Varnostni pregled omrežja vedno predlagamo preden se lotimo penetracijskega testiranja. Zakaj je tako?
V primeru, da se pogovarjamo za izvedbo penetracijskega testa, vaše podjetje pa nima niti najbolj potrebnih varnostnih IT zaščit in mehanizmov, vam lahko že takoj povemo, da je penetracijski test za vas stran vržen denar.
Verjetnost, da bomo s penetracijskim testom uspešni, torej da bomo vdrli v vaše IT sisteme je pravzaprav enaka 1. Povedano drugače. Prepričani smo, da vas bomo uspešno pohekali.
To je podobno, kot bi pri podjetju, ki izvaja varovanje objektov, naročili preskus varnosti vaših poslovnih prostorov, z namenom odkrivanja pomanjkljivosti, a za alarmno napravo, senzorje na oknih, rešetke na pritličnih odprtinah ter video nadzor še niste slišali, vaši zaposleni pa redno pozabljajo zaklepati vrata pisarn in glavna vhodna vrata, ko odhajajo domov.
Bo izvajalec lahko ugotovil kaj posebej oči odpirajočega? Ne, saj tudi sami že veste, da so vaše pisarne povsem dostopne. Najprej boste torej poskrbeli za osnovno higieno varovanja premoženja, potem pa boste lahko s testom ugotovili, če je kje še kakšna resna pomanjkljivost, na katero snovalci fizične varnosti, niso pomislili.
Če torej vaše podjetje nima že kar precej dobro urejenega področja informacijske varnosti, penetracijsko testiranje nima smisla in tak test enostavno ne bo ugotovil ničesar takega, kar sami morda že ne bi slutili ali vedeli.
In tako smo prišli do tega, kaj je glavni namen varnostnega pregleda omrežja. Z njim bomo ugotovili, kako varnostno zrela je vaša organizacija in kako dobro že imate poskrbljeno za informacijsko varnost.
V primeru, da je tak pregled pred penetracijskim testom, boste tudi lahko prepričani, da bo ta dal relevantne informacije o tem, kako dobro ste pripravljeni na odvračanje kibernetskih napadov.
Ko pa varnostni pregled opravimo kot samostojno storitev, pa vam bodo izsledki pregleda služili kot vhodna informacija pri načrtovanju potrebnih sprememb, ki bodo podjetje naredili bolj varno pred kibernetskim napadom.
Kako izgleda varnostni pregled?
V prvem koraku se z vsemi razpoložljivimi orodji, tudi lasno razvitimi, lotimo skeniranja omrežja. Zanimajo nas varnostni popravki, ki so nameščeni po napravah – tako odkrijemo naprave za zastarelo programsko opremo.
Najbolj očitno je, da lahko ugotovimo, kateri nujno potrebni popravki manjkajo na računalnikih in strežnikih. A nikakor ne izpustimo niti usmerjevalnikov, omrežnih stikal, brezžičnih točk, tiskalnikov, omrežnih diskov (NAS) in drugih IoT naprav, ki so morebiti v vašem omrežju.
Drugi korak je temeljit pregled konfiguracij na požarnih pregradah in mrežnih stikalih. Natančno pregledamo vse nastavitve v domenskem okolju, skupinskih politikah (GPO), strežnikih in drugih napravah.
Vsi podatki, ki smo jih v prvih dveh korakih zbrali, so dobra podlaga za izdelavo zelo podrobnega poročila o varnostnem pregledu omrežja.
Poročilo o pregledu
Naše poročilo zaobjame vse varnostne pomanjkljivosti, ki smo jih našli v našem pregledu. Izdelamo neke vrste semafor, v katerem posebej označimo najdbe, ki se nam zdijo najbolj kritične. S stopnjo kritičnosti označimo tudi ostale pomanjkljivosti, na katere smo naleteli, vendar predstavljajo nekaj nižjo stopnjo tveganja.
Vsaka odkrita varnostna pomanjkljivost ima v našem poročilu tudi povezavo do strokovnih člankov v internetu.
Zadnji del poročila pa vsebuje naša navodila naročniku, kaj mora storiti, da odpravi pomanjkljivosti, v kakšnem vrstnem redu naj se jih loti.
Šele, ko so pomanjkljivosti odpravljene, se lahko dejansko začnemo pogovarjati o izvedbi penetracijskega testa, ki bo v tem primeru dal konkreten in realen vpogled v to, ali je vaša organizacija naredila vse, kar je še smiselno, da zavaruje svoje IT resurse proti hekerskim vdorom.