Bezpečnost a penetrační testy – díl druhý

Jak jsme již v prvním díle psali, štěstí přeje připraveným! Naše divize ICT disponuje odborníky v oblasti počítačové bezpečnosti, kteří jsou vám k dispozici.

Pro úplný přehled, jak je na tom s bezpečností právě vaše síť, používáme specialisty v oblasti penetračního testování. Tímto způsobem jsme schopni ukázat, jak by vaše infrastruktura, procesy a zaměstnanci obstáli v případě reálného útoku. Z tohoto útoku pak vzniká dokument, ve kterém jsou popsány zjištěné skutečnosti, upozornění na nebezpečí a návrh, jak dané nedostatky a problémy řešit.

Penetrační test je metoda hodnocení zabezpečení počítačových zařízení, systémů nebo aplikací. Provádí se testováním, simulací možných útoků na tento systém jak zevnitř, tak zvenčí. Cílem penetračního testu není vyřešit bezpečnostní problémy, ale jistým způsobem prověřit, zhodnotit úroveň zabezpečení a podat souhrnnou zprávu, a to jak na úrovni technických (nastavení otevřených portů, verze systému), tak i organizačních opatření (podvod a sociální inženýrství skrze zaměstnance).

Tento proces zahrnuje podrobnou analýzu systému se zaměřením na případně bezpečnostní nedostatky vycházející z chybného nastavení systému, známých či neznámých hardwarových a softwarových nedostatků, nebo nedostatečných funkčních protiopatření. Analýza je prováděna z pohledu potenciálního útočníka a může (měla by) vést k odhalení výše zmíněných nedostatků. Výsledky získané během analýzy jsou prezentovány vlastníkovi systému. Důkladné testy by měly k výsledkům přikládat také informace o reálných důsledcích jednotlivých nedostatků jak na systém samotný, tak na jeho vlastníka a měly by také doporučit možná protiopatření pro zmírnění rizika prolomení systému.

Využití penetračních testů

  • Určují reálnou zneužitelnost určité skupiny vektorů útoku.
  • Odhalují velké bezpečnostní nedostatky, které mohou vzniknout nahromaděním menších nedostatku dosažených v určité sekvenci.
  • Odhalují nedostatky, které mohou být nezjistitelné pomocí automatické detekce systémových chyb.
  • Posuzují možné dopady na firmu jako takovou a na její ekonomiku v případě, že by k prolomení došlo.
  • Testují schopnost obraných prvků systému odhalovat aktuální útoky a náležitě na ně reagovat.
  • Poskytují podklady podporující zvýšené náklady na vývoj zabezpečení systému.

Při penetračních testech kombinujeme použití automatizovaných nástrojů a manuálních testovacích scénářů. Manuální fázi testů považujeme za hlavní přidanou hodnotu pro naše klienty, kdy zúročíme dlouholeté zkušenosti našich specialistů.

Dle požadavků zákazníka jsme schopni nabízené penetrační testy provést ve variantách s různou mírou znalosti o testovaném prostředí/systému (black-box, gray-box, white-box).

O svá data se nemusíte bát

Všechny aktivní testy a útoky provádíme po domluvě se zákazníkem a na základě jeho písemného svolení, stejně tak i dalších dotčených subjektů (ISP, správci, atd.). Při testování provádíme úkony, které by pravděpodobně prováděl i útočník, a tak je potřeba se nějak odlišit od lidí, kteří provádí trestní činnost. Musíme předpokládat, že by se situace obrátila proti nám a například by někdo podal trestní oznámení. Tester poté musí mít důkazy o legálnosti každého jeho úkonu. Před jakýmkoliv testem se musí stanovit jasné mantinely. Určí se čas, cíle testu (adresy, domény, emaily, osoby) a často i něco, co vás odliší od ostatních při zpětném šetření (user-agent, IP, specifická hlavička HTTP atd.).

Další články z blogu

7. 6. 2022
Byznys Apps Day: Bezpečnost je permanentní proces

V úterý 24. 5. jsme měli „premiéru“ v pražském kině Přítomnost Žánr: psychothriller inspirovaný skutečnými událostmi V hlavní roli: hackeři všeho druhu Náš...

Přečíst
1. 6. 2022
Dejte si pozor! Závažná zranitelnost CVE-2022-30190

autor: Ing. Filip Lang, Vedoucí oddělení Implementace a realizace Národní úřad pro kybernetickou a informační bezpečnost upozorňuje na závažnou zranitelnost...

Přečíst
4. 5. 2022
Žhavá témata v kybernetické bezpečnosti: NÚKIB

Je z hlediska bezpečnosti lepší používat Signal, Messenger nebo WhatsApp? Jaká jsou aktuálně žhavá témata v oblasti bezpečnosti v kyberprostoru? Jak se...

Přečíst
(c) 2021 NWT a.s.
Website by NWT Marketing
menu-circlecross-circle
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram