Wojciech Strzałkowski06.07.2017

Testy podatności – sprawdź, czy Twoja firma jest narażona na ataki

W dobie e-commerce i digitalizacji danych coraz więcej przedsiębiorstw buduje zabezpieczenia mające ochronić zasoby przed atakiem cyberprzestępców lub ich niekontrolowanym wykorzystaniem. Nadal jednak niewiele firm decyduje się na regularne sprawdzanie skuteczności mechanizmów odpowiadających za bezpieczeństwo, ryzykując pozostawienie luk dostępnych dla hakerów. Od przyszłego roku, wraz z wdrożeniem rozporządzenia RODO (eng. GDPR), takie niedopatrzenia będą surowo karane, a nieuważni przedsiębiorcy zapłacą do 4% swoich globalnych obrotów.

Do tej pory odpowiedzialność za ochronę danych osobowych, a także konieczność zgłaszania jej naruszenia spoczywała na wybranych branżach, m.in. telekomunikacyjnej, bankowej czy ubezpieczeniowej. Nie wszystkie gałęzie biznesu podlegały więc tak surowym obostrzeniom. W maju 2018 roku, gdy w życie wejdzie Rozporządzenie o Ochronie Danych Osobowych – w skrócie RODO, sytuacja ta ma się zmienić. Odpowiedzialność zostanie przeniesiona również na te firmy, które dotąd nie podlegały restrykcyjnym regulacjom. Na razie przykre konsekwencje nieodpowiedniej ochrony systemu obejmują sankcje prawne związane z niekontrolowanym wykorzystaniem danych poszczególnych osób, ogromne straty finansowe, utratę zaufania klientów, a w skrajnych przypadkach nawet bankructwo. Już niedługo lista negatywnych skutków poszerzy się o możliwość obciążenia przedsiębiorcy karą, która może być bardzo wysoka i dotkliwa w skutkach zarówno dla średnich przedsiębiorstw, jak i rynkowych gigantów. Biorąc więc pod uwagę tak rozległe spektrum potencjalnych zagrożeń, z tym większą uwagą warto analizować skuteczność systemu cyberbezpieczeństwa firmy, by ocenić, czy prawdopodobieństwo udanego ataku na jej zasoby jest wysokie. Dobrym sposobem na kontrolę jakości i komplementarności zastosowanych metod ochronnych są testy podatności.

Czym właściwie są testy podatności?

Testy podatności to działania kontrolne mające na celu wskazanie w firmie obszarów, w których istnieją luki zwiększające ryzyko udanego ataku hackerskiego. Zakres takich uchybień może być szeroki, od błędów na poziomie konfiguracji systemu, przez korzystanie z nieaktualnych jego wersji, aż po usterki w oprogramowaniu. Podstawowe testy podatności wykonuje się za pomocą skanera podatności, czyli programu, który zawiera zbiór znanych błędów i luk. Jednak w takim przypadku kontrolowanie poprawności mechanizmów zabezpieczeń firmy ogranicza się do porównania jej infrastruktury IT z katalogiem usterek dostępnym w skanerze.

  • Skanowanie jest stosunkowo niedrogie i z pewnością pomoże znaleźć podstawowe uchybienia, nie jest jednak indywidualnie dopasowane do specyfiki rozwiązań technologicznych, którymi posługuje się konkretne przedsiębiorstwo
  • – komentuje Filip Rejch, Starszy Specjalista ds. bezpieczeństwa technologicznego T‑Mobile Polska S.A. –
  • Dlatego zaleca się wcześniejsze przygotowanie i sprawdzenie reakcji systemu przed przeprowadzeniem takiego skanu, a także skoordynowanie prac ze specjalistami odpowiedzialnymi za infrastrukturę IT w firmie. Pomoże to uniknąć awarii, gdy każda minuta niedostępności systemu oznacza wymierne straty finansowe dla biznesu.

Testy podatności wykonane przy użyciu skanera warto poszerzyć o dodatkowe rozwiązanie –dedykowane testy penetracyjne. Ich zdecydowaną przewagą jest zindywidualizowane podejście do audytowanej infrastruktury, szeroki zakres badanych elementów oraz celniejsza interpretacja otrzymanych wyników. Takie testy przeprowadzają pentesterzy – osoby specjalizujące się w testowaniu mechanizmów ochronnych firmy.

Co konkretnie bada pentester?

Większość przedsiębiorstw skupia swoje wysiłki na skutecznej obronie przed atakami zewnętrznymi. I słusznie, ponieważ według raportu przygotowanego przez Akamai na początku 2016 r. takich zanotowanych ataków było o 126% więcej, porównując rok do roku, a ta tendencja w kolejnych miesiącach utrzymała się. Nie jest to jednak jedyny obszar, który należy chronić.

  • Dość powszechnym błędem wielu przedsiębiorców jest zaniedbanie mechanizmów bezpieczeństwa wewnętrznego. Tymczasem błędy dotyczące wewnętrznej ochrony systemu mogą być bardzo rozległe i wiązać się zarówno z usterkami technicznymi czy niestosowaniem procedur przez pracowników, jak i wyłączeniem spod kontroli pewnych obszarów firmy, przez co cała infrastruktura staje się nieszczelna
  • – tłumaczy Filip Rejch, Starszy Specjalista ds. bezpieczeństwa technologicznego T‑Mobile Polska S.A.

Sukces ataku bardzo często wynika właśnie z niewiedzy pracowników dotyczącej podstawowych zasad bezpieczeństwa. Należy przy tym pamiętać, że ataki socjotechniczne stanowią prosty i tani sposób na przełamanie bariery ochronnej nawet najlepszego systemu zabezpieczeń firmowych. Sprawia to, że są one obecnie jedną z najbardziej popularnych metod pokonywania zabezpieczeń, z którą mamy do czynienia na co dzień. Wystarczy, że haker prześle pracownikowi firmy wiadomość mailową przypominającą korespondencję służbową i załączy do niej zainfekowany plik, który zostanie otworzony. Jedno nieuważne kliknięcie nieprzeszkolonej osoby pozwoli hakerowi zdobyć dane umożliwiające przełamanie bariery ochronnej. Cyberprzestępca może też, na przykład za pośrednictwem ankiety, pozyskać od pracownika nieistotne z pozoru informacje, takie jak imię zwierzaka czy rok urodzenia. Posiadanie tych danych znacznie zwiększa szanse na odgadnięcie hasła ofiary. Dlatego do działań pentestera mogą należeć również próby przeprowadzenia podobnych ataków, by ocenić, czy pracownicy są do nich odpowiednio przygotowani.

Podstawowe zasady skutecznego testu podatności

Warto pamiętać, że jednorazowe zdiagnozowanie usterek i wprowadzenie poprawek w mechanizmach ochronnych to tylko element większego procesu. Dynamiczny rozwój technologii sprawia, że każdego dnia możemy spodziewać się nowych zagrożeń, dlatego testy podatności trzeba przeprowadzać cyklicznie, przynajmniej kilka razy w roku. Pentester pomoże w określeniu optymalnej częstotliwości wykonywania kontroli.

Równie istotnym krokiem na drodze do skutecznego zabezpieczenia systemu jest określenie celu i zakresu diagnozy, czasu jej trwania, a także konsekwentne wdrażanie modyfikacji zgodnie z wynikiem testu. Jeżeli kontrola polega jedynie na skanowaniu podatności jednej strony dostępnej z internetu, jej jakość będzie niższa niż testu przeprowadzonego przez wynajętą grupę pentesterów, których zadaniem jest odnalezienie i wskazanie wszystkich luk dostępu do określonego systemu wewnętrznego lub danych.

Aby mieć pewność, że testy zostaną przeprowadzone z najwyższa starannością, nie warto też na nich oszczędzać. Choć wysoko wykwalifikowany ekspert to niemały wydatek dla budżetu firmy, oscylujący w granicach kilkuset dolarów za dzień pracy, dobrze jest zainwestować w kompetentnego pentestera, ponieważ koszty związane z naruszeniem bezpieczeństwa przedsiębiorstwa mogą znacznie przekroczyć cenę diagnozy. Na rynku wciąż jest niewielu doświadczonych pentesterów, dlatego dobrym rozwiązaniem jest skorzystanie z usług znanej i zaufanej firmy, która oferuje testy podatności.

  • Renomowana firma będzie gwarancją starannie wykonanej usługi, a informacje dotyczące słabych ogniw systemu pozostaną bezpieczne 
  • – tłumaczy Filip Rejch, Starszy Specjalista ds. bezpieczeństwa technologicznego T‑Mobile Polska S.A. – 
  • W takich przypadkach współpraca zawsze zaczyna się od podpisania umowy, dzięki czemu warunki zostają określone na samym początku. Przygotowanie do testu zajmuje kilka tygodni, a zespół specjalistów pomaga wybrać sposób przeprowadzenia analiz. Zależy on głównie od celu, możemy na przykład sprawdzić funkcjonowanie działu IT, przyjrzeć się zabezpieczeniom wewnętrznym albo zrealizować plan zadań zlecony przez ekspertów zatrudnionych w firmie, którzy świadomie potrafią wskazać obszary wymagające kontroli. Testy odbywają się zgodnie z zaakceptowanym przez obie strony harmonogramem. Na finalnym etapie diagnozy przedsiębiorstwo otrzymuje kompleksowy raport. Dodatkowo, jeśli firma zdecyduje się na taką usługę, wyniki mogą być wzbogacone o rekomendacje, które pomogą wyeliminować czy zminimalizować ukryte podatności. To jasno zdefiniowany, skuteczny schemat działania, skonstruowany w oparciu o najwyższe standardy.

Dzięki regularnym testom podatności i wdrażaniu zaleceń firmy mogą mieć pewność, że ich system zabezpieczeń jest uszczelniony, ryzyko ataku zostało zminimalizowane, a konsekwencje związane z nieprzestrzeganiem wymogów Rozporządzenia o Ochronie Danych Osobowych ograniczone do minimum.

PODZIEL SIĘ

Polski English
T-Mobile Polska