Penetracijsko testiranje je oblika etičnega hekanja, ki ga varnostni strokovnjaki še poseben radi opravljamo. In pri tem se nam ni potrebno bati, da nam bodo za vrat dihali kriminalisti in drugi organi pregona kriminala.
Nismo namreč kriminalci, marveč visoko usposobljeni strokovnjaki, ki načrtno iščemo luknje v varnostnih sistemih, v spletnih aplikacijah in drugih programih.
Kdo je etični heker?
Etični heker je varnostni strokovnjak, ki išče varnostne pomanjkljivosti v informacijskih sistemih in spletnih aplikacijah s tem, da poskuša zaobiti vgrajene varnostne mehanizme oz. izkorišča napake, ki so jih drugi strokovnjaki naredili pri konfiguriranju rešitev ali pri zasnovi in programiranju spletnih aplikacij in programov.
Vse to etični heker počne z vednostjo in v imenu poslovodstva podjetja, kar mu daje potrebno legitimiteto pri delu, ki bi brez dovoljenja in pogodbe sicer veljalo za nezakonito.
Kdaj naročiti penetracijski test?
Šele, ko imate v podjetju primerno varovano infrastrukturo (požarni zidovi, požarni zidovi za spletne aplikacije) je penetracijski test smiseln.
Brez že vpeljanih dobrih varnostnih rešitev je vdiranje v sisteme enostavno prelahko.
Kako izvedemo pen test?
Podjetja se obrnejo na etične hekerje takrat, ko se želijo prepričati, da so sistemi, ki jih uporabljajo ali rešitve, ki jih razvijajo, varne oz. ko poskušajo odkriti čim več varnostnih pomanjkljivosti, ki bi jih v nasprotnem primeru lahko odkrili zlonamerni hekerji.
V grobem lahko penetracijski test izvedemo na tri načine.
- White box penetracijski test.
Ste povsem transparentni do nas in nam zagotovite dostop do internega omrežja, nam razkrijete svoje javne IP naslove, razkrijete uporabniško ime in geslo običajnega uporabnika, ter nazive in IP naslove strežnikov, a pri tem nam ne zagotovite privilegiranih dostopov (brez administratorskih pravic, torej). - Gray box penetracijski test.
Vmesni pristop med White box in Black box testiranjem. Ne razkrijete nam vseh podrobnosti za dostope do vaših sistemov. Sami moramo vložiti nekaj več truda. - Black box penetracijski test.
Poznamo le naziv vašega podjetja. Do vseh ostalih podatkov moramo priti sami. V takem načinu smo postavljeni pred praktično iste prepreke kot bi jih bil deležen pravi heker s svojim nelegalnim početjem.
V vsakem primeru pa poskrbimo za vzajemno pravno varnost tako vas naročnika, kot nas izvajalca. Izjave o nerazkrivanju (NDA) podatkov in dovoljenja za etično hekanje so standardni dokumenti, ki jih podpišemo, preden se lotimo svojega dela.
Medsebojno zaupanje
Nivo zaupanja med vami, naročnikom, in nami, izvajalcem, mora biti na najvišji ravni.
Za penetracijski test, ki bo dal uporabne informacije odgovornim, je pomembno, da zanj ve čim manj ljudi. Zakaj?
Ob zavedanju, da v podjetju poteka penetracijski test, se zaposleni obnašajo povsem drugače, kot če tega vedenja ne bi imeli. V takšni okoliščinah rezultati testa niso realni.
Rezultat penetracijskega testa
Naše poročilo penetracijskega testiranja je detajlno in običajno tudi obsežno. Podjetja ga navadno uporabijo kot neke vrste priročnik za zagotavljanje kibernetske varnosti, ki je prilagojeno specifikam podjetja.
DIH Vavčer za penetracijsko testiranje
Slovenski podjetniški sklad lahko prek Digitalnega inovacijskega stičišča Slovenije (DIH) sofinancira penetracijski test v vašem podjetju z do 60% sredstev, a največ v višini do 10.000 EUR.
Fokus sofinanciranja z vavčerji je na penetracijskem testiranju lastno razvitih spletnih ali mobilnih aplikacij, kar pomeni, da morate imeti avtorske pravice ad spletno ali mobilno aplikacijo.
Spremenjeni odprtokodni sistemi, kot so WordPress, Joomla, Magento, PrestaShop in podobni, se ne štejejo kot lastno razvita aplikacija.
Potrebno pot do pridobitve vavčerja dobro poznamo, zato lahko računate na nas, da vam bomo pomagali na vsakem izmed korakov. Postopek za pridobivanje vavčerja se torej začne s tem, da nas čim prej kontaktirate. Zato ne odlašajte in izpolnite prijavni obrazec, nam pišite ali nas pokličite.