Penetracijski testi

Informacijska varnost je proces, ki potrebuje konstantno pozornost in izboljšave pri čemer pa nam pomagajo varnostni testi. Z njimi lahko ocenimo stopnjo oziroma možnost ranljivosti in posledično zmanjšati s številnimi IT varnostnimi testi, s katerimi organizacija pridobi poglobljene informacije o stopnji varnosti IT sistemov – Odlično identifikacijo ranljivosti pa ocenjujejo predvsem penetracijski testi.

Penetracijski test lahko opredelimo kot legalen in avtoriziran poskus napada na informacijski sistem z namenom odkrivanja ranljivosti, ki bi jih lahko izkoristili hekerji. Sam postopek penetracijskega testiranja vključuje tako iskanje ranljivosti v programski in strojni opremi kot tudi izvedbo napada, s katerim pokažemo, da so ranljivosti realne in da jih je mogoče izkoristiti.

Postopek se zaključi s pregledom odkritih ranljivosti in priporočili, kako le te odpraviti. Penetracijski test nam pomaga pri zaščiti informacijskih sistemov pred napadi v prihodnosti in  je sestavni del celovitega načrta zagotavljanja kibernetske varnosti.

Gre za naložbo v kibernetsko in informacijsko varnost.

Penetracijski test nam omogoča pregled varnosti informacijskega sistema, odkrivanje njegovih ranljivosti, preden jih lahko izkoristijo napadalci, zagotavljanje skladnosti z zakonodajo in regulativami ter izboljšanje informacijske varnosti. Hkrati pa omogoča podjetjem oceniti varnost svojega informacijskega sistema, saj pokaže katera področja informacijskega sistema so s stališča varnosti dobro pokrita in katera potrebujejo izboljšave. Teste izvajajo le strokovnjaki na tem področju, ki delujejo kot etični hekerji.

Ko se podjetje odloči, da bo najelo zunanje strokovnjake za preizkus svojih varnostnih mehanizmov in rešitev je pomembno, da se skupaj določijo cilji samega napada in da slednji pojasnijo namen preizkusa, s katerim se morata obe strani strinjati in to tudi pisno potrditi. Nato sledi faza zbiranja informacij in referenc, ki se jo skupina etičnih hekerjev loti z istimi orodji in metodami, kot »tipični« napadalci. Nato se oblikuje sama gažnja oz. napad, kateri sledi analiza občutljivosti.

Tukaj je pomembno poudariti, da lahko penetracijski test povzroči kritično okvaro produkcijskega sistema, zato mora naročnik zagotoviti ustrezno zavarovanje odgovornosti. Podrobnosti preizkusa morajo prav tako biti predstavljanje zavarovalnici, ki se mora z njimi strinjati.

Ko bodo vsi testni parametri dogovorjeni, mora podjetje z izvajalcem doreči še, kako bo penetracijski test izvedla v praksi. Po navadi o tem ne obvestijo ostale zaposlene, ključno je, da ima vodstvo jasno in natančno predstavo o samem poteku testa. Nato sledi sama faza vdora, po slednjemu pa se izdela načrt nadgradnje obrambe in sistema, da se ranljivosti, ki so bile v testu identificirane, odstranijo. Pri tem je poseben poudarek namenjen odpravljanju odkritih varnostnih lukenj, nadaljnji zaščiti IT sredstev in podatkov, opredelitvi tveganja in oceni morebitnih finančnih izgub v primeru kibernetskega napada.

Varnostni penetracijski test – Identifikacija ranljivosti IT-sistema

Identifikacija ranljivosti je možna na različne načine, najpogosteje pa jih izvajajo etični hekerji z namenom pomoči pri odkrivanju ranljivosti in varnostnih pomanjkljivosti informacijskih sistemov.

S pomočjo različnih hekerskih orodij in tehnik poiščemo varnostne luknje v informacijski infrastrukturi. Vsi naši etični hekerji so zaupanja vredni, verodostojni in imajo večletne izkušnje.

Poročilo penetracijskega testa

Poročilo penetracijska testa delimo na dva dela. Prvi del poročila je namenjen vodstvu naročnika, ki vsebuje povzetek njihovega stanja varnosti informacijskega sistema in priporočila za izboljšanje stanja. Drugi del pa je namenjen tehničnemu osebju naročnika, ki vsebuje vse ugotovitve revizije, metode in opise testiranj, identificirane varnostne grožnje ter vsa priporočila z navodili za odpravo oz. zmanjšanje groženj.

Penetracijski test – paketi

• Penetracijsko testiranje infrastrukture

Testiranje omrežne infrastrukture (LAN, WAN, WLAN) v skladu z mednarodno priznanimi standardi izvedbe preizkušanja penetracije. Testi se lahko izvajajo v zunanjih in notranjih omrežjih

• Penetracijsko testiranje spletnih strani in aplikacij

Penetracijsko testiranje spletnih aplikacij izvajamo v skladu z metodologijo OWASP ASVS (Application Security Verification Standard) in z lastnimi izkušnjami ter poznavanji ranljivih točk, ki so specifične za našega posameznega naročnika. Razvijamo in uporabljamo tudi lastne rešitve za testiranje spletnih strani in aplikacij.

• Penetracijsko testiranje mobilnih aplikacij

Penetracijsko testiranje mobilnih aplikacij za trenutno najpopularnejši platformi Android in Apple iOS. Uporabljamo metodologijo osnovano na OWASP Mobile, ki je še dodatno dograjena z našimi izkušnjami in poznavanji ranljivih točk v mobilnih aplikacijah.