Penetrační testování: Ověřte odolnost, než bude pozdě
Ve všech fázích vývoje aplikací platformy GINIS klade společnost Gordic velký důraz na kybernetickou bezpečnost.
I přesto zákazníkům doporučuje a nabízí penetrační testování.
Kompletní výčet slabých míst informačního systému a bezpečnostních rizik lze získat až testováním v prostředí organizace. A přesně k tomu slouží penetrační testy.
Pokud vás napadá, že to jde tak trochu proti sobě, rádi vás vyvedeme z nemalého omylu.
Pořízení nejbezpečnějších vchodových dveří domu také není všespásné, pokud máte nekvalitní okna či bezpečnostní systém, chybně řešené větrací šachty, přístupný zadní vchod nebo „zfušované“ usazení samotných dveří.
A i kdybyste tohle všechno bravurně podchytili, může nebezpečí číhat v procesním nastavení – děti mohou půjčit klíč od vchodu pochybnému kamarádovi nebo si je snad kamarád může „půjčit“ sám během hodiny tělocviku.
Takhle nějak to funguje i ve světě IT.
Kompletní výčet slabých míst informačního systému a bezpečnostních rizik lze získat až testováním v prostředí organizace.
A přesně k tomu slouží penetrační testy.
CO JE TO PENETRAČNÍ TEST
Jedná se o podrobnou a komplexní analýzu zabezpečení infrastruktury, systémů i samotných aplikací, využívající zátěžové a další formy testů včetně simulací principů potenciálních útoků zevnitř i z externího prostředí, tedy z internetu.
Aplikace jsou podrobeny jak manuálnímu, tak i automatizovanému testování v režimu „black box“.
Výstupem je nejen report hrozeb a nedostatků, ale i soubor návrhů opatření k eliminaci či minimalizaci existujících rizik.
Gordic zajišťuje takové testování většinou v souvislosti s nasazením či rozvojem platformy GINIS u konkrétních organizací, dovedou však tento typ služeb zprostředkovat i pro ostatní využívané aplikace jiných dodavatelů.
Samozřejmě za předpokladu, že organizace a dodavatelé zajistí potřebné přístupy.
TESTOVÁNÍ V PRAXI
U webových aplikací (které jsou jednoznačným trendem současnosti) je po důkladném testování samotné aplikace klíčové ověřit i to, zda je možné ovlivňovat přidělená anonymní oprávnění a narušit tak integritu, dostupnost a samotnou důvěryhodnost aplikace, případně kompromitovat data.
Testy probíhají podle metodiky OWASP. Ta je doplněná dalšími postupy, které zkušení testeři vyhodnotí jako vhodné a relevantní pro daný typ aplikace či nastavení systému.
Proces tak obvykle zahrnuje i testování sítě a jejího nastavení, ochrany webu (firewall), protokolů, šifrování, ochrany dat i další kroky vycházející z metodických doporučení NÚKIB a legislativních předpisů (zejména zákon a vyhláška o kybernetické bezpečnosti).
NEDOKONALÝ VÝSLEDEK NENÍ OSTUDA
Viry a IT hrozby se neustále vyvíjí, infrastruktura zastarává, dodržování procesů mnohdy v čase slábne.
Pro všechny tvoří výsledky penetračních testů cenný podklad, například i pro ladění vyvíjených aplikací, které tak lépe dovedou čelit aktuálním hrozbám.
Poslední takovou optimalizaci prováděla společnost Gordic u řešení Portálu občana na základě testování v prostředí statutárního města Přerova.
Rozhodně by ničemu nepomohlo rizika, ač třeba minimální, bagatelizovat.
Řešení existuje i pro případ, kdy by vedení organizace mělo obavy z testování firmou, která je zároveň dodavatelem samotného řešení.
Umíme zprostředkovat penetrační testování externí firmou, která taktéž disponuje veškerou certifikací, profesionalitou a zkušenostmi v oboru.
DATA A ZNOVU DATA
Úskalím organizací veřejné správy je práce s aktuálně asi nejcennější komoditou – s daty.
Bezpečnost se tak stává nutností a liknavý přístup cestou do pekel. Pekel v podobě ztráty či krádeže dat nebo paralýze úřadu a nákladného návratu do normálu.
Penetrační testování by proto nemělo chybět v mozaice preventivních bezpečnostních opatření organizace ja- kékoliv velikosti.
Zdroj:
