Dbałość o bezpieczeństwo
-
- 14.09.2010
Firma ma działać
Bezpieczeństwo to także dostępność danych i odporność firmy na awarie. Audyt powinien objąć także procedury chroniące pracę firmy przed skutkami awarii, w tym ochronę danych po awarii sprzętu i utrzymanie ciągłości pracy przedsiębiorstwa. Procedury takie należy sprawdzać co pewien czas, ale nawet jeśli działają, warto je zbadać przy pomocy doświadczonego audytora. Zalecenia mogą być bardzo cenne dla firmy, gdyż mogą przyczynić się do znacznie szybszego przywrócenia sprawności, a także pomogą działowi IT w utrzymaniu ciągłości działania w przypadku awarii.
Taką procedurę należy sprawdzić nawet jeśli firma potrzebuje jedynie wykonywania kopii bezpieczeństwa i możliwości jej odtworzenia w przypadku awarii. Czasami nieduży błąd (taki jak brak zabezpieczonych kluczy szyfrujących backup) może powodować niedostępność danych po awarii. Analiza takich procedur przez audytora daje szansę spojrzenia na potrzeby i możliwości firmy w tej dziedzinie. Niejednokrotnie okazuje się, że przeoczono jedno z zagrożeń, np. problem bezpiecznego przechowywania kaset z kopią bezpieczeństwa.
Raport w cenie
Wynikiem pracy audytora powinien być raport podatności firmy na ataki. W tym raporcie powinno się uwzględniać luki aplikacji, błędy proceduralne, problemy związane z personelem, a także zagrożenia spowodowane przez podmioty trzecie. Nie zawsze w raporcie znajdą się detale techniczne, niemniej należy określić maksymalne skutki udanego wykorzystania wszystkich wykrytych podatności.
Ważnym elementem raportu jest opis zaleceń w celu usunięcia luki w bezpieczeństwie. Opis ten powinien być wyczerpujący, w miarę możliwości powinien zawierać dwa warianty, jeden umożliwiający minimalizację ryzyka w szybki i prosty sposób oraz drugi, który zawiera docelowe działania, mające na celu eliminację wykrytej podatności.
Coraz więcej firm korzysta z aplikacji webowych, zatem badanie ich bezpieczeństwa powinno być jednym z ważniejszych punktów w audycie. Test bezpieczeństwa aplikacji webowej przy pomocy testów penetracyjnych przeprowadza wiele firm. Zazwyczaj korzystają przy tym z wytycznych OWASP, audyt taki obejmuje następujące działania:
1. rozpoznawanie systemu, urządzeń sieciowych, otwartych portów;
2. wstępna penetracja za pomocą powszechnie dostępnych skanerów, fingerprinting widocznych rozwiązań;
3. testy zabezpieczeń przy pomocy profesjonalnych, komercyjnych narzędzi oraz dedykowanego oprogramowania;
4. analiza topologii sieci;
5. analiza wyników pod kątem przygotowania symulacji włamania, wyszukiwanie informacji;
6. testy konfiguracji, informacje o używanych protokołach;
7. testy uwierzytelnienia;
8. rozpoznanie sposobu zarządzania sesją (np. cookie);
9. testy logiki biznesowej (na przykład pominięcie jakiegoś etapu uwierzytelnienia lub elewacji uprawnień);
10. sprawdzenie walidacji danych (SQL Injection, Cross Site Scripting, inne ataki, wliczając przepełnienie bufora);
11. odporność na ataki odmowy obsługi;
12. komunikacja aplikacji, AJAX i inne analizy;
13. porównanie wyników z zapisami w logach serwera i aplikacji;
14. audyt kodu źródłowego;
15. analiza otrzymanych wyników, propozycje zaradcze.
