Minden olyan szervezetnek, amely érzékeny adatokkal dolgozik, kiemelten fontosan kell kezelnie a biztonság kérdéskörét, amelyek közé tartozik a rendszeres pen-tesztelés vagy sérülékenység-vizsgálat is. Ugyanis még egy kisebb adatszivárgás is jelentős károkat okozhat a szervezet hírnevének és működésének.
Két fő oka van annak, hogy miért szükséges a rendszeres penetration testing, annak érdekében, hogy fejlesztéseink megfeleljenek a kiberbiztonsági elvárásoknak:
Az első a “biztonság”:
Például webes alkalmazások estében, a rendszerek folyamatosan fejlődnek, és folyamatosan új sebezhetőségeket fedeznek fel bennük. A pen-tesztelés segít azonosítani azokat a sebezhetőségeket, amelyeket a rosszindulatú hackerek kihasználhatnak, és lehetővé teszi, hogy kijavítsuk őket még azelőtt, hogy kárt okozhatnának.
A második a “megfelelés”:
Az iparágtól, és a cége által kezelt adatok típusától függően, bizonyos biztonsági szabványoknak (pl. PCI DSS, NIST, HIPAA) való megfelelésre is szükség lehet. A rendszeres pen-tesztek segítségével ellenőrizheti, hogy rendszeri vagy alkalmazásai megfelelnek-e ezeknek a szabványoknak, és elkerülheti a nem-megfelelésért járó büntetéseket.
Milyen gyakran kell sérülékenység vizsgálatot végezni?
A legtöbb szervezetnek, függetlenül attól, hogy kicsik vagy nagyok, egyaránt, évente egyszer van szüksége sérülékenység vizsgálatra, tehát kijelenthető, hogy pen-tesztelés ciklusa átlagosan 1 év. De mi az ideális gyakoriság a pen-teszteléshez? Valóban elég évente egyszer, vagy ennél gyakrabban is szükséges lehet?
A válasz több tényezőtől függ: többek között a fejlesztési ciklus típusától, a rendszerek és alkalmazások kritikusságától, és az iparágtól, amelyben tevékenykednek.
Gyakoribb pen-tesztelésre lehet szüksége, ha:
Agilis vagy folyamatos szállítási ciklusban dolgoznak.
Az agilis fejlesztési ciklusokat rövid szállítási ciklusok, és gyors iterációk jellemzik. Ez megnehezítheti a kódbázisban végrehajtott változtatások nyomon követését, és valószínűbbé teszi a biztonsági sebezhetőségek előfordulását.
Ha csak évente egyszer tesztel, akkor jó esély van arra, hogy a sebezhetőségek hosszú ideig észrevétlenek maradnak. Ezáltal a szervezet kivan téve a támadásoknak.
E kockázat csökkentése érdekében a pen-tesztelési ciklusoknak igazodniuk kell a szervezet fejlesztési ciklusához. Statikus webes alkalmazások esetében például 4-6 havonta szükséges tesztelni. A gyakran frissülő webes alkalmazások esetében azonban gyakrabban, például havonta vagy akár hetente is szükség lehet a sérülékenység vizsgálatra.
Az Ön rendszerei vagy alkalmazásai üzleti szempontból kritikusak?
Minden olyan rendszerre, amely alapvető fontosságú a szervezet működése szempontjából, különös figyelmet kell fordítani, ha a biztonságról van szó. Ennek oka, hogy ezeknek a rendszereknek a sérülése pusztító hatással lehet az Ön vállalkozására. Ha a szervezete nagymértékben támaszkodik az adott rendszerekre és alkalmazásokra az üzletmenetben is, akkor bármilyen kiesés jelentős pénzügyi veszteségeket okozhat a cége számára.
Képzeljük el például azt a szituációt, hogy egy cég webshopja egy órára leáll, egy DDoS-támadás miatt. Nemcsak a potenciális eladásoktól esik el így, hanem a támadás költségeivel, és a negatív hírveréssel is meg kellene küzdenie - tehát vásárlókat veszít.
Ennek a forgatókönyvnek az elkerülése érdekében fontos, hogy rendszerei és alkalmazásai mindig elérhetőek és biztonságosak legyenek. S innen látszik, hogy a kiberbiztonság nem csupán informatikai kérdés, hanem fontos az általános üzletmenet, a marketing és a brand kommunikáció szempontjából is.
A nem kritikus rendszerek és alkalmazások általában megúszhatják évi egyszeri teszteléssel is, de az üzleti szempontból kritikus rendszereket és alkalmazásokat gyakrabban kell tesztelni, hogy biztosítva legyen az, hogy nem fenyegeti őket nagyobb kiesés vagy adatvesztés veszélye.
Céges rendszerei és alkalmazásai külső vagy belső felhasználásúak?
Ha az összes rendszere és alkalmazása belső használatú, akkor lehet, hogy ritkábban is végezhet pen-tesztelést. Ha azonban a rendszerei és alkalmazásai a nyilvánosság számára is elérhetőek, akkor fokozottan ügyelnie kell a biztonságra és a megelőzésben gondolkodnia.
Ugyanis a külső forgalom számára elérhető rendszerek és alkalmazások, nagyobb valószínűséggel válnak a támadók célpontjává. Ennek oka, hogy a rosszindulatú hackerek számára nagyobb a támadási vektorok tárháza, és több potenciális belépési pont áll rendelkezésükre.
Az ügyfeleknek szóló rendszereknek és alkalmazásoknak általában több felhasználója is van, ami azt jelenti, hogy a biztonsági réseket gyorsabban kihasználják. Például egy több millió felhasználóval rendelkező külső webalkalmazásban, egy keresztoldali szkriptelési (XSS) sebezhetőséget, a felfedezéstől számított első órákon belül ki lehet használni.
Az ilyen fenyegetések elleni védelem érdekében fontos, hogy gyakrabban végezzenek sérülékenység-vizsgálatot, az ilyenfajta rendszereken és alkalmazásokon. Az alkalmazás méretétől és összetettségétől függően havonta, vagy akár hetente is szükség lehet pen-tesztelésre.
Cége magas kockázatú iparágba tevékenykedik?
Bizonyos iparágak nagyobb valószínűséggel válnak hackerek célpontjává, az adatok érzékeny jellege miatt. Az egészségügyi szervezetek például gyakran kerülnek célkeresztbe, a védett és érzékeny egészségügyi információk (PHI) miatt.
Ha cége magas kockázatú iparágban tevékenykedik, érdemes megfontolnia, hogy gyakrabban végezzen sérülékenység-vizsgálatokat, annak érdekében, hogy biztosítsa rendszerei biztonságát és a jogszabályi megfelelőséget. Ez segít megvédeni az adatokat, és csökkenti a költséges biztonsági incidensek esélyét - és a reputáció vesztést.
Nincs belső IT-biztonsági protokollja vagy pen-tesztelő csapata?
Lehet, hogy ez ellentmondásosnak hangzik, de ha nincs dedikált belső IT-biztonsági csapata, akkor lehet, hogy gyakrabban kell pen-teszteket végeznie.
Azok a szervezetek, amelyek nem rendelkeznek dedikált biztonsági személyzettel, nagyobb valószínűséggel vannak kitéve a támadásoknak.
Belső IT-biztonsági csapat nélkül, külső pen-tesztelőkre kell támaszkodnia, hogy felmérje a szervezet biztonsági helyzetét. A szervezet méretétől és összetettségétől függően előfordulhat, hogy havonta, vagy akár hetente is kell pen-tesztet végeznie.
Cége fúziókkal vagy felvásárlásokkal foglalkozik?
Egy fúzió, vagy felvásárlás során gyakran nagy a zűrzavar és a káosz. Ez megnehezítheti az összes rendszer és adat áttekintését, amelyeket biztosítani kell, s ott vannak még az úgynevezett legacy rendszerek is, melyek sok veszélyt rejtenek magukban. Ezért fontos, hogy ilyenkor gyakrabban végezzen pen-teszteket, hogy biztosítsa az összes rendszer biztonságát.
Az M&A azt is jelenti, hogy új rendszerekkel és alkalmazásokkal bővítik a szervezet infrastruktúráját. Ezek az új alkalmazások ismeretlen biztonsági réseket tartalmazhatnak, amelyek az egész szervezetét veszélybe sodorhatják.
2016-ban a Marriott felvásárolta a Starwoodot anélkül, hogy tudott volna arról, hogy a hackerek két évvel korábban kihasználták a Starwood foglalási rendszerének egy hibáját. Több mint 500 millió ügyfél-adat került veszélybe. Ez a Marriottot kutyaszorítóba sodorta, és a brit felügyeleti hatóság, az ICO is vizsgálat alá vonta őket, ami 18,4 millió fontos bírságot eredményezett. A Bloomberg szerint még további problémák is várhatóak, mivel a szállodaóriás "akár 1 milliárd dollárnyi hatósági bírsággal és perköltséggel is szembesülhet”, mire lezárul, az azóta tartó történet.
Az ilyen fenyegetések elleni védelem érdekében fontos, hogy sérülékenység-vizsgálatot végezzenek egy-egy akvizíció előtt és után is. Ez segít azonosítani a potenciális biztonsági problémákat, így azok még az átállás előtt kijavíthatóak. Ugyanide sorolhatóak a megörökölt legacy rendszerek is, melyekhez nincs feltétlen szükség cégfelvásárlásra sem.
A folyamatos sérülékenység-vizsgálat fontossága
Bár az időszakos pen-tesztelés fontos, a mai világban ez már nem elég. Mivel a vállalkozások egyre inkább web alapú alkalmazásaikra támaszkodnak, a folyamatos pen-tesztelés is egyre fontosabbá válik.
A sérülékenység-vizsgálatnak két fő típusa van: az időzített és a folyamatos.
A hagyományos pen-tesztelés meghatározott ütemezés szerint történik, például évente egyszer. Ez a fajta pen-tesztelés, mint említettük manapság nem elegendő, mivel szinte már nincs olyan cég vagy vállalkozás, amely ne lenne kitéve a támadhatóságnak.
Ellenben a folyamatos pen-tesztelés, az a folyamat, amelynek során folyamatosan vizsgálat alatt tartjuk a rendszereit, és sebezhetőségek után kutatunk - hogy még a rosszindulatú hackerek előtt megtaláljuk azokat.
Ez lehetővé teszi a sebezhetőségek azonosítását és javítását még időben, mielőtt a támadók kihasználhatnák azokat. A folyamatos pen-tesztelés lehetővé teszi, hogy a biztonsági problémákat akkor találjuk meg és javítsuk ki, amikor azok felmerülnek, ahelyett, hogy megvárnánk az időszakos tesztelés eredményét.
A folyamatos pen-tesztelés különösen fontos, az agilis fejlesztési ciklust alkalmazó szervezetek számára. Mivel az új kódokat gyakrabban telepítik, nagyobb az esélye annak is, hogy biztonsági rések kerülnek a rendszerbe.
Összefoglalva
A rendszeres sérülékenység-vizsgálat elengedhetetlen a biztonságos rendszerek és alkalmazások fejlesztéséhez. Szervezete méretétől, iparágától és fejlesztési ciklusától függően előfordulhat, hogy felül kell vizsgálnia a pen-tesztelési ütemtervét, amibenszívesen segítünk.
Az évente egyszeri sérülékenység-vizsgálati ciklus, egyes szervezetek számára elegendő lehet, de a legtöbb szervezet számára nem. Az üzletileg kritikus, az ügyfeleknek gyártott, vagy nagy forgalmú rendszerek és webes alkalmazások esetében fontolóra kell venni a folyamatos pen-tesztelési ciklust.
A Zero IT Lab kiberbiztonsági csapata dedikált szakembereivel rendelkezésére áll. Lépjen kapcsolatba velünk még ma, ha biztonságban szeretné tudni cége informatikai rendszereit.
Forrás: TheHackerNews