Penetrační testy a etický hacking aneb odhalte problémy dříve, než je objeví hackeři
Myslíte si, že se napadení hackerem Vaší společnosti netýká, protože je jen střední velikosti a hackeři se přece soustředí jen na velké ryby? TO JE OMYL! Právě naopak. Hackeři se čím dál častěji zaměřují na střední a menší společnosti. Detailně si Vás proklepnou a zjistí, kde jsou Vaše nejslabší místa. Dokážou určit, který zaměstnanec bude nejjednodušším cílem útoku, jaká data jsou pro Vás nejcennější, ale i to, jak vysoké výkupné ještě budete schopni zaplatit.
Jak se dají najít citlivá místa ve Vaší IT bezpečnosti? Hackerským útokem!
Nebojte se, nepustíme na Vás hackera. Nebo teda pustíme, ale etického. Proces, při kterém profesionál na IT bezpečnost nasimuluje útok na Váš počítačový systém nebo síť, samozřejmě s Vaším svolením, se nazývá penetrační testování. To, že je útok simulovaný ale neznamená, že nebude stejně kvalitní jako by byl útok skutečný. Rozdíl je v tom, že při penetračním testu nedojde k úniku Vašich dat, ta nebudou zneužita a ani použita proti Vám a Vaší firmě.
Proč penetrační testování dělat?
Protože to bude levnější a méně bolestivé než placení výkupného za data, případně jejich obnova a řešení dalších následků po skutečných hackerech.
Kdy?
Kdykoliv, ale co nejdřív! Zvlášť pokud v koutku duše tušíte, že Vaše IT bezpečnost není 100%. Varování: úspěšně provedený penetrační test, kdy se Vám etičtí hackeři dostanou do důležitých systémů nebo dat Vaší firmy, může způsobit velké rozčarování a rozhořčení některých lidí…
Kde?
U Vás ve firmě, na síti, na serveru, v cloudu…záleží, co všechno používáte a jak moc detailní testování chcete. Typů testů je hned několik:
Externí testuje, jak by vypadal útok na Vaši firmu zvenku, tedy to, co by dělal skutečný hacker. Testuje Váš vnější perimetr a jak odolá útoku zvenčí.
Interní testuje, jak by vypadal útok zevnitř – naštvaný zaměstnanec, dodavatel, nebo třeba špičkový hacker, který by se dostal za perimetr.
Slepý test je když…se specialistovi simulujícímu útok nedají žádné informace, je tedy odkázán pouze na veřejně dostupné informace.
Dvojitě slepý test navíc ze simulace vynechá i Vaše IT a ostatní zaměstnance. To zajistí, že se testuje skutečný a obvyklý stav.
Cílený test je pak takovou přetahovanou mezi IT oddělením a etickým hackerem. Jedná se o testování předem dohodnuté oblasti. Je méně náročný na čas a přípravu, má ale nejmenší přínos, protože poskytuje jen částečný náhled na skutečný stav bezpečnosti celého systému.
Jak?
Celý proces má většinou čtyři fáze:
- Dohoda na tom, co a jak se bude testovat, kdo o tom bude vědět a podpis smlouvy.
- Příprava a skenování – aktivní prozkoumání testovaných systémů, celkový test známých zranitelností (je vždy aktualizovaný), určení dalšího postupu na základě získaných informací a konzultace s kontaktní osobou zákazníka.
- Fáze útoku – etický hacker využije všechna zjištění k pokusu o průnik do Vašich systémů.
- Sestavení závěrečné zprávy, kde jsou popsány všechny výsledky a zjištění, obsahuje také doporučení na posílení jednotlivých částí Vaší IT ochrany. Většinou má kompletní shrnutí rozsahu, metodiky a zjištění – tato část je vhodná pro management. Druhou částí je detailní technická zpráva, která slouží pro technický personál zákazníka a obsahuje veškeré zjištěné zranitelnosti, včetně ohodnocení jejich závažnosti a návrhy postupu jejich odstranění.
Chcete o penetračních testech vědět víc? Ozvěte se nám. Nabízíme Vám hodinovou konzultaci zdarma.