Nejlepší obranou je útok. V případě kybernetické ochrany ale máme na mysli útok do vlastních řad. Mluvíme o speciálních testech bezpečnosti, tzv. penetračních testech (pentestech) prováděných etickými hackery. Nejenže dovedou zjistit nežádoucí chování aplikací a nedostatky systémů, ale především bezpečně odhalí zranitelná místa vaší kybernetické ochrany.
Představte si, že provozujete banku s bezpečnostními schránkami a chtěli byste otestovat, zda jsou schránky skutečně důkladně zabezpečené. Najmete si tedy bezpečnostního experta, který se pokusí překonat vaše zabezpečovací zařízení a získat ke schránkám přístup. A přesně takto probíhají pentesty – najmete si experta na bezpečnost informací, etického hackera, a necháte jej hacknout váš vlastní systém. Penetrační testy jsou tedy jakýmsi simulovaným a kontrolovanýmhackerským útokem. Cílem útočníků však není odcizit či poškodit vaše data. Výstupem je analýza bezpečnosti IT systémů, včetně doporučení kroků k nápravě odhalených zranitelností.
® Tip: Přečtěte si, jak penetrační testy ochrání vaše podnikání.
Jaký test bezpečnosti zvolit?
Odborníci provádí mnoho typů penetračních testů. Jejich základní dělení vychází z toho, kolik informací hodláte etickým hackerům předat:
- black-box – hacker skutečně simuluje reálný kybernetický útok, tedy vystupuje v roli útočníka, který nezná nedostatky vašich systémů a nemá o nich žádné dodatečné informace. Tento typ testu bezpečnosti nejlépe odpovídá realitě, na druhou stranu během něj může dojít k možnému opomenutí či vynechání některého z testovacích cílů.
- white-box – hackerovi předáte potřebné informace o vaší kybernetické ochraně a systémech (vč. bezpečnostních nedostatků systémů). Test sice přímo neodpovídá reálnému útoku, ale obvykle přináší relevantnější a hodnotnější výsledky pro následný ICT audit.
- grey–box – jedná se o kombinaci výše uvedených přístupů, hackerům tedy poskytnete pouze částečné informace s tím, že další si od vás mohou vyžádat dle průběžných výsledků, pokud se vyskytne podezření na nedostatek bezpečnosti systému.
Jakmile se dohodnete na preferovaném způsobu provedení testu, zvolíte rozsah a zacílení. Testovat lze každé místo vaší infrastruktury:
Webové pentesty
Bezpečnostní testy webových aplikací ověřují celkové zabezpečení a potenciální rizika webových aplikací, včetně chyb v kódu, nefunkční autentifikace a dalších zranitelností.
Pentesty zabezpečení sítě
Hackeři se zaměřují na testování kybernetické ochrany sítě tím, že využívají a odhalují zranitelnosti na přidruženém síťovém HW i SW. Jejich cílem je využít i nedostatky, jako jsou slabá hesla nebo špatně nakonfigurovaná zařízení, aby získali přístup ke kritickým systémům nebo datům.
Cloudové pentesty
Hackeři úzce spolupracují s poskytovateli cloudových služeb při navrhování zabezpečení cloudu pro cloudové systémy a aplikace. Cloudové bezpečnostní testy ověřují zabezpečení cloudového řešení, identifikují celkové riziko a pravděpodobnost pro každou zranitelnost.
Pentesty zabezpečení IoT zařízení
Největší nevýhodou internetu věcí je bezpečnost. Spolu s tím, jak se rozvíjí digitální technologie, se totiž rozvíjí i hackeři, kteří jsou připraveni váš systém kdykoliv napadnou a celou firmu tak sabotovat. Během IoT pentestů etičtí hackeři analyzují každou IoT komponentu a jejich vzájemnou interakci mezi nimi.
Pentesty zabezpečení vůči praktikám sociálního inženýrství
Sociální inženýrství je taktika, která zahrnuje použití podvodu za účelem získání přístupu nebo informací, které budou použity pro škodlivé účely. Nejběžnějším příkladem je praktika typu phishing. Hackeři používají phishingové nástroje a e-maily přizpůsobené organizaci k testování obranných mechanismů, detekčních a reakčních schopností, a dokonce i k hledání zaměstnanců náchylných k phishingu.
Jak často provádět testy bezpečnosti?
Bezpečnostně vyspělé organizace provádějí penetrační testování na pravidelné bázi. Přínos penetračních testů (tj. zlepšení kybernetické ochrany a bezpečnosti IT) se totiž projeví až po jejich pravidelném opakování. V takovém případě totiž můžete čerpat výhod srovnávací ICT analýzy – porovnáním současných a předchozích analýz jednoduše zjistíte, zda jste přijali k nápravě všechny zjištěné nedostatky, a navíc, jestli něco nechybí v rozsahu testu. Pokud to s kybernetickou bezpečností myslíte vážně, měli byste pravidelné provádění penetračních testů přinejmenším zvážit.
