pl

Security testing

Jak zapewnia się bezpieczeństwo w wirtualnym świecie?

W ostatnich latach coraz bardziej wzrasta świadomość jak ważne jest bezpieczeństwo w sieci. Tym samym wzrasta też zainteresowanie sposobami, aby je zwiększyć.

            Zarówno duże firmy, jak i zwykli użytkownicy mogą wiele stracić, jeśli nie będą przestrzegać podstawowych zasad bezpieczeństwa. Wyciek wrażliwych danych może spowodować nie tylko straty finansowe, ale nawet problemy prawne. W przypadku firm możliwa jest również utrata zaufania klientów i kontrahentów. W czasach, gdy coraz więcej informacji przechowuje się w chmurze, na nośnikach lub przesyła pocztą elektroniczną, odpowiednie zabezpieczenia powinny być priorytetem.

Hakerzy działają na różne sposoby. Coraz częściej wykorzystują nieuwagę użytkowników – nie jest już nowością zjawisko tzn. phishingu, który polega na wyciąganiu od użytkowników danych osobowych, podszywając się pod znane firmy kurierskie lub banki. Dalej jednak znane są włamania na serwery czy wykradanie danych bez udziału odbiorcy usług.

Problemem, oprócz niewystarczających zabezpieczeń, jest też niska świadomość społeczna na ten temat. Według badania firmy Mediacom co prawda prawie 90% internautów w Polsce twierdzi, że prywatność i bezpieczeństwo w sieci są ważne, ale większość z nich (94%) nie potrafiła wskazać największych zagrożeń.

Wiele zmieniło się po wprowadzeniu RODO, które zmieniło zasady obiegu danych osobowych w korporacjach i jest ważną częścią cyberbezpieczeństwa w firmach. Według tego rozporządzenia mamy m.in. prawo do bycia niezwłocznie poinformowanym w razie ataku hakerskiego na dane. Nie można jednak opierać bezpieczeństwa w firmie jedynie na unijnych rozporządzeniach i wierze w to, że użytkownicy i pracownicy będą czujni.

Jak pomóc mogą testy bezpieczeństwa?

            Oprócz uświadamiania pracowników, warto więc stworzyć zabezpieczenia, a następnie zweryfikować ich skuteczność. Tu z pomocą przychodzą testy penetracyjne. To nic innego jak testy bezpieczeństwa pozwalające zweryfikować cyberbezpieczeństwo organizacji w wyniku przeprowadzenia kontrolowanego ataku na system teleinformatyczny. Polega on na analizie systemu pod kątem występowania potencjalnych błędów bezpieczeństwa spowodowanych niewłaściwą konfiguracją, lukami w oprogramowaniu lub sprzęcie, słabościami w technicznych lub proceduralnych środkach zabezpieczeń. Analiza ta jest przeprowadzana z perspektywy potencjalnego włamywacza.

 

Jakie elementy poddaje się testom?

            Można wymienić trzy cechy bezpieczeństwa, które najczęściej są słabym ogniwem
w zabezpieczeniach aplikacji. Jest to poufność (czy tylko dedykowane osoby mają dostęp do konkretnych danych), integralność (czy dane są spójne) i dostępność (czy aplikacja ma wystarczający poziom dostępności i czy łatwo się nie przeciąża).

Jak czytamy na stronie 4 IT Security, testy tego typu można przeprowadzać z 3 perspektyw:

·        "black-box testing" - testy przeprowadzane z perspektywy braku wiedzy o testowanej aplikacji - ten typ testu jest symulacją ataku intruza, który nie dysponuje żadną wiedzą
o testowanej aplikacji i najczęściej przypomina on typowy atak z sieci Internet,

·        "gray-box testing" - testy przeprowadzane z perspektywy częściowej wiedzy o testowanym obiekcie - ten rodzaj testu jest symulacją ataku ze strony osoby, która dysponuje częściową wiedzą o architekturze testowanego systemu,

·        "white-box testing" - testy przeprowadzane z perspektywy pełnej wiedzy o testowanym obiekcie - jest to symulacja ataku ze strony osoby posiadającej pełną wiedzę o aplikacji będącej przedmiotem testu bezpieczeństwa, czyli posiada dostęp do systemu na każdym poziomie uprzywilejowania, kodu źródłowego, dysponuje również dokumentacją projektową oraz doskonale zna architekturę rozwiązania.

Źródło: https://4itsecurity.pl/testy-penetracyjne

            Oprócz testów penetracyjnych przeprowadzane są audyty bezpieczeństwa, których zadaniem jest zbadanie elementów składowych, aby stwierdzić czy dany system spełnia wymagania bezpieczeństwa. Niezależnie od tego, który ze sposobów wybierzemy, plusami
z korzystania z usług oferujących poprawę bezpieczeństwa są nie tylko ochrona przed stratą pieniędzy i zaufania. Możemy też poznać słabe strony naszej witryny czy aplikacji, na które warto zwrócić uwagę oraz spełnić wymogi prawa i innych regulacji.

            Naszych ekspertów ds. bezpieczeństwa cechuje doświadczenie oraz umiejętność posługiwania się najnowszymi narzędziami, co umożliwia sprawne testowanie zabezpieczeń. Dzięki naszym usługom nie tylko znalezione zostaną uchybienia w strukturze bezpieczeństwa, ale również zidentyfikujemy wymagania niezbędne do poprawy polityki bezpieczeństwa oraz usprawnimy procesy w obszarze bezpieczeństwa.

pl