Vo všeobecnom nariadení o ochrane údajov (GDPR) sa uvádza, že prevádzkovateľ, musí „prijať vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie osobných údajov sa vykonáva v súlade s týmto nariadením“ (článok 24 ods. 1). GDPR odporúča, aby ste vyhodnotili aplikácie a kritickú infraštruktúru z dôvodu zraniteľnosti zabezpečenia a aby bola účinnosť vašich bezpečnostných kontrol pravidelne testovaná.
Ako môžeme hodnotiť bezpečnosť aplikácií alebo infraštruktúry?
Hodnotenie bezpečnosti sa dá urobiť formou penetračného testu a zároveň určiť, či a ako môže útočník získať neoprávnený prístup k dátam. Pomocou penetračného testovania sa preverí efektívnosť technických opatrení a zabezpečenie ochrany osobných údajov. Je to spôsob, ako identifikovať zraniteľné miesta, ktoré možno využiť na obídenie bezpečnostných kontrol. Penetračné testy sú vhodnou prevenciou pred bezpečnostnými incidentmi a následným ohrozením dobrého mena firmy.
Aké sú typy penetračných testov?
Rôzne typy penetračných testov sa prispôsobujú konkrétnym potrebám zákazníkov. Vo všeobecnosti je možné vykonávať nasledovné testy:
Automatizovaný test - Každý počítač dostupný z internetu môže byť niekoľkokrát za deň preskúmaný automatickými robotmi. Pri kritických bezpečnostných chybách objavených pri kontrole bude manuálne overené, či nejde o falošné zistenie (false-positive) alebo či je možné túto chybu naozaj využiť.
Test webovej aplikácie - Každá web aplikácia na internete je vystavená riziku cieleného útoku. Dôvodom útoku je získanie prístupu k zaujímavým dátam, či osobným údajom alebo poškodenie mena vlastníka webu. Medzi ciele útočníkov nepatria len veľké banky, e-shopy a médiá, ale každá aplikácia potenciálne obsahujúca citlivé informácie alebo osobné údaje. Test môže byť vykonaný podľa OWASP Top 10 (Open Web Application Security Project) zameraný na kontrolu najčastejších zraniteľností alebo môže byť doplnený o vybrané alebo striktne o všetky požiadavky podľa OWASP Testing Guide. Pri detailnom teste je možné dôkladné otestovanie webovej aplikácie a jej infraštruktúry z pohľadu anonymného alebo prihláseného používateľa, resp. rôznych rolí používateľov.
Test mobilnej aplikácie - Tak ako iné typy aplikácií, aj mobilné aplikácie zápasia s výskytom zraniteľností. Potenciálny útočník ich môže zneužiť - spôsobiť únik citlivých dát, obmedziť jej funkčnosť a pod. Pre testovanie sa používa metodika vychádzajúca z OWASP Mobile Security Project kombinovaná so skúsenosťami a znalosťami testera pri testovaní mobilných aplikácií.
Externý test infraštruktúry - Test simulujúci útok zvonka. Používajú sa rovnaké alebo podobné nástroje, aké by použil aj skutočný útočník so zameraním na najčastejšie a najznámejšie chyby. Výstup získaný prostredníctvom automatizovanej kontroly je ďalej analyzovaný a spresňovaný. Cieľom je detegovať slabé miesta, preveriť ich a získané údaje alebo prístupy použiť pri ďalšom skúmaní a prenikaní do systémov.
Interný test infraštruktúry - V rámci testu je preverené zabezpečenie internej siete zákazníka z pohľadu neautorizovaného útočníka s pripojením k sieti a tiež z pohľadu bežného používateľa (zamestnanca). Cieľom je zistiť možnosti neoprávneného prístupu útočníka k informáciám, dátam a činnostiam.
Pre viac informácií o Penetračnom testovaní poskytovanom našimi špecialistami na informačnú bezpečnosť navštívte stránkuESET Services alebo kontaktujte ESET Services na services@eset.sk.