Domů  Sekce:
O2 Business Solutions
 

Penetrační testování

Máte pochybnosti o tom, že jsou informační systémy a data v nich uložená skutečně dostatečně zabezpečeny? Chcete znát skutečnou úroveň zabezpečení ICT infrastruktury, systémů, aplikací a reálná rizika, která představují pro Vaši společnost? Řešíte potřebu prokázat úroveň zabezpečení informačních systémů pro různé audity, certifikace, obchodní partnery apod.? Řešíte nutnost shody úrovně zabezpečení ICT s některou z obecně závazných norem pro vaši společnost? Řešíte nutnost shody úrovně zabezpečení ICT s některou z obecně závazných norem pro vaši společnost?

V případě, že ano, nechte si otestovat informační systémy a síťovou infrastrukturu našimi bezpečnostními specialisty, kteří provedou simulaci reálných útoků, kterým mohou být systémy a sítě vystaveny.

Obecný popis penetračních testů v podání Telefónica O2 Business Solutions

Cílem penetračních testů, které nabízí společnost Telefónica O2 Business Solutions je identifikace zranitelných míst a slabin informačních systémů a sítí, stanovení rizik s nimi spojených a návrh opatření, která povedou k minimalizaci dopadů plynoucích z těchto rizik.

Hlavní přínosy penetračních testů

  • mohou posloužit jako startovací bod při zavádění informační bezpečnosti ve Vaší společnosti nebo její modifikaci,
  • pomohou prokázat efektivitu, v minulosti vynaložených, nákladů na řešení bezpečnosti ICT a také odůvodnit a obhájit budoucí investice do bezpečnosti ICT,
  • napomohou zvýšit úroveň bezpečnosti informačních systémů i celé organizace tím, že objeví jejich potencionální riziko nebo zranitelné místo dříve než útočník,
  • mohou pomoci při zjišťování, zda jsou splněny legislativní podmínky stanovené společnost platnými zákony,
  • garantují obchodním partnerům větší míru jistoty z hlediska bezpečnosti vašich systémů,
  • na základě výsledků provedených testů lze také sledovat dopad různých změn a provedení bezpečnostních opatřeníICT infrastruktuře.

Postup realizace penetračních testů

  • penetrační test s omezenou nebo nulovou počáteční znalostí o testovaných systémech a prostředí zákazníka (tzv. black box testing). Tento test představuje plnohodnotnou simulaci útoku hackera, který tyto informace získává pouze na základě výsledků svého průzkumu nebo z veřejně dostupných zdrojů,
  • penetrační test s plnou počáteční znalostí o testovaných systémech a prostředí zákazníka (tzv. white box testing). V tomto případě předchází samotné realizaci penetračního testu podrobné seznámení našich specialistů s prostředím a testovanými systémy,
  • otevřený penetrační test – administrátoři testovaných systémů jsou informováni o probíhajícím testování a může při něm být využita jejich spolupráce. Administrátoři si také mohou ověřit fungování implementovaných monitorovacích a bezpečnostních nástrojů,
  • skrytý penetrační test – o testování jsou informováni pouze vybrané osoby mimo pracovníky IT, kteří se starají o testované systémy. Cílem tohoto testování je mimojiné zjistit reakci administrátorů na průběh samotného testování (reakce na potencionální útok).

Výše uvedené možnosti lze vhodně kombinovat a penetrační test tak lze samozřejmě přizpůsobit co nejvíce potřebám a požadavkům uživatele.

Externí penetrační testy

Cílem testů je prověřit zabezpečení internetového připojení a informačních systémů a služeb, které jsou přístupné ze sítě Internet. Naši specialisté prověří systémy z pozice hackera útočícího na ně ze sítě Internet. Společnost Telefónica O2 Business Solutions nabízí externí penetrační testy v několika variantách, které se liší úrovní jejich podrobnosti a tím i náročnosti.

Interní penetrační testy

Při testech je simulován útok běžného neprivilegovaného uživatele z interní sítě (např. zaměstnance), který se snaží o neoprávněný přístup k datům uložených prostřednictvím firemních informačních systémů. Testy prověří fungování vnitřních bezpečnostních mechanizmů, které by měly chránit firemní systémy a data před neoprávněnými přístupy ze strany běžných uživatelů. Neoprávněné přístupy mohou být jak úmyslné (např. získání citlivých dat za účelem jejich prodeje), tak neúmyslné (např. chyba v implementaci systému).
V rámci interních penetračních testů lze provést následující doplňkové testy:

  • testování síly vybraného vzorku uživatelských hesel,
  • testování funkčnosti implementovaných antivirových a antispamových systémů,
  • odposlech síťového provozu na interní síti – analýza datových toků, protokolů apod.

Testy webových aplikací

Skupina testů mající za cíl ověřit úroveň zabezpečení přístupu k vybraným webovým aplikacím, které jsou dostupné ze sítě Internet (z pozice hackera) nebo z interních sítí zákazníka (z pozice oprávněného uživatele). Naši specialisté prověří odolnost aplikací vůči nejčastějším útokům a hrozbám, které mohou přijít ze sítě Internet nebo z interní sítě.

Shrnutí přínosů penetračních testů

Bezpečnost ICT rozhodně nekončí implementací vybraného bezpečnostního mechanizmu např. firewallu, antiviru, VPN apod. Jedná se o kontinuální proces, který musí reagovat na nové hrozby a rizika plynoucí z provozování stávajících a zavádění nových informačních systémů. Co bylo považováno za bezpečné včera, nemusí být bezpečné zítra nebo dokonce již dnes. Útočníci jsou a budou vždy o krůček napřed než ostatní.

Penetrační testy na jedné straně pomohou ověřit fungování a dostatečnost stávajících bezpečnostních mechanizmů v rámci ICT a na straně druhé budou pádným argumentem při jejich rozšiřování nebo implementaci nových bezpečnostních mechanizmů a systémů.
Skutečná síla a opravdová vypovídací hodnota penetračních testů spočívá v jejich opakování, které by mělo probíhat jednak pravidelně (například 1x ročně), a také po provedení rozsáhlejších změn na testovaných systémech, případně po zavedení nových systémů.

banner