arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
14.04.2020

Co to są testy penetracyjne?

Agata Rowicka

Zanim zaatakuje nas haker, możemy utrudnić mu zadanie i zrobić to sami. W ten sposób wykryjemy luki w naszych zabezpieczeniach oraz znacząco zwiększymy bezpieczeństwo systemów.

Wszystko wskazuje na to, że w najbliższym czasie czeka nas przyspieszona cyfryzacja gospodarki. Ponieważ ryzyko związane z użytkowaniem systemów rośnie wraz z ich złożonością, działania mające na celu kontrolę tego ryzyka stają się coraz ważniejsze dla przedsiębiorstw. Na utratę narażone są coraz bardziej kluczowe dane, coraz bardziej istotne procesy biznesowe mogą zostać zakłócone. Poza dyskusją pozostaje też fakt, że zbudowanie idealnie bezpiecznego systemu komputerowego jest z wielu powodów niemożliwe. Jeżeli właściwie nie zadbamy o bezpieczeństwo naszych systemów, następny kryzys gospodarczy może być spowodowany globalną awarią internetu.

Co ważne, bezpieczeństwo systemu to nie tylko jego podatność na włamania. Istotne są też sytuacje, w których oprogramowanie niewłaściwie wypełnia swoje funkcje z innych powodów, na przykład wynikających z błędów w projektowaniu, wdrażaniu lub konfiguracji. Dlatego podstawową metodą kontroli jakości systemów jest przegląd kodu źródłowego. Eliminacja błędów i pomyłek to skuteczny sposób na zwiększenie bezpieczeństwa oraz funkcjonalności systemu. 

Kolejnym krokiem powinno być jednak sprawdzenie podatności na ataki z zewnątrz. Najlepszą metodą, aby to zrobić jest zlecenie wyspecjalizowanej firmie testu penetracyjnego. Nie jest to nic innego, jak próba włamania do sieci, różniąca się od prawdziwego ataku głównie tym, że atakowany wyraził na niego zgodę. Test musi być przeprowadzony w taki sposób, aby nie zagrażać testowanemu systemowi komputerowemu.

Firma Aegis Security przy przeprowadzaniu testów penetracyjnych kieruje się ściśle ustalonymi zasadami. Najważniejsza z nich to konieczność zachowania stabilności i ciągłości pracy systemów klienta. Celem testu jest określenie silnych i słabych stron systemu oraz ocena jego podatności na włamania i ryzyka utraty danych.

W wersji podstawowej usługa zawiera audyt dotyczący podatności sieci firmowej na zagrożenia. Sprawdzeniu podlega legalność stosowanego oprogramowania oraz jakość stosowanych zabezpieczeń. Wersja rozszerzona zawiera aktywne działania polegające na uzyskaniu dostępu do wybranych celów w ramach infrastruktury informatycznej klienta. Ataki przeprowadzane są przy pomocy oprogramowania typu exploit. Testowaniu podlegają także zachowania pracowników (otwieranie podejrzanych załączników, stosowanie łatwych do złamania haseł).

Efektem testu jest szczegółowy raport zawierający między innymi opis znalezionych błędów i podatności, opis problemów związanych z licencjami oprogramowania oraz podsumowanie wykonanych prac i testów. W rozszerzonej wersji raport zawiera również szczegółowe rekomendacje dotyczące poprawy bezpieczeństwa infrastruktury informatycznej klienta, informację o tym, w jakim stopniu próby ataków są wykrywane przez pracowników, a także o podatności pracowników na ataki socjotechniczne. Nie należy też zapomnieć o zabezpieczeniach fizycznych wewnątrz siedziby klienta.