X
Število kibernetskih napadov se je v zadnjem letu podvojilo. Vas zanima, kako se jim lahko izognete? Postanite del naše skupnosti.
In the last year, the number of cyberattacks doubled compared to the year before. Do you want to repel potential threats? Join our community.
  • Skip to primary navigation
  • Skip to main content
  • Skip to footer
Carbonsec – Cybersecurity Consultancy Services Company

Carbonsec - Cybersecurity Consultancy Services Company

Cybersecurity services for businesses to be hackerproof, because it sucks to waste unnecessary time dealing with cyber criminals instead of focusing on business.

  • Storitve
    • DDoS test
    • Penetracijski test
    • Red Teaming
    • SCADA sistemi – varnostni pregled
    • Varnostno svetovanje
    • Varnostna analiza izvorne kode
  • Rešitve
    • Pentera – avtomatizirano penetracijsko testiranje
    • Simulacija napadov po e-pošti
    • Simulacija vdora in napada
    • Brezplačna orodja
  • Izobraževanje
    • Ozaveščanje uporabnikov
    • Varnost za programerje
    • Purple Team coaching
  • Novice
    • Novice
    • Blog
  • Podjetje
    • O nas
    • Ožja ekipa
    • Zaposlitev
    • Partnerji
  • Kontakt
  • ENG
  • Email
  • Facebook
  • LinkedIn

1000 pentesterjev v škatlici – sanje ali resničnost?

25. avgusta, 2020 by Matjaž Kosem

1000 hekerjev na dan… vsak dan

Danes praktično ne mine dan, ko na spletu ne bi mogli prebrati novico o kakšnem hekerskem vdoru in preštevanju poslovne škode, o kakšni novi ranljivosti v sistemih prisotnih v skoraj vsakem podjetju, pa o spet novih inovativnih tehnikah socialnega inženiringa, o bajnih zaslužkih s pomočjo hekerskega izsiljevanja, ipd.. Zagotavljanje dobre varnostne drže v današnjem času res postaja velik izziv, zato ni čudno, da si marsikateri CISO zastavlja vprašanje, kako naprej oz. kako zares učinkovito obvladovati varnostna tveganja?

Kaj vse vpliva na kibernetsko-varnostna tveganja in kako jih učinkovito obvladovati?

Glavna skrb pri varovanju informacijskih sredstev je, da bodo vedno na razpolago tistim, ki imajo za njihov dostop pravico in to v točno takšni obliki, kot morajo biti. Organizacije posedujejo informacijska sredstva v obliki podatkov, ki so večinomo shranjena na računalniških sistemih. Ti sistemi lahko vsebujejo oz. bodo vsebovali ranljivosti, te ranljivosti pa lahko izkoristi heker, kar poenostavljeno imenujemo grožnja. In ker si seveda želimo, da bi bila verjetnost realizacije grožnje čim manjša, bomo naredili vse, da bi to preprečili.

Tveganja, da bi do uresničitve groženj prišlo, lahko zmanjšujemo na tri načine:

  1. Sredstva varujemo z varnostnimi napravami in rešitvami – od relativno majhnega nabora osnovnih zaščit, kot so klasične požarne pregrade in protivirusni programi več kot desetletje nazaj se danes v organizaciji lahko najde tudi več kot 100 različnih varnostnih rešitev.
  2. Si pomagamo s sistemi za upravljanje z ranljivostmi – na ta način praktično vsak dan vemo, kateri sistemi nimajo nameščenih varnostnih popravkov ter katere popravke bi bilo bolj nujno namestiti kot druge.
  3. Spremljamo grožnje s pomočjo t.i. TI (angl. Threat Intelligence) orodij – namen tega je, da zadosti zgodaj izvemo, ali se nekje dogajajo napadi, specifični za določeno industrijo, ki se lahko zgodijo tudi meni. 

Ker pa je informacijski sistem »živ organizem«, pomeni, da se vse troje neprestano spreminja:

  1. Dodajanje novih sistemov, prenavljanje delov omrežij, povezovanje z oblačnimi storitvami, vpeljevanje novih storitev
  2. Ranljivosti se spreminjajo. Že samo pogled na CVE bazo nam pove, da se le ta neprestano povečuje
  3. Grožnje se spreminjajo, pa naj gre za nove hekerske skupine ali pa nove kampanje s še nikoli videnimi tehnikami napada.

Eden izmed najboljših načinov preverjanja, kje dejansko smo, je stari dobri vdorni test, ali pa celo Red Teaming (v čem so razlike med prvim in drugim sem zapisal v blog zapisu: Kaj je to Red Teaming? Pentest?).

Kljub priljubljenosti pa tovrstna testiranja varnosti vendarle imajo nekaj pomanjkljivosti:

  1. Trajanje testa do končnega poročila je vsaj dva tedna, lahko pa tudi precej več
  2. Pomanjkanje ekspertov za tovrstne aktivnosti pomeni relativno visoko ceno
  3. Rezultat je praviloma odvisen od izkušenosti in talenta pentesterja, včasih celo dnevne forme ali počutja

Zaradi omenjenega se vdorna testiranja največkrat izvajajo enkrat letno in imajo pravo vrednost le na dan zaključka z »rokom trajanja« do prve spremembe.

Rešitev

Kakšna bi bila torej rešitev? V idealnem svetu bi bil vdorni test hitrejši, cenejši in popolnejši, torej neodvisen od ekspertize posameznika. Če se nekoliko pošalim lahko rečem, da bi potemtakem potrebovali 1000 popolnih pentesterjev v škatlici in vedno na voljo, po možnosti s pritiskom na gumb. Sanje ali resničnost?

Dame in gospodje! Predstavljam vam prvo in ta trenutek edino orodje za avtomatizirano, strojno gnano penetracijsko testiranje infrastrukture, PcySys PenTera. Da bo neznano končno postalo znano, če bo potrebno vsak dan in le s preprostim pritiskom na gumb.

P.S.

Ker vsak penetracijski test pokaže na pomanjkljivosti, ki jih je treba odpraviti, kar sploh v večjih sistemih velikokrat ni enostavno, se včasih zdi, kot da bi bilo bolje ne vedeti, kje vse obstaja problem.

Ali je res bolje ne vedeti kot vedeti?

Blog,  Novice,  Red Teaming

Naj vam pomagamo

Pišite nam in nam pošljite osnovne informacije o vašem projektu.

Pošljite povpraševanje

Footer

O NAS

Svetovalne storitve kibernetske varnosti za podjetja, da bodo varna pred vdori in tako popolnoma osredotočena na svoje poslovanje.

  • Email
  • Facebook
  • LinkedIn

KONTAKT

CARBONSEC d.o.o.
Hacquetova ulica 8
1000 Ljubljana
Slovenija

info@carbonsec.com

HITRE POVEZAVE

  • Postanite del naše skupnosti.
  • Blog
  • Pogoji uporabe
  • Politika zasebnosti
  • Piškotki

STORITVE

  • Penetracijski test
  • Red Teaming
  • SCADA sistemi – varnostni pregled
  • Varnostno svetovanje
  • Varnostna analiza izvorne kode
  • Izobraževanje
  • DDoS test

Copyright © 2023 Carbonsec · Created by mod.si

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vedno omogočeno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT