přes zranitelnost, phishing nebo fyzicky: obejdeme ostrahu, projdeme dveřmi a připojíme se do vnitřní sítě jako reálný útočník.
- 03
Eskalace oprávnění
Z běžného účtu se propracujeme k vyšším právům. Vytěžujeme přihlašovací údaje a zneužíváme chybné konfigurace, dokud nezískáme kontrolu nad systémem.
- 04
Laterální pohyb
Postupujeme sítí od jednoho systému k dalšímu. Cílem je dosáhnout na klíčové servery, doménu a místa, kde leží vaše nejcennější data.
- 05
Exfiltrace
Prokážeme, že bychom se k datům dostali a odnesli je ven. Vždy řízeně a v rozsahu pravidel zapojení, bez skutečného úniku citlivých údajů.
- 06
Reporting
Celý řetězec sepíšeme srozumitelně pro vedení i techniky. Nálezy seřadíme podle závažnosti a doplníme konkrétní kroky k nápravě.
O co opíráme svou práci
Postupujeme podle uznávaných metodik, rámců a norem. Názvy uvádíme jako textové odkazy bez oficiálních log, abychom respektovali ochranné známky jejich vlastníků.
Auditorské kvalifikace
Kvalifikace pro audity kybernetické bezpečnosti podle českého práva a akreditovaná školení.
- NÚKIB kvalifikovaný auditor
- NÚKIB kvalifikovaný auditor
- NÚKIB kvalifikovaný auditor
- TAYLLORCOX
Ofenzivní certifikace
Útočné certifikace, které prokazují schopnost postupovat jako reálný útočník.
- OSCP
- OSEP
- CRTP
- CRTO
Metodiky a rámce
Uznávané postupy, podle kterých vedeme testování, red teaming a hodnocení rizik.
- PTES
- NIST SP 800-115
- OWASP ASVS
- OWASP MASVS
- OSSTMM
- MITRE ATT&CK
- CVSS
- Metodika NÚKIB
- TIBER-EU
- TIBER-CZ
- DORA
Normy a standardy
Mezinárodní normy a regulace, o které se opírají naše audity a doporučení.
- ISO/IEC 27001
- ISO/IEC 42001
- NIST CSF
- PCI DSS
Kvalifikace, které držíme
V týmu máme tři auditory kybernetické bezpečnosti kvalifikované u Národního úřadu pro kybernetickou a informační bezpečnost. Přesná čísla registrace doplníme.
Kvalifikovaný auditor kybernetické bezpečnosti, NÚKIB
Auditor č. 2, číslo registrace: TODO (doplnit z registru NÚKIB)
Kvalifikovaný auditor kybernetické bezpečnosti, NÚKIB
Auditor č. 3, číslo registrace: TODO (doplnit z registru NÚKIB)
Pravidla zapojení a etika
Každou zakázku ohraničujeme pravidly zapojení, takzvanými Rules of Engagement. Útočíme jen se svolením, v dohodnutém rozsahu a s plnou diskrétností.
Autorizace
Pracujeme výhradně se svolením majitele a v písemně dohodnutém rozsahu. Před začátkem podepisujeme pravidla zapojení, takzvané Rules of Engagement.
Hranice a rozsah
Pravidla zapojení určují, na co smíme útočit, jaké techniky jsou povolené, kdy a koho kontaktovat při problému. Nic mimo dohodnutý rozsah neděláme.
Etika a diskrétnost
Postupujeme jako etičtí hackeři. Nálezy hlásíme jen vám, nezveřejňujeme je a reference uvádíme pouze anonymizované, bez jmen klientů.
Skartace dat
Po skončení zakázky bezpečně odstraníme zachycená data i přístupy. Citlivé údaje držíme jen po nezbytně nutnou dobu a poté je prokazatelně skartujeme.
Po skončení zakázky všechna zachycená data a dočasné přístupy prokazatelně skartujeme. Nic si neponecháváme déle, než je nezbytně nutné.
Máte konkrétní zadání
Domluvme se na rozsahu testu
Projdeme s vámi cíle, hranice a vhodnou metodiku. Připravíme pravidla zapojení a navrhneme nezávaznou nabídku.
Ozveme se do 1 pracovního dne
Napište nám, co řešíte. Doporučíme další krok a navrhneme nezávaznou konzultaci.