Założeniem testów penetracyjnych (pentestów) jest inicjowanie prób rzeczywistych ataków nakierowanych na uzyskanie nieautoryzowanego dostępu do danych i systemów. Wykorzystywane do testów narzędzia pozwalają na wychwycenie dróg potencjalnych ataków i ewentualnych skutków oraz analizę spójności i dostępności środowiska. Zebrane informacje wiążą ze sobą zidentyfikowane luki, dając dogłębny obraz stanu.
Określenie stanu zagrożenia pozwala na zaplanowanie najlepszych sposobów zabezpieczenia się przed ewentualnym atakiem. Chcąc zapewnić firmie wysoki poziom bezpieczeństwa, trzeba postawić na kompleksowe rozwiązania, wdrażając odpowiednie standardy na wielu obszarach - łącznie z testami penetracyjnymi i edukacją pracowników. Stuprocentowa gwarancja byłaby w tym przypadku przesadą, bo zawsze pozostaje margines niepewności w postaci np. ludzkiego błędu, jednak optymalne zaplanowanie ochrony to pewność, że firma zrobiła wszystko, by zapobiec atakom. Dzięki określeniu potencjalnego wpływu wykrytych luk na dany biznes, można stworzyć raport obrazujący skalę zagrożenia.
Częstym motywem działań cyberprzestępców jest sabotaż czy podłączenie komputera do tzw. botnetu, czyli nielegalnej sieci komputerów kontrolowanej przez przestępców do wysyłania spamu, kontrolowania zmasowanego ataku na inne firmy czy pozyskanie mocy obliczeniowej zarażonego komputera. Cyberprzestępcy nieustannie czyhają na nieostrożnych użytkowników. Łatwy zysk to dla nich wystarczająca zachęta. Z doświadczenia wiemy, że dzięki dobraniu odpowiednich narzędzi, dostosowanych do potrzeb organizacji, można tego uniknąć, eliminując luki, określając ryzyko i wdrażając odpowiednie zabezpieczenia. Bywa jednak, że o dopełnieniu systemu bezpieczeństwa myśli się dopiero po fakcie, gdy straty i środki na ich pokrycie są nieporównywalnie wyższe.
Zarządzanie ryzykiem wymaga identyfikacji podatności na niebezpieczeństwa. I mowa tu nie tylko o sektorze bezpieczeństwa w firmie. Zewnętrzne testy pozwalają na pełniejszą ocenę źródeł zagrożeń. Tego typu działania mogą przynieść szereg korzyści oraz ustrzec firmę przed stratami finansowymi, utratą klientów, wyciekiem informacji, nadszarpnięcia PR-u. Bilans wydaje się dość oczywisty.
Firmy na zachodzie już dawno zauważyły dużą potrzebę przeprowadzania praktycznej weryfikacji poziomu bezpieczeństwa swojej infrastruktury. W Polsce ta świadomość dopiero nadchodzi, poczynając od sektorów najbardziej krytycznych takich jak banki czy operatorzy telekomunikacyjni, gdzie testy bezpieczeństwa są na stałe wkomponowane w harmonogram utrzymania infrastruktury. W ślad za nimi podążają kolejne branże, które chętnie biorą sprawdzone wzorce w których bezpieczeństwo jest na bardzo wysokim poziomie.
I to częściej aniżeli przypuszczamy. Za przykład może tu posłużyć np. włamanie do Kompani Węglowej, sieci Piotr i Paweł czy Komputronika. Natomiast z sektora publicznego atakom uległa Kancelaria Premiera, Kancelaria Prezydenta, Ministerstwo Obrony Narodowej, Ministerstwo Spraw Zewnętrznych, Ministerstwo Gospodarki, Państwowa Komisja Wyborcza czy Giełda Papierów Wartościowych. W większości tych przypadków włamania były dokonywane stosunkowo prostymi metodami, jednak pomimo tego skala skutków włamań była ogromna.
Wspomniane dwa środowiska, domowe i firmowe, mają zgoła odmienną specyfikę. W pierwszym skupiamy ochronę na własnym komputerze i zamykamy się przed wszelką komunikacją przychodzącą. W firmie natomiast oprócz stacji roboczych, mamy również serwery które komunikują się z komputerami w sieci lokalnej jak i wystawiają usługi do Internetu. W takim przypadku nie możemy narzucać tak restrykcyjnych reguł na komunikację sieciową. Potrzeba scentralizowanych narzędzi które pozwolą mieć wgląd na to co dzieje się w całej sieci jak i na poszczególnych elementach infrastruktury. Utrzymywanie pełnej kontroli i wiedzy o zdarzeniach jest kluczowe w środowisku firmowym. Niejednokrotnie składa się na to wiele urządzeń, odpowiednio dobrana polityka bezpieczeństwa i ciągłe nakłady finansowe i czasowe aby utrzymać infrastrukturę w optymalnym stanie.
Artykuł został przygotowany przez zespół redakcyjny SANSEC Poland S.A., firmy która jest ekspertem w zakresie bezpieczeństwa IT w tym testów penetracyjnych oraz audytów bezpieczeństwa.
REKLAMA |
REKLAMA |