O bezpečnostních auditech IT infrastruktur většinou slýcháme spíše ve větších organizacích – hlavně proto, že mnoho SMB firem není přesvědčeno o jejich potřebnosti. Jedním z důvodů je názor, že SMB jsou pro útočníky nezajímavé. Ale to je chybná úvaha. Již 56 % malých a středních firem se v minulosti stalo terčem kybernetických útoků, protože hackeři jdou zejména tam, kde cítí menší odpor. Z tohoto pohledu jsou SMB ideální, protože mají malé rozpočty na IT bezpečnost, využívají minimum obranných nástrojů a opatření, a disponují malými či žádnými týmy IT odborníků. Proto bezpečnostní audit dnes dává smysl také v SMB sektoru.

Co je bezpečnostní audit?

Bezpečnostní audit je proces, který umožňuje firmám testovat a hodnotit celkovou úroveň své kybernetické bezpečnosti. Audity mohou být jednorázové, ale spíše se doporučují na pravidelné bázi s tím, jak se bezpečnostní situace a rizika rychle mění. Například v prvním čtvrtletí roku 2021 bylo zjištěno, že 74 % malwaru nebylo možné detekovat standardními nástroji využívajícími signatury jako např. antiviry. Proto je užitečné provádět audit často a pravidelně.

Bezpečnostní audit dokáže vyhodnotit datové toky v organizaci, identifikovat zranitelnosti IT infrastruktury, detekovat problémy, vyhodnotit interní či externí procesy a identifikovat slabá místa, kudy by mohli hackeři proniknout. Jeho nezanedbatelným vedlejším efektem je významná pomoc v úsilí o dosažení shody se stále větším počtem nejrůznějších předpisů a nařízení.

Manuálně nebo se specifickými nástroji?

Vzhledem k neustále se rozšiřujícímu IT prostředí v jednotlivých firmách zahrnuje bezpečnostní audit až několik desítek úkonů, které prověří úroveň IT bezpečnosti. V zásadě lze bezpečnostní audit v běžné SMB společnosti provést kompletně manuálně. Koneckonců, vždy zůstanou úkony, které jinak než manuálně provést nepůjdou, jako je například kontrola a přenastavení firewallů nebo vyhodnocování a vylepšování interních bezpečnostních postupů.

Na druhou stranu každý auditní úkon, který lze provést pomocí specifického nástroje, šetří drahocenný čas IT správce, umožňuje auditovat častěji, zjednodušuje celý proces a snižuje náklady na audit, a konečně i snižuje úroveň lidské chybovosti. Dnes neexistuje nástroj, který by dokázal pokrýt veškeré nároky bezpečnostního auditu, ale lze nalézt takové, které dokáží významně ulehčit.

Příkladem je GFI LanGuard, produkt známý především pro své schopnosti automatizovaného patch managementu. Nicméně jeho další funkčnost se zaměřuje na zjišťování zranitelností, a tak je schopen pomoci například při identifikaci hrozeb, inspekci serverů, identifikaci instalovaných operačních systémů, kontrole aktualizací OS a softwaru třetích stran, vyhledávání bodů s neautorizovaným přístupem apod. Řešení také pořizuje kompletní seznam aktivních zařízení ve firemních sítích včetně sériových čísel a dokáže identifikovat zalogované uživatele, běžící služby, možné zranitelnosti či otevřené TCP a UDP porty.

Užitečné tipy pro bezpečnostní audit

Aby splnil svůj účel, je třeba během bezpečnostního auditu dodržet některá pravidla. V první řadě je třeba zapojit do procesu uživatele, kteří představují asi tu nejzranitelnější část celého ekosystému. Je dobré zjistit co nejvíce informací o jejich zvycích, pracovních postupech či obavách a následně sdílet s nimi zjištěné výsledky bez ohledu na to, jak dramatické mohou být.

Maximum informací je vždy výhodou, protože nemůžete vyřešit problémy, které nevidíte. Výsledky jednotlivých auditů je třeba sledovat v čase a porovnávat, zda se zlepšují či zhoršují. Podobně je také užitečné vyhodnocovat nejen výsledky ale i samotné procesy auditu, zda stále pokrývají všechny důležité aspekty, popřípadě je upravovat dle aktuální bezpečnostní situace. A konečně je třeba vést pečlivou a stále aktuální dokumentaci, což také bývá jedním z důležitých cílů auditu.

Jozef Kačala Autor článku působí na pozici Vicepresident of Global Sales Engineering ve společnosti GFI Software.