facebook LinkedIN LinkedIN - follow
Hlavní strana -> Zprávy
IT Security, Aktuality -> Analýzy - 14. 5. 2024

Jak si vedou české firmy v kybernetické bezpečnosti

Praktické zkušenosti z oblasti etického hackingu a penetračního testování

-PR-

Komplexní zabezpečení pod­ni­ko­vé infrastruktury, počínaje výpočetními systémy přes úložná řešení, až po komunikační linky není jednoduchá záležitost. S větší či menší úspěšností se o to snaží každá organizace.


Pojďme se podívat, jaká je situace na poli ochrany firemní infrastruktury a co všechno byste měli vzít v úvahu, pokud se chcete stát IT bezpečnou firmou. A to z pohledu Petera Šinaľa, výkonného ředitele společnosti Trusted Network Solutions, která se v oblasti kybernetické bezpečnosti specializuje na etický hacking a penetrační testování.

Peter Šinaľ

Pokud v tomto směru ještě nějak váháte, přinášíme podněty, které vám mohou pomoci při rozhodování, zda je právě penetrační testování vhodné zařadit mezi aktivity, které mohou zvýšit úroveň ochrany vaší organizace.

Peter, co vlastně jsou penetrační testy a proč se vyplatí je vykonávat pravidelně?

Penetrační testy jsou důležitým nástrojem pro zajištění a udržení vysoké míry kybernetické bezpečnosti, neboť poskytují možnost včas identifikovat bezpečnostní nedostatky a zranitelnosti ještě dříve, než se mohou stát terčem skutečného útoku.

Představují nezávislý, přitom však odborný pohled penetračního testéra‑auditora, který prostřednictvím simulovaného útoku, využívajícího postupy a techniky reálných útočníků, prověří kvalitu a odolnost zabezpečení v dané organizaci s cílem poskytnout jí informace o tom, jak dobře jsou její systémy a data chráněné.

S penetračními testy už má zkušenosti řada firem, od start‑upů až po velké organizace, přičemž mnohé je i pravidelně vykonávají a jsou zpravidla i nedílnou součástí jejich podnikové koncepce informační bezpečnosti.

Jak se ale výsledky penetračního testu reálně využijí?

Výstupem penetračního testu je závěrečná zpráva, ve které jsou detailně zpracovány výsledky testování. Popsány odhalené nedostatky, definován stupeň jejich závažnosti včetně možných důsledků jejich zneužití a navržena doporučení pro jejich eliminaci. Tato zpráva tak organizaci přináší strategické informace o jejím aktuálním stavu kybernetického zabezpečení, na jejímž základě může činit kroky ke zlepšení.

Ukázka závěrečné zprávy

Detekované zranitelnosti jsou vyhodnoceny a označeny odpovídajícím stupněm závažnosti v souladu s metodikou CVSS. Hodnocení reflektuje vektor útoku, komplexnost útoku, potřebná oprávnění útočníka, nutnost interakce s uživatelem systému, závažnost dopadu na jiné komponenty a vliv na omezení důvěrnosti, integrity a dostupnosti dat.

Pokud vás zajímá, jak taková závěrečná zpráva z penetračního testu vypadá a co vše může obsahovat, připravili jsme anonymizovanou ukázku, kterou vám rádi pošleme.

Poslat ukázku závěrečné zprávy

A jak je tomu v případě externí síťové infrastruktury?

Penetrační testy směrované na externí síťovou infrastrukturu se zaměřují na identifikaci zranitelností, které by mohli útočníci zneužít ze vzdálené lokace. Jsou zacílené zejména na prověrku zabezpečení systémů, jež jsou běžně dostupné z internetu.

V tomto směru je ale potřeba celou řadu tuzemských firem pochválit za to, jak velký pokrok v kybernetické odolnosti za poslední roky udělaly. V praxi vidím, že identifikovat zranitelnost s kritickým dopadem je dnes mnohem složitější, než bylo běžné dříve.

A kde se nacházejí největší problémy?

Nejvíce nebezpečí představuje pořád ještě velké množství neaktualizovaného nebo zastaralého softwaru. Tyto softwarové části infrastruktury totiž zpravidla obsahují chyby umožňující útočníkovi spustit vlastní kód anebo nejčastěji způsobit nedostupnost služby.

Znepokojující kapitolou je pak způsob autentizace uživatelů v nejrůznějších aplikacích dostupných z internetu. Ty umožňují často dvě velice nebezpečné kombinace zranitelností – útočník nejdříve může jednoduše hádat platné uživatelské jméno a poté neomezeně i správné heslo, a to včetně administrátorských účtů.

Nezapomínat by firmy neměly ani na bezpečnou konfiguraci prvků infrastruktury. Chyby v této oblasti mohou mít za následek exfiltraci dat z webových serverů, firewallů a dalších síťových zařízení. Řada těchto zranitelností vznikne ještě v čase před samotným uvedením do provozu např. při uživatelském testování, kdy je kybernetická bezpečnost zpravidla ještě na vedlejší koleji.

Lze těmto zranitelnostem zabránit?

Určitě je možné řadě z nich úspěšně předcházet. Tady jsou naše doporučení:

  • Udržujte počítačový software a systémy aktuální
  • Požadujte po svých administrátorech nebo dodavatelích plán údržby
  • Svého manažera kybernetické bezpečnosti nechte zpracovat kontrolní checklist pro jednotlivé části infrastruktury, který následně uplatníte při změnách nebo před uvedením nové komponenty do provozu
  • Stanovte si plán pro pravidelné testování své externí síťové infrastruktury

Penetrační testy odhalí včas skryté hrozby

Problémem ale může být i fyzická bezpečnost?

Zabezpečení fyzického perimetru organizace vyžaduje, mimo standardní zabezpečení v podobě uzamykatelných dveří, plotů a kamer, také ochranu ethernetových zásuvek, tiskáren nebo IoT zařízení.

V každodenní praxi jde zejména o nekompromisní kontrolu návštěv, řízení přístupu prostřednictvím čipových karet nebo řízení přístupu k ethernetovým zásuvkám. A právě u této poslední technologie se nejčastěji objevují nejzávažnější zranitelnosti. Naše zkušenosti opakovaně prokázaly, že řízení přístupu k ethernetovým zásuvkám (standard 802.1X) bez implementace MACsec (802.1AE) lze poměrně lehce obejít, a následně tak přistupovat k interní síti už bez omezení.

A co přístupové karty, jsou pro kontrolu vstupu dostačující?

Systém přístupových karet není, co se týče kvality a úrovně zabezpečení, na tom nikterak dobře, protože v případě cíleného útoku představují tyto karty pro narušitele poměrně lehký cíl. Útočníkovi často stačí pomocí vlastní čtečky asi o velikosti krabičky od zápalek přečíst identifikátor karty např. v průběhu oběda a ten pak nahrát na svoji vlastní kartu. To mu umožní získat komfortní přístup do budovy společnosti.

V případě kontrol návštěv často zjišťujeme fakt, že organizace tento úkon dělá nedůsledně. Slabá místa existují v podobě nepřítomnosti recepce nebo nezabezpečeného přístupu z ostatních vstupních prostor. Často jde třeba o garáže, služební výtah nebo boční vchod, který využívají zaměstnanci na kuřáckou pauzu. V těchto případech zpravidla platí, že pokud si útočník pro průnik vybere ideální čas, pak dokáže snadno proniknout do budovy společně s řadou dalších zaměstnanců.

Co tedy udělat, aby se zvýšila ochrana fyzického perimetru?

  • Pokud implementujete protokol 802.1X, požadujte od do­da­va­te­le síťové infrastruktury a dalších prvků i nasazení MACsec
  • Požadujte, aby přístupové karty a čtečky využívaly šifrované technologie pro řízení přístupu
  • Vyžadujte nošení přístupových a identifikačních karet na viditelných místech nejen v případě návštěvních osob, ale i po svých zaměstnancích
  • Zmapujte si místa, odkud by bylo možné proniknout do firemních prostor bez autorizace, a doplňte je o vhodné prostředky pro autentizaci

Důvěřovat technologiím tedy nestačí?

Bezpečný perimetr – jak ten síťový, tak fyzický – vyžaduje vhodné organizační politiky, striktní dodržování pravidel a v neposlední řadě správně aplikované technologie. Jen tak dosáhnete vysoké míry bezpečnosti vůči neoprávněnému průniku do organizace. A nezávislá verifikace v podobě penetračních testů organizacím pomůže odhalit nedostatky dříve, než se o to pokusí skutečný útočník.

Sestavíme penetrační test přesně na míru vaší firmy

Partner článku:
tns