Jak by vaše IT zabezpečení ustálo kybernetický útok? Zajímá vás, kde v rámci vaší informační infrastruktury máte slabá místa a kam až pronikne ruka zkušeného i amatérského hackera? Využijte metod penetračního testování a zjistěte, jak si se svou ochranou dat stojíte.
Co je penetrační testování a kybernetická bezpečnost
Penetrační testy neboli pentesty slouží k prověření bezpečnosti IT systémů. Jedná se o metodu, která pomocí simulace reálného hackerského útoku hodnotí zabezpečení:
- serverů,
- aplikací,
- dat.
Penetrační testování je nástrojem kybernetické bezpečnosti, která má za cíl maximální ochranu počítačových systémů a sítí před neoprávněným útokem a počítačovou kriminalitou. Ochranu utajovaných informací v oblasti informačních systémů má pod palcem NÚKIB (Národní úřad pro kybernetickou bezpečnost).
Cíle penetračního testování
Penetrační testy se doporučují provádět pro všechny organizace alespoň jednou ročně, zejména pokud jste ve fázi akvizice, fúze nebo umístění nového produktu na trh. Velké firmy s rozsáhlou IT infrastrukturou by měly testovat zabezpečení svých systémů i několikrát do roka. Hlavní cíle pentestů jsou:
- odhalit zranitelná místa,
- minimalizovat výskyt potenciálních hrozeb,
- zajistit komplexní přehled o stavu infrastruktury,
- poskytnout podklady pro analýzu rizik,
- splnit požadavky normy ISO/IEC 27001 / Zákona o kybernetické bezpečnosti.
Jaké jsou metody penetračního testování?
Existují různé typy penetračního testování. Jejich výběr záleží na množství dostupných informací ohledně informačních systémů. Rozlišujeme tři základní metody pentestů.
1. White box
Jako white box neboli bílá skříňka se označuje metoda testování systémů, kdy tester obdrží dostatek podkladů a informací včetně zdrojových kódů aplikací. Díky poskytnutí přihlašovacích údajů a síťových map může být aplikace otestována i bez nutnosti spuštění. Tester má přehled o vnitřní struktuře daného softwaru, což mu umožňuje otestovat situace, které nejsou z vnějšího pohledu patrné, jako je například zadání neočekávaných vstupních hodnot.
2. Black box
Při použití testu black box neboli černá skříňka nemá tester přístup k programovému kódu. Díky omezeným informacím o prostředí softwaru probíhá penetrační testování jako simulace útočníka bez jakékoliv znalosti systému. Tento uživatelský pohled sice může být blíž reálnému útoku, nevýhodou ale je, že nemusí odkrýt všechny hrozby a snižuje pravděpodobnost nalezení cílů testování. V tomto případě se sleduje výsledek po zadání vstupních dat.
3. Grey box
Kombinace obou pentestů se nazývá grey box neboli šedá skříňka. Jedná se nejčastěji o testování aplikace skrze uživatelské rozhraní. Tester má k dispozici kromě informací o vstupech a výstupech také znalosti o vnitřních procesech daného softwaru. Podklady nejsou tak obsáhlé jako při testování white box, ale jsou nad rámec black boxu. Tento případ nastává asi nejčastěji a je u zákazníků nejvyhledávanější i pro svou časovou nenáročnost.
Sociální inženýrství
Speciální formou penetračního testování je sociální inženýrství, které se zaměřuje na potenciální vnitřní hrozby. V reálu to znamená, že původcem úniku dat jsou vlastní zaměstnanci. Příčinou toho, že slabým místem kybernetické bezpečnosti jsou právě zaměstnanci, může být nedostatečné proškolení nebo jednoduše nepozornost a důvěra v podvodné chování hackerů. Přečtěte si více o pentestech využívajících techniky sociálního inženýrství.
Úvodní obrázek: Pikwizard.com