Cílem této diplomové práce je popsat problematiku bezpečnostních auditů a penetračních testů ve firemním prostředí.
Teoretická část vysvětluje, ze kterých norem penetrační test vychází a přináší stručný přehled aktuálních hrozeb v oblasti IT.
Praktická část se pak zabývá vytvořením metodiky penetračního testu, která zohledňuje aktuální hrozby. Pomocí vytvořené metodiky je následně proveden penetrační test v reálném firemním prostředí. Součástí testu je závěrečná zpráva, která byla předána vedení společnost. Zpráva obsahuje analýzu zabývající se hrozbami nalezenými při testování, možným negativním dopadem na společnost a způsoby obrany proti těmto hrozbám.
Annotation in English
The aim of this thesis is to describe the problems of security audits and penetration testing in the corporate environment.
The theoretical part explains on which standards of penetration test is based and at the same time it presents a brief overview of the current threats in IT.
The practical part of the study deals with creating of penetration test methodology that reflects on current threats. By creating a methodology is then performed penetration test in the real business environment. The test is the final report, which was submitted to the management company. The report contains an analysis of threat researchers discovered during testing, the potential negative impact on society and the ways of defending against these threats.
Cílem této diplomové práce je popsat problematiku bezpečnostních auditů a penetračních testů ve firemním prostředí.
Teoretická část vysvětluje, ze kterých norem penetrační test vychází a přináší stručný přehled aktuálních hrozeb v oblasti IT.
Praktická část se pak zabývá vytvořením metodiky penetračního testu, která zohledňuje aktuální hrozby. Pomocí vytvořené metodiky je následně proveden penetrační test v reálném firemním prostředí. Součástí testu je závěrečná zpráva, která byla předána vedení společnost. Zpráva obsahuje analýzu zabývající se hrozbami nalezenými při testování, možným negativním dopadem na společnost a způsoby obrany proti těmto hrozbám.
Annotation in English
The aim of this thesis is to describe the problems of security audits and penetration testing in the corporate environment.
The theoretical part explains on which standards of penetration test is based and at the same time it presents a brief overview of the current threats in IT.
The practical part of the study deals with creating of penetration test methodology that reflects on current threats. By creating a methodology is then performed penetration test in the real business environment. The test is the final report, which was submitted to the management company. The report contains an analysis of threat researchers discovered during testing, the potential negative impact on society and the ways of defending against these threats.
Popište normy, které musí penetrační test splňovat.
Specifikujte aktuální bezpečnostní hrozby v oblasti IT.
Navrhněte metodiku penetračního testu.
Realizujte penetrační test v reálném prostředí.
Na základě analýzy provedeného testu, navrhněte možnosti ochrany před detekovanými zranitelnostmi.
Research Plan
Popište normy, které musí penetrační test splňovat.
Specifikujte aktuální bezpečnostní hrozby v oblasti IT.
Navrhněte metodiku penetračního testu.
Realizujte penetrační test v reálném prostředí.
Na základě analýzy provedeného testu, navrhněte možnosti ochrany před detekovanými zranitelnostmi.
Recommended resources
SELECKÝ, Matúš. Penetrační testy a exploitace. 1. vyd. Brno: Computer Press, 2012, 303 s. ISBN 978-80-251-3752-9.
LONG, Johnny. Google hacking: for penetration testers. Vyd. 1. Rockland: Syngress Publishing, 2005, 502 s. ISBN 19-318-3636-1.
FAIRCLOTH, Jeremy. Penetration tester's open source toolkit: for penetration testers. 3rd ed. Waltham, MA: Elsevier/Syngress, c2011, xxi, 441 p. ISBN 15-974-9627-8.
KÜMMEL, Roman. XSS: Cross-Site Scripting v praxi : o reálných zranitelnostech ve virtuálním světě. 3rd ed. Zlín: Tigris, 2011, 330 s. ISBN 978-80-86062-34-1.
SVATÁ, Vlasta. Audit informačního systému: Cross-Site Scripting v praxi : o reálných zranitelnostech ve virtuálním světě. Vyd. 1. Praha: Oeconomica, 2005, 167 s. ISBN 80-245-0975-X.
INSTITUTE, IT Governance. COBIT? 4.1: framework, control objectives, management guidelines, maturity models. Vyd. 1. Rolling Meadows, IL: IT Governance Institute, 2007, 167 s. ISBN 19-332-8472-2.
GREGORY, Peter H. All-in-one CISA certified information systems auditor exam guide: framework, control objectives, management guidelines, maturity models. Vyd. 1. New York: McGraw-Hill, c2010, xxiv, 645 p. ISBN 00-714-8755-7.
GREGG, Michael a David LEBLANC. CISA: animated optical illusions. Vyd. 1. Indianapolis, IN: Que Pub., c2007, xiii, 578 p. Best practices (Redmond, Wash.). ISBN 07-897-3573-3.
Recommended resources
SELECKÝ, Matúš. Penetrační testy a exploitace. 1. vyd. Brno: Computer Press, 2012, 303 s. ISBN 978-80-251-3752-9.
LONG, Johnny. Google hacking: for penetration testers. Vyd. 1. Rockland: Syngress Publishing, 2005, 502 s. ISBN 19-318-3636-1.
FAIRCLOTH, Jeremy. Penetration tester's open source toolkit: for penetration testers. 3rd ed. Waltham, MA: Elsevier/Syngress, c2011, xxi, 441 p. ISBN 15-974-9627-8.
KÜMMEL, Roman. XSS: Cross-Site Scripting v praxi : o reálných zranitelnostech ve virtuálním světě. 3rd ed. Zlín: Tigris, 2011, 330 s. ISBN 978-80-86062-34-1.
SVATÁ, Vlasta. Audit informačního systému: Cross-Site Scripting v praxi : o reálných zranitelnostech ve virtuálním světě. Vyd. 1. Praha: Oeconomica, 2005, 167 s. ISBN 80-245-0975-X.
INSTITUTE, IT Governance. COBIT? 4.1: framework, control objectives, management guidelines, maturity models. Vyd. 1. Rolling Meadows, IL: IT Governance Institute, 2007, 167 s. ISBN 19-332-8472-2.
GREGORY, Peter H. All-in-one CISA certified information systems auditor exam guide: framework, control objectives, management guidelines, maturity models. Vyd. 1. New York: McGraw-Hill, c2010, xxiv, 645 p. ISBN 00-714-8755-7.
GREGG, Michael a David LEBLANC. CISA: animated optical illusions. Vyd. 1. Indianapolis, IN: Que Pub., c2007, xiii, 578 p. Best practices (Redmond, Wash.). ISBN 07-897-3573-3.