Penetrační testování je nezbytnou součástí hodnocení odolnosti organizace vůči kybernetickým hrozbám
Experti společnosti Eviden zaznamenávají vysokou poptávku v oblasti penetračního testování - to dokáže odhalit slabá místa v systému, aplikaci či IT infrastruktuře, která mohou vést ke kybernetickým útokům. Poptávka zde vzrostla meziročně o 80 %, výzvou je ale nedostatek zkušených odborníků.
"Důležitost penetračního testování si firmy uvědomují a není potřeba je přesvědčovat. S novým kyberzákonem to navíc pro spoustu z nich bude povinnost. Problém nastává spíše v dostupnosti. Skutečných odborníků je totiž málo, v České republice jsou jich řádově desítky. Do jisté míry mohou penetrační testy zajistit automatizované nástroje obsluhované proškolenými lidmi. Ty ale zdaleka neodhalí vše," říká Tomáš Hlavsa, ředitel divize Big Data & Security společnosti Eviden., která pro penetrační testování využívá svůj mezinárodní tým odborníků z Česka, Rumunska, Polska, Německa či Rakouska a budoucí odborníky si vybírá také z řad studentů, které postupně vzdělává.
Tisíce nových regulovaných subjektů, stovky chybějících odborníků, desítky nových úkolů - to vše s sebou přinese transpozice evropské směrnice NIS2 do české legislativy.
I přesto, že stanovený říjnový termín dle předpokladu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) nebude v Česku dodržen, firmy na zajištění své kyberbezpečnosti v mnoha případech již pracují.
Kradená data se mohou velmi jednoduše objevit na dark webu
Cílem penetračního testování je proniknout do systému, aplikace či infrastruktury, identifikovat a posoudit zde slabá místa. Zranitelnosti, které mohou vést k různým kybernetickým útokům, jsou kritické.
S těmito zranitelnostmi je na dark webu možné obchodovat za značné částky, od tisíce až po statisíce dolarů. I to ale dokáží odborníci dohledat.
Etičtí hackeři neboli pentesteři, poskytují cenné informace o připravenosti organizace v oblasti kybernetické bezpečnosti.
Důvěřujte svému pentesterovi
Při vyhledávání služeb penetračního testování či etického hackingu je nezbytné jasně definovat cíle, specifikovat zadání a vybrat si dodavatele, ve kterého máte důvěru. Penetrační testeři musí dodržovat etické zásady a rozsah působnosti organizace. Pokud objeví potenciální zranitelnost mimo původní rozsah, musí o tom okamžitě informovat klienta, aby bylo zajištěno etické a legální testování.
Pentester provádí vícevektorové útoky a využívá různé techniky k narušení obrany organizace, napodobuje metody používané útočníky v reálném světě.
Používané techniky např. zahrnují:
- Nasazení zranitelností nultého dne (zero-day vulnerability)
- Různé útoky typu odepření služby (DoS)
- Útoky hrubou silou (brute-force)
- Sociální inženýrství
- Phishingové útoky
Z hlediska znalosti IT prostředí firmy se penetrační testy v zásadě dělí na tři druhy - black-box, white-box a grey-box.
Black-box testy
- Black-box testy simulují útok zvenčí, kde útočník zná pouze vstupy a výstupy aplikace, ale ne její vnitřní strukturu
White-box testy
- White-box testy vyžadují jistou znalost architektury a zdrojového kódu aplikace či sítě
Grey-box testy
- Grey-box testy kombinují výhody obou přístupů. Využívají znalosti vnitřní logiky aplikace, ale testují z pohledu uživatele nebo útočníka
Článek Eviden Czech Republic s.r.o. ze dne středa 14. srpna 2024
Další články od Eviden Czech Republic s.r.o.
Jaroslav Hloušek - nový Head of SAP společnosti Eviden
Cloud je příležitostí pro státní správu
Penetrační testování je nezbytnou součástí hodnocení odolnosti organizace vůči kybernetickým hrozbám
PragVue 2024 - konference pro vývojáře
BullSequana AI servery podporují maximální využití možností umělé inteligence
Monitoring a analýza citlivých dat na deep a dark webu
