Dbałość o bezpieczeństwo

Jak sprawdzić, czy firma jest bezpieczna? Zazwyczaj jest to utożsamiane z bezpieczeństwem komputerów. Tymczasem dobry audyt wykracza poza te ramy.

Najtańszym sposobem na sprawdzenie podatności systemu teleinformatycznego jest test penetracyjny. Obejmuje on zazwyczaj sprawdzenie możliwości ataku kierowanego przeciw firmowym aplikacjom i infrastrukturze. Jest to - przeprowadzana zdalnie - próba przełamania zabezpieczeń zapór sieciowych, serwerów i aplikacji. Zazwyczaj audytor nazywany pentesterem posiada zestaw narzędzi wykorzystywanych przez włamywaczy, ale musi posiadać też odpowiednią wiedzę, aby poprawnie ocenić podatność na ataki. Ponieważ dzisiejsze ataki w większości są kierowane przeciw aplikacjom - rzadziej przeciw serwerom lub ich systemom operacyjnym - najwięcej podatności dotyczy błędów SQL Injection oraz OS Injection (80% naruszeń bezpieczeństwa aplikacji w ogóle), LDAP Injection, CLI Injection i Cross Site Scripting.

Typy testów bezpieczeństwa

Wiele informacji przynoszą testy wewnętrzne, których zadaniem jest wykrycie podatności sieci lokalnej przedsiębiorstwa. Zadaniem testu jest wykrycie drogi, z której potencjalnie może skorzystać intruz. O ile zapory sieciowe skutecznie bronią sieć przed atakami z zewnątrz, wiele sieci jest bezbronnych, gdy atak wiedzie od środka. Zatem przy wyborze wykonawcy testów penetracyjnych należy zapoznać się dokładnie z opisem stosowanej metodologii i przeprowadzić również testy odporności na atak inicjowany z wewnątrz firmy (np. z podsieci dla gości).

Kolejny test powinien obejmować sprawdzenie odporności firmy na ataki socjotechniczne. Należy sprawdzić podszywanie się pod pracownika i prośbę o reset hasła w dziale IT. Jest to jedno z ulubionych działań intruzów. Należy przetestować także możliwość umiejętnego pozyskania hasła od użytkowników i odporność firmy na fałszywe dokumenty wysyłane faksem i pocztą elektroniczną. Ważne jest również sprawdzenie bezpieczeństwa technicznego, w tym możliwości niekontrolowanego wejścia na teren firmy, podając się za pracownika, kontrahenta, pracownika firmy sprzątającej lub ochrony. Należy sprawdzić, czy pracownicy nie zapisują haseł dostępu na kartkach blisko monitora, czy informacje tam dostępne nie sugerują innych słabości firmy. Wiele takich prób udaje się w praktyce, dlatego audytor powinien posiąść możliwie dużą wiedzę na temat reguł współpracy rządzących firmą oraz nawyków poszczególnych pracowników.

Razem z takim testem sprawdza się dostępność wiedzy na temat personelu. W wielu przypadkach informacja o poziomie wiedzy pracowników IT, stosowanych technologiach, a nawet o nawykach i słabościach, jest publicznie dostępna, choćby w formie CV, blogów, publicznych tekstów oraz analiz zamówień. Badanie podatności firmy musi uwzględniać także te aspekty, dlatego należy wybierać firmy, które potrafią przeprowadzić podobne testy.