S ověřením kybernetické bezpečnosti vašich systémů mohou pomoci penetrační testy. Ale co to penetrační test vlastně je? Co obnáší? A není to nebezpečné?
Penetrační test (nebo taky pen-test) je v podstatě simulací reálného hackerského útoku, jenom s tím rozdílem, že firma, která test provádí, vám žádná data neukradne. Navíc dostanete podrobnou zprávu o stavu svých bezpečnostních systémů s doporučením, co je třeba doladit. „Pen-test audity“ si nechávají dělat i největší nadnárodní korporace, které si velmi dobře uvědomují, jak je ochrana jejich dat důležitá. Jak tedy takový test probíhá?
V první fázi si vy sami musíte určit několik věcí:
Vykonavatel pen-testu musí vědět, po čem vlastně jde. Může jít o konkrétní data, neoprávněný přístup do systému nebo i fyzické proniknutí do určené lokality.
Jak moc si „hackeři“ přejí vaše data získat? Dávají do toho úplně všechno, nebo to jen tak zkouší? Primárním faktorem je citlivost vašich dat a atmosféra konkurenčního prostředí. V některých podnikatelských sférách jsou nekalé konkurenční metody běžnou praxí. Dále je třeba si určit, kolik informací o vás útočník má, podle toho se také testování dělí:
Jsou nějaké části systému, které si testovat nepřejete? Potřebujete vymezit čas, kdy simulované útoky probíhat nesmějí? Úspěšný průlom může totiž vaše systémy dočasně vyřadit z provozu, a to by se uprostřed vyřizování velké zakázky nehodilo. To vše je třeba určit předem.
Pen-testeři budou hledat slabiny vašich systémů, ať už pomocí automatických, semi-automatických nebo manuálních metod. Pokud nějaké slabé místo objeví, provedou samotný penetrační útok a zjistí, jaká data se touto cestou dají získat. Získané poznatky dostanete zpět ve výsledné zprávě.
Metod penetračních testů je více:
Všechny typy penetračních testů mají svá pro a proti, nejideálnější je však jejich kombinace. Testování kybernetické bezpečnosti spočívá v kontrole softwaru, testování fyzické bezpečnosti je kontrola zabezpečení budov firmy, zda nelze provést kybernetický útok přímo zevnitř, a testování s pomocí sociotechnických metod se zaměřuje na vaše zaměstnance. Ti musí vědět, jak rozpoznat nebezpečný e-mail od běžné firemní komunikace a dokázat správně rozpoznat a reagovat na případné napadení.
Po skončení testování dostanete kompletní zhodnocení své bezpečnostní situace. Seznam všech slabých míst a údajů, které se skrz ně podařilo získat, společně s doporučením, jak systém vylepšit. Seznam bude řazen podle velikosti bezpečnostního rizika a plný technických podrobností, vaši IT pracovníci už budou vědět, co s tím.
Penetrační testy jsou dnes v podnikání na úrovni v podstatě nezbytné. Data jsou vaší nejcennější komoditou a jejich ochrana by pro vás měla být na prvním místě. Na českém trhu se pohybuje celá řada odborníků, kteří vám poskytnou, co potřebujete. Získejte bezplatnou konzultaci na penetrační test, nejlépe ještě dnes.
