PEN test, Penetracijski test

Informacijska varnost je proces, ki potrebuje konstantno pozornost in izboljšave pri čemer pa nam pomagajo varnostni testi. Z njimi lahko ocenimo stopnjo oziroma možnost ranljivosti in posledično zmanjšati s številnimi IT varnostnimi testi, s katerimi organizacija pridobi poglobljene informacije o stopnji varnosti IT sistemov.

Odlično identifikacijo ranljivosti pa ocenjujejo tudi penetracijski testi. Penetracijski test lahko opredelimo kot legalen in avtoriziran poskus napada na informacijski sistem z namenom odkrivanja ranljivosti, ki bi jih lahko izkoristili hekerji. Sam postopek penetracijskega testiranja vključuje tako iskanje ranljivosti v programski in strojni opremi kot tudi izvedbo napada, s katerim pokažemo, da so ranljivosti realne in da jih je mogoče izkoristiti.

Postopek se zaključi s pregledom odkritih ranljivosti in priporočili, kako le te odpraviti. Penetracijski test nam pomaga pri zaščiti informacijskih sistemov pred napadi v prihodnosti in  je sestavni del celovitega načrta zagotavljanja kibernetske varnosti.

Gre za naložbo v kibernetsko in informacijsko varnost.

Penetracijski test nam omogoča pregled varnosti informacijskega sistema, odkrivanje njegovih ranljivosti, preden jih lahko izkoristijo napadalci, zagotavljanje skladnosti z zakonodajo in regulativami ter izboljšanje informacijske varnosti. Hkrati pa omogoča podjetjem oceniti varnost svojega informacijskega sistema, saj pokaže katera področja informacijskega sistema so s stališča varnosti dobro pokrita in katera potrebujejo izboljšave. Teste izvajajo le strokovnjaki na tem področju, ki delujejo kot etični hekerji.

Ko se podjetje odloči, da bo najelo zunanje strokovnjake za preizkus svojih varnostnih mehanizmov in rešitev je pomembno, da se skupaj določijo cilji samega napada in da slednji pojasnijo namen preizkusa, s katerim se morata obe strani strinjati in to tudi pisno potrditi. Nato sledi faza zbiranja informacij in referenc, ki se jo skupina etičnih hekerjev loti z istimi orodji in metodami, kot »tipični« napadalci. Nato se oblikuje sama gažnja oz. napad, kateri sledi analiza občutljivosti.

Tukaj je pomembno poudariti, da lahko penetracijski test povzroči kritično okvaro produkcijskega sistema, zato mora naročnik zagotoviti ustrezno zavarovanje odgovornosti. Podrobnosti preizkusa morajo prav tako biti predstavljanje zavarovalnici, ki se mora z njimi strinjati.

Ko bodo vsi testni parametri dogovorjeni, mora podjetje z izvajalcem doreči še, kako bo penetracijski test izvedla v praksi. Po navadi o tem ne obvestijo ostale zaposlene, ključno je, da ima vodstvo jasno in natančno predstavo o samem poteku testa. Nato sledi sama faza vdora, po slednjemu pa se izdela načrt nadgradnje obrambe in sistema, da se ranljivosti, ki so bile v testu identificirane, odstranijo. Pri tem je poseben poudarek namenjen odpravljanju odkritih varnostnih lukenj, nadaljnji zaščiti IT sredstev in podatkov, opredelitvi tveganja in oceni morebitnih finančnih izgub v primeru kibernetskega napada.