Stacks Image 114

Penetračné testovanie

Čo si predstavíte, keď počujete slovo bezpečnosť? Bezpečnostné dvere na svojom byte, airbag vo vašom aute, bankovú bezpečnostnú schránku? Crash-testy nezávislých inštitúcií sú vynikajúcim prostriedkom hodnotenia automobilov, na ich základe si môžete povedať, že váš automobil je skutočne bezpečný. A čo môžete povedať o vašom informačnom systéme? Ako dopadol v testovaní bezpečnosti? Kedy bol testovaný?
Väčšina súčasných firiem používa celý komplex rôznych systémov a aplikácií, vrátane integrácie služieb internetu. Pritom sa však v štandardných komerčných a voľne šíriteľných softvérových produktoch každý týždeň objavujú nové bezpečnostné chyby. Zneužitie týchto chýb môže vážne narušiť bezpečnosť a spôsobiť únik, stratu či zmenu údajov, stratu dostupnosti služieb alebo kontroly nad nimi.

Penetračné testy sú jednou zo základných možností ako môžete dôkladne, včas a hlavne nedeštruktívne preveriť zabezpečenie IT infraštruktúry vo vašej organizácii.
Gordias má s vykonávaním penetračných testov dlhoročné skúsenosti. Včasným odhalením existujúcich bezpečnostných slabín a prijatím vhodných opatrení vám môžeme pomôcť predísť značným stratám, ktoré by mohli vzniknúť pri úspešnom napadnutí útočníkom. Prostredníctvom efektívne realizovaného penetračného testu neohrozíme funkčnosť ani prevádzku vašich IS a prinesieme odpovede na otázky, ako sú napr. ďalšie potreby v oblasti informačnej bezpečnosti vo vašej organizácii.

Cieľom penetračného testu nie je poškodiť, ale pomôcť!
Aké prínosy vám prinesie penetračný test od Gordiasu?
  • prevencia finančných strát z dôvodu znefunkčnenia alebo iného zneužitia IS škodlivým kódom alebo fyzickou osobou,
  • nezávislé potvrdenie stavu bezpečnosti IT externou organizáciou,
  • dôkaz dobrej starostlivosti o IS voči akcionárom či vlastníkom,
  • posilnenie bezpečnosti IS organizácie a teda i jej celkového renomé na trhu,
  • ochrana značky a dobrého mena organizácie,
  • identifikácia zraniteľností a vyjadrenie pravdepodobnosti zneužitia, vyčíslenie potrebných zdrojov na potrebné bezpečnostné opatrenia.
Z pohľadu realizácie penetračného testu rozlišujeme:
  • Externý penetračný test, ktorý skúma stav zabezpečenia aktív vašej organizácie voči vonkajšiemu prostrediu – internetu,
  • Interný penetračný test, ktorý skúma stav zabezpečenia aktív z vnútorného prostredia – vnútornej siete organizácie.

Externý penetračný test

Prieniky z internetu, narušenie dostupnosti služieb či infiltrácia sú dnes vážnou hrozbou. Preto odporúčame periodicky prehodnocovať dostatočnosť, konzistentnosť a vhodnosť použitých bezpečnostných opatrení. Praktické overenie účinnosti vašich ochranných prvkov zabezpečí práve externé penetračné testovanie. Jeho základom je súbor simulovaných útokov cez internet vykonávaných kombináciou špecializovaných softvérových nástrojov a interaktívnych pokusov o prienik. Za dôležité pokladáme znovu zdôrazniť, že penetračné testovanie je nedeštruktívne.

Interný penetračný test

Pri internom penetračnom teste simulujeme prístup bežného neprivilegovaného používateľa (zamestnanca) pripojeného do internej siete organizácie, snažiaceho sa o získanie neoprávneného prístupu k citlivým informáciám, službám či infraštruktúre. Týmto testom prakticky preveríme vnútorné bezpečnostné mechanizmy vašej organizácie, ktoré majú zamedziť zamestnancom neoprávnené získanie alebo iné zneužitie citlivých informácií – a to úmyselne aj neúmyselne.
Štatistiky ukazujú, že viac ako 50% bezpečnostných incidentov spôsobujú interní používatelia.

Výstupom každého penetračného testu je záverečná správa, ktorá detailne popisuje jednotlivé zraniteľnosti identifikované vo vašej organizácii spolu s navrhnutými opatreniami. Vďaka kvalitne realizovanému penetračnému testu sa dozviete o zraniteľných miestach vašej infraštruktúry a predídete útoku alebo úniku informácií.
Záverečná správa:
  • dokumentuje vykonané bezpečnostné penetračné testy,
  • podrobne vysvetľuje penetračné testy, ak ich výsledok bol pozitívny (odhalili sa zneužiteľné chyby),
  • klasifikuje výsledky pozitívnych penetračných testov podľa ich významu,
  • odporúča postup odstránenia zistených bezpečnostných nedostatkov.
Dôverujete dostatočne bezpečnosti vášho informačného systému? Ak nie, dajte si ho otestovať u nás, veď aj anekdota hovorí, že kontrola je najvyššia forma dôvery. Penetračný test od Gordiasu najlepšie ukáže, v akom stave je váš IS pohľadu informačnej bezpečnosti spolu s návrhom na vyriešenie problematických oblastí.