Bezpečnost IT a penetrační testy

Jsme ve válce. Nemáme na mysli válku, která bohužel zuří na východ od našich hranic, ale válku kybernetickou. Bezpečnost IT neustále čelí náporu útoků na infrastrukturu, aplikace, a dokonce i nejslabší články kybernetického zabezpečení – samotné uživatele vystavované palbě sociálního inženýrství a phishingu. Jakmile kybernetičtí útočníci odhalí a zaměří slabá místa vaší IT bezpečnosti, bývá už obvykle pozdě. Buďte rychlejší než oni a identifikujte trhliny vaší obranyschopnosti pomocí penetračních testů.

Co si pod pojmem penetrační testy (někdy též zkráceně „pentesty“) můžete představit? Jde o testování IT bezpečnosti, kdy se v zásadě použijí stejné zbraně jako při skutečném hackerském útoku. Podstatný rozdíl je v tom, že tentokrát stojí hackeři na vaší straně a jejich útok je simulovaný do té míry, že nedojde k omezení, nebo dokonce narušení provozu vašich IT systémů. Nejedná se totiž o kybernetické útočníky stojící na opačné straně zákona, nýbrž. certifikované experty na bezpečnost informací, tzv. etické hackery („white hats“). Jejich cílem není odcizení vašich dat, ale analýza bezpečnosti IT systémů, odhalení slabin ve vaší obranyschopnosti, a především doporučení kroků k nápravě odhalených zranitelností.

Proč jsou penetrační testy důležité?

Jak už bylo uvedeno výše, pomocí penetračních testů odhalíte a minimalizujete nedostatky ve vaší IT bezpečnosti. Pokud máte dojem, že už jste do zajištění vaší kybernetické bezpečnosti investovali až příliš značné množství prostředků – vezměte v potaz, že sebevyšší suma vynaložená na bezpečnost IT automaticky negarantuje 100% zajištění všech systémů, a rozhodně ne selhání či nedbalost vašich zaměstnanců nebo dodavatelů. Naštěstí můžete pentesty prověřit i samotné zaměstnance a pochopitelně i samotné systémy. Existují i penetrační testy webových aplikací nebo budov a fyzického zabezpečení. Snáze tak předejdete odchodu 3,6 % svých zákazníků. Tolik, jich totiž průměrně opustí společnost po ztrátě dat.

® Tip: Přečtěte si, jak penetrační testy ochrání vaše podnikání.

Jaký pentest můžete zvolit?

Typologie penetračních testů vychází z množství informací, které testerům poskytnete:

• Penetrační testy metodou black-box – v tomto případě se skutečně simuluje hackerský útok, kdy tester nezná vlastnosti a nedostatky vašich systémů. Tato metoda nejlépe odpovídá realitě. Určitou nevýhodou ale může být opomenutí či vynechání některého z testovacích cílů.

• Penetrační testy metodou white-box – jde v zásadě o opačný přístup, kdy testerům předáte všechny potřebné informace o vaší IT bezpečnosti a systémech. Tento pentest sice přímo neodpovídá reálnému útoku, zato mnohdy přináší hodnotnější výsledky pro následnou bezpečnostní analýzu.

• Penetrační testy metodou grey-box – jsou potom kombinací výše uvedených metod, kdy testerům poskytnete pouze částečné informace s tím, že další si od vás mohou vyžádat dle průběžných výsledků v okamžiku, kdy odhalí podezření na zranitelnost v rámci vaší bezpečnosti IT.

Ani jednou metodou exploitací nelze odhalit všechna zranitelná místa. Možnosti penetračních testů jsou totiž limitované přidělenými prostředky (finance, čas a personál). Proto byste se měli zaměřit hlavně na zranitelná místa a chyby, které pro společnost představují největší riziko.

Trendy v penetračním testování

V žádném oboru nepřibývají novinky tak rychle jako v IT a výjimku nepředstavují ani pentesty. V současnosti se tedy penetrační testy provádí i s velmi úzkým a specifickým zaměřením zohledňujícím specifika testované společnosti:

• DevSecOps – využívá trendových agilních metod a zahrnuje aktivity penetračního testování tím, že je přizpůsobivý a poskytuje včasnou detekci zranitelností na úrovni kódu. S tímto proaktivním přístupem můžete včas najít a napravit bezpečnostní rizika.

• AI a ML – aplikace umělé inteligence (AI) a strojového učení (ML) jsou jasným trendem napříč různými odvětvími, výjimkou nejsou ani pentesty. AI pomáhá s automatizací penetračních testů a poskytuje testerům další data pro lepší rozhodování.

• Cloudové pentesty – migrace do cloudu je dnes jasným trendem (či spíše realitou) a na ověření „cloudové bezpečnosti“ existuje speciální pentesting pro SaaS (software jako služba), IaaS (infrastruktura jako služba) i PaaS (platforma jako služba).

Pravidelné penetrační testování už není jen „zajímavým bonusem“, ale nutností pro každou společnost, aby mohla proaktivně řídit bezpečnostní rizika. Provedení penetračních testů byste tedy měli přinejmenším zvážit – a to raději dříve, než bude pozdě.

Zdroj obrázku: 13_Phunkod / Shutterstock.com