Penetrační testy zvyšují bezpečnost firemní sítě

Cílem penetračních testů, které provádí Národní CSIRT České republiky, je identifikace přístupu ke klíčovým prvkům sítě, ověření možnosti jejich získání a navržení účinných opatření. Každý zájemce obdrží po skončení testů souhrnný report se seznamem nalezených zranitelností včetně doporučení jejich řešení.

Národní CSIRT České republiky, který provozuje sdružení CZ.NIC, správce české národní domény, nabízí novou službu, která slouží k hledání slabých míst v IT infrastruktuře - penetrační testování.

"Ve sdružení CZ.NIC se soustavně a dlouhodobě zaměřujeme na zvyšování kybernetické bezpečnosti v České republice včetně včasné ochrany systémů. Jsem tedy velice rád, že můžeme díky kolegům z CSIRT.CZ rozšířit naši dosavadní nabídku preventivních nástrojů, mezi které řadíme například naše bezpečná síťová zařízení Turris. Penetrační testování může být pro organizace jakéhokoli typu přínosem a neocenitelnou investicí do budoucna, protože neodhalená zranitelnost může znamenat velké ztráty, a to nejen finanční, ale také například etické, kdy mohou být zneužity osobní údaje z databází a narušena tak důvěryhodnost organizace," říká Ondřej Filip, výkonný ředitel sdružení CZ.NIC.

Polozapomenuté a zastaralé služby bez podpory, zranitelné webové a jiné aplikace, chyby v nastavení nebo důsledky nezodpovědného jednání běžných uživatelů. To je jen hrstka důvodů, které se mohou skrývat za úspěšným kybernetickým útokem.

S odhalením těchto a podobných nedostatků v IT infrastruktuře může pomoci penetrační testování, během něhož se testeři snaží ovládnout posuzovanou síť. Jedná se o individuální, často komplexní, bezpečnostní audit, který přináší reálné informace o stavu zabezpečení konkrétní sítě.

Testeři postupují od průzkumu cíle, opatrného testování, využití zjištěných chyb a zranitelností až k ovládnutí účtů uživatelů i administrátorů.

Výsledkem je pak podrobná zpráva, ve které jsou popsané jednotlivé kroky, identifikované zranitelnosti jsou ohodnoceny dle závažnosti a na závěr jsou uvedena vhodná opatření, které zjištěný problém vyřeší.

Každé testování probíhá na základně konkrétní poptávky, která je zpoplatněná dle jednotlivých kritérií. Mezi ty patří typ organizace, velikost sítě, časová náročnost nebo rozsah samotného testování.

Výjimku pak tvoří veřejný sektor, neziskové organizace a členové sdružení CZ.NIC, kterým bude na tuto službu poskytována sleva.