Zagotavljanje kibernetsko varnega okolja pogosto povezujemo z nameščanjem novih, naprednejših varnostnih naprav. Res je, da tehnološki razvoj omogoča vedno boljšo tehnično zaščito informacijskega sistema. A praksa kaže, da sama oprema pogosto ne reši varnostnega izziva, s katerim se organizacija sooča. Dejansko stanje kibernetske varnosti nam pokaže šele vdorni test.
Za doseganje ustrezno visokega nivoja kibernetske varnosti sta ključni pravilna umeščenost varnostnih naprav v sistem in njihova optimizacija. Za boljšo kibernetsko odpornost pa moramo poskrbeti še z ozaveščanjem uporabnikov in skrbnikov informacijskega sistema.
Vdorni test vam pokaže, ali je tehnična zaščita vašega informacijskega sistema dovolj učinkovita, da izpolnjuje vaše zahteve in kriterije na področju kibernetske varnosti. Z izsledki testa pridobite informacije o morebitnih ranljivostih in pomanjkljivostih v konfiguraciji. S takšnim pristopom lahko bolje izkoristite obstoječo opremo in novo dodajate ciljno na področja, na katerih je vdorni test pokazal varnostne primanjkljaje.
100 % varnosti ni, lahko pa se ji nenehno približujemo
Zaznavanje varnostnih ranljivosti je po priporočilih ameriškega inštituta NIST eden od ključnih korakov v upravljanju kibernetske varnosti. Sledi mu odzivanje na odkrite ranljivosti. S ponavljanjem teh dveh korakov stremimo k stalnemu izboljševanju kibernetske varnosti.
Kljub temu da 100 % varnosti ne moremo doseči, se ji lahko z ustreznimi ukrepi vsaj čim bolj približamo. Na podlagi izvedenih varnostnih testov vpeljemo ukrepe, s katerimi na ravni sistema in uporabnikov poskrbimo za zaupnost, celovitost in razpoložljivost informacij in storitev.
Organizacije, ki poleg poslovnega informacijskega sistema uporabljajo še procesno okolje, se srečujejo z dodatnim izzivom. Če so v prvem nadgradnje in spremembe običajno stalnica, je pri drugem cilj čim večja stabilnost in nespremenljivost okolja. Temu primerno moramo prilagoditi tudi varnostno testiranje.
Vdorni test poslovnega in procesnega sistema – zakaj nista enaka?
Vdorno testiranje IT sistema in aplikacij je usmerjeno v zagotavljanje zaupnosti, celovitosti in razpoložljivosti poslovnega informacijskega sistema in storitev, ki jih pri svojem delu uporabljajo uporabniki in odjemalci.
Pri tem se najprej vprašamo, kaj v IT sistemu je dostopno od zunaj in v naslednji fazi, kako je za kibernetsko varnost poskrbljeno v notranjem omrežju. S sistematičnim pristopom preverimo možne vstopne točke v omrežje in jih poskusimo izrabiti.
Testiranje spletnih in mobilnih aplikacij izvajamo v skladu s priznanimi metodologijami, za namen odkrivanja pomanjkljivosti v sami konfiguraciji aplikacije pa izvajamo tudi statične preglede izvorne kode in na podlagi dobljenih rezultatov razvijalcem svetujemo, kako lahko produkte varnostno izboljšajo.
Poslovni IT sistemi in aplikacije se soočajo s pojavom vedno novih ranljivosti, ki jih je treba odpravljati z nameščanjem varnostnih popravkov ali s spremembami v konfiguraciji varnostnih naprav. Ta okolja so razmeroma prilagodljiva in agilna, zato je vpeljevanje sprememb praviloma neproblematično.
Po drugi strani pa procesna okolja, kot so industrijski nadzorni sistemi, običajno tečejo na starejših tehnologijah in varnostni popravki pogosto niso več na voljo. Dokler so bila ta omrežja popolnoma izolirana od ostalih informacijskih sistemov, so bila relativno varna pred kibernetskimi vdori.
S povezovanjem industrijskih sistemov v internet stvari se je na področju OT površina napada močno povečala in z njo tudi varnostna tveganja. Varnostni pregledi OT sistemov se še vedno pogosto izvajajo s pregledovanjem arhitekture in politik ali testiranjem v demo okolju. Dodatno moramo pri ocenjevanju tveganj nujno vzeti v obzir tudi dobavno verigo, po kateri lahko pride do napada na omrežje. Industrijski nadzorni sistemi so zaradi prepletanja zastarelih in sodobnih tehnologij danes veliko bolj izpostavljeni kibernetskim napadom, kot so jim bili v preteklosti.
Šibka gesla so skupni imenovalec tveganj v IT in OT okoljih
Povezovalni element, ki ga je smotrno preveriti tako v industrijskih kot poslovnih okoljih, so gesla. Tipično skrbniki sistemov več pozornosti namenjajo močnim geslom uporabnikov, a se je že večkrat izkazalo, da so varnostno bolj pomanjkljiva sistemska gesla. Kot enega pomembnih korakov pri varnostnem testiranju zato prepoznavamo tudi test varnosti gesel, s katerim preverite učinkovitost politike uporabe gesel in ustreznost uporabniških, sistemskih in servisnih gesel.
Pomembna sprememba, do katere je v zadnjih letih prišlo na področju varnosti gesel, je njihova struktura. Če je v preteklosti veljalo, da morajo biti gesla kompleksna v smislu uporabe različnih znakov in simbolov, zadnje smernice bolj poudarjajo dolžino gesla. Priporočamo, da oblikujete gesla v obliki daljših stavkov (ang. pass-phrases), ki tvorijo smiselno celoti in si jih lažje zapomnite (npr. V otroštvu smo pogosto hodili na počitnice v Bohinj, kjer smo se kopali v kristalno čisti jezerski vodi.). Tudi za sistemska gesla lahko poiščete rešitve gesel v povedih, ki si jih bodo lahko zapomnili vsi administratorji z odobrenim dostopom. Poleg tega za dodatno zaščito vpeljite dvofaktorsko avtentikacijo. Ob takšni politiki gesel spreminjanje vsakih nekaj mesec ni potrebno, lahko jih na primer spremenite enkrat letno.
Poleg ustrezne politike gesel je treba veliko pozornosti nameniti tudi ozaveščanju uporabnikov, zakaj so dobro varovana gesla izredno pomembna za organizacijo in zakaj jih nikakor ne smejo z nikomer deliti. Poleg tega je zlata vredna tudi naložba v treniranje uporabnikov v prepoznavanju napadov s socialnim inženiringom.
Zakaj vdorni test?
Zakaj je torej kakovosten vdorni test nujen sestavni del obvladovanja kibernetskih tveganj?
Na podlagi naših izkušenj bodo napadalci z zelo veliko verjetnostjo preko vaših zaposlenih pridobili dostop do notranjega omrežja. V organizacijah, kjer sistematično skrbijo za izobraževanje zaposlenih na področju kibernetske varnosti, je možnost za to sicer manjša kot tam, kjer ne, vseeno pa obstaja. Motivirani napadalci lahko ob dobro pripravljeni vsebini z usmerjenim napadom z ribarjenjem prelisičijo tudi pozornega uporabnika.
Ko napadalec dobi dostop v notranje omrežje, je vse odvisno od nastavitev vaših varnostnih naprav in sposobnosti odziva. To »poglavje« kibernetske varnosti lahko najbolj učinkovito preverite ravno z usmerjenimi vdornimi testi. Pri takšnem testiranju določite segment, ki ga želite pregledati in cilje, ki jih želite s tem doseči. Kakovostno poročilo ob koncu testiranja je odlična osnova za nadaljnje ukrepe in izboljšave.
Penetracijski test
Penetracijski test omogoča odkrivanje ranljivosti IT sistema in je podlaga za določanje njihove kritičnosti in podajanje priporočil.
SCADA sistemi – varnost v industrijskem okolju
ICS in SCADA sistemi so specifična omrežja, ki za izvajalca varnostnega pregleda zahtevajo specializirana znanja in bogate izkušnje.
Test varnosti gesel
Test varnosti gesel je storitev, s katero preverite, ali je vaša varnostna politika ustrezna in kako varna so gesla v vašem omrežju.