Základní typologie bezpečnostních testů

Základní typologie bezpečnostních testů

26. 10. 2020
Úroveň bezpečnosti a odolnosti informačního systému organizace vůči kybernetickému útoku je otázkou, kterou si klade odpovědný manažer. Bezpečnost se samozřejmě snažíme zajistit mnoha různými způsoby. Nakupujeme služby, u kterých dodavatelé deklarují vysokou bezpečnost. Dále implementujeme technologie, které nás mají chránit, a připravujeme se na zvládnutí okamžiku, kdy k útoku dojde. Jaké testy k tomu můžeme využít?

Znáte úroveň bezpečnosti vašeho informačního systému?

 

Čím více úsilí do bezpečnosti našeho systému vkládáme, tím více stoupá i míra nejistoty, zda je naše snaha účelná a zda plní svůj cíl. Situace by se dala přirovnat k člověku, který pečuje o své zdraví – sportuje, zdravě se stravuje, ale přes veškerou snahu nemá jistotu, že je jeho zdravotní stav skutečně dokonalý. Až teprve absolvování podrobné lékařské kontroly může přinést klid.

Stejné to je i v případě bezpečnosti informačních systému. Teprve až bezpečnostní test prověřující všechna opatření nám dává odpověď na otázku, jaká je úroveň ochrany firemních dat a systémů proti případnému kybernetickému útoku.

 

Vybírat lze mezi třemi typy testů bezpečnosti

 

Bezpečnostní testy nejčastěji rozdělujeme do třech základních typů podle toho, jaký je způsob jejich provedení a jakému cíli mají sloužit. Základním testem je tzv. test zranitelností. Jeho smyslem je nalezení veškerých slabin, které by mohl případný útočník zneužít. Díky velmi širokému záběru poskytuje skutečně ucelený pohled na stav informačního systému. Zprávu z testu může IT oddělení, hlavní příjemce výsledků, využít jako seznam prohřešků, kterým je vhodné se věnovat.

 

Test zranitelností patří k nejčastějším nástrojům testování

 

Test zranitelností se provádí zpravidla pomocí kombinace bezpečnostních scannerů a manuálního ověřování zjištěných nálezů. Pro určení jeho náročnosti budeme potřebovat přehled o tom, jak rozsáhlá infrastruktura bude testována. Tento test je díky svým přínosům vhodný prakticky pro každý typ organizace, a proto je prováděn nejčastěji. Díky tomu je i nejvíce v obecném povědomí lidí. Často však bývá zaměňován za níže uvedený penetrační test.

 

Penetrační testy jsou ideálním řešením pro vyspělé organizace

 

Penetrační test je typem testování, prováděným u bezpečnostně více vyspělých organizací, které předpokládají dobré zabezpečení a chtějí se v tomto předpokladu ujistit.

Jeho hlavním cílem je ověřit, zda z pohledu útočníka nelze najít nějakou skulinu v zabezpečení, kterou lze proniknout. Na rozdíl od testu zranitelností není smyslem zjistit všechny zranitelností. Tester se při provádění penetračního testu snaží za kombinace množství technických nástrojů i sociálních technik nalézt takovou zranitelnost, která nejrychleji vede k cíli. Tím je získání chráněných informací nebo získání kontroly nad systémem. Jakmile takovou slabinu nalezne, přítomnost jiných zranitelností ho nezajímá. Náročnost pak není odvozena od velikosti informačního systému, ale od času, který tester stráví při pokusech o průnik.

 

Co je cílem penetračního testu?

 

Výsledkem je zjištění, zda se útok podařil, a pokud ano, jakých výsledků a s jakým úsilím bylo dosaženo. Pokud byl penetrační test z pohledu průniku úspěšný, je nezbytné provést pečlivou analýzu příčiny a případně se vrátit i ke komplexnímu otestování formou testu zranitelností. Penetrační test je skvělým nástrojem pro ujištění managementu organizace, že jsou všechny bezpečnostní procesy dostatečně funkční.

 

Penetrační testování lze doplnit o analýzu provozu a získat tak komplexní pohled na možná bezpečnostní rizika

 

Oba výše zmíněné typy testů se označují jako aktivní. U takových dochází k aktivnímu průzkumu stavu infrastruktury. A to může v některém prostředí přinášet nepřiměřené riziko. K čemu by byl bezpečnostní test, když by jeho následky byly nerozlišitelné od útoku.

Jako alternativa nebo doplněk se využívá tzv. monitoring/analýza provozu. Do citlivého prostředí je umístěna sonda provádějící pasivní sledování vedených datových komunikací. Sonda vyhledává symptomy probíhajících útoků, nežádoucího chování aplikací, uživatelů apod.

Výhodou této techniky je naprostá bezpečnost vůči provozovaným systémům. Nicméně možnost odhalení zranitelností na systémech je v porovnání s testem zranitelností pochopitelně menší. Tento typ testu bývá nejčastěji využíván jako doplněk k testování zranitelností. Tím je získaný výsledek skutečně komplexní z hlediska pokrytí možných bezpečnostních problémů.

 

S testováním vám poradí experti v oboru

 

Pro ověření bezpečnosti informačních systémů jsme vyvinuli vlastní efektivní postupy, které vám poskytnou komplexní pohled na úroveň zabezpečení vaší organizace. Naši experti pro vás zvolí rozsah testu i plán jeho průběhu zcela na míru. O postupu vás budeme průběžně informovat a postaráme se také o to, aby probíhající testy nijak nenarušily váš běžný provoz. Napište nám o konzultaci zdarma ještě dnes.

 

 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.