Slovenski podjetniški sklad je v začetku oktobra znova objavil javni poziv, prek katerega mikro, malim in srednjim podjetjem ponuja vavčer za kibernetsko varnost. Izkoristiti ga je mogoče za sofinanciranje sistemskega varnostnega pregleda in/ali vdornega oziroma penetracijskega testa.
Namen sistemskega varnostnega pregleda je poiskati varnostne pomanjkljivosti v računalnikih, sistemih in omrežju. Ti pregledi so običajno avtomatizirani in zagotovijo prvi vpogled v to, kaj bi lahko napadalci izkoristili. Kakovostni sistemski varnostni pregled vključuje analizo več kot 50 tisoč različnih ranljivosti.
Pri vdornem testiranju pa poskušajo etični hekerji vstopiti v poslovni informacijski sistem. S tem svojim početjem poskušajo dokazati, da je ranljivosti, ki so bile odkrite pri sistemskem varnostnem pregledu, dejansko možno izkoristiti. Omrežje poskušajo na neškodljiv način ogroziti in iz njega izvleči podatke z različnimi metodami, kot so razbijanje gesel, preliv medpomnilnika ali vbrizgavanje SQL.
Primerjava z medicino
Dalibor Vukovič, produktni vodja in specialist za kibernetsko varnost pri Telekomu Slovenije, ki je tudi certificiran etični heker, razliko med obema ponazarja z razliko med rentgenom in magnetno resonanco v medicini. Če je v telesu nekaj narobe, to odkrije diagnostika, recimo rentgen, ki bo pomagal diagnosticirati težavo. Slika, ki jo naredi preprost rentgenski aparat, lahko zazna očiten prelom v strukturi kosti, ni pa dobra za prepoznavanje poškodb mehkih tkiv. Če res želimo podrobno ugotoviti, kaj se dogaja v telesu, je treba opraviti magnetno resonanco. »Sistemski varnostni pregled bi bil torej rentgen, vdorni test pa magnetna resonanca,« pojasnjuje sogovornik.Varnostni pregled vsaj enkrat na leto
Varnostni pregled je cenejša metoda, s katero ugotovimo aktualno stanje ranljivosti. Vukovič priporoča, da se izvede vsaj enkrat na leto, medtem ko je treba penetracijski test opraviti ob vsaki resni nadgradnji lastne programske opreme ali pri razvoju nove lastne aplikacije. »V Telekomu Slovenije v večini primerov najprej izvedemo sistemski varnostni pregled, penetracijski test pa, če želi naročnik preveriti, ali je odkrite ranljivosti resnično možno izkoristiti.«
Tako sistemski varnostni pregled kot penetracijski test lahko trajata od nekaj dni do nekaj tednov, odvisno od velikosti infrastrukture. V obeh primerih naročnik na koncu prejme podrobno poročilo o odkritih ranljivostih in priporočila za njihovo odpravo. Poročilo po opravljenem penetracijskem testu je obširnejše in podrobnejše, saj je tudi pregled bolj poglobljen.
Ne lišpajte sistema pred pregledom
Vukovič podjetjem svetuje, da pred izvedbo pregleda ali testa v omrežju ne spreminjajo ničesar – povedano po domače, da ne »lišpajo« sistema. Namen varnostnega pregleda je namreč prav v tem, da natančno razkrije pomanjkljivosti, če te obstajajo. »Bolj ko poznamo pomanjkljivosti, bolj specializirano orodje za njihovo odpravo lahko uporabimo,« pravi Vukovič. »S tem tudi manj posegamo v delujoč informacijski sistem, kar praviloma pomeni tudi nižje stroške.«Kakšne so najpogostejše pomanjkljivosti
Vukovič pravi, da sistemski varnostni pregledi največkrat razkrijejo zastarelo programsko opremo brez potrebnih posodobitev, varnostno nepodprto opremo, odprta vrata (porte), prek katerih je možen dostop do informacijske infrastrukture podjetja, in podobne pomanjkljivosti. Precej pogosta je tudi neustrezna politika gesel ter uporaba privzetih in premalo varnih gesel.
»Z vdornimi testi pa zaradi varnostnih pomanjkljivosti pri večini naročnikov prevzamemo nadzor nad strežniki, videonadzornimi sistemi, vstopimo v baze podatkov ali kako drugače vdremo v informacijski sistem,« še pojasnjuje sogovornik in dodaja, da to pomeni resno tveganje za podjetje, če vanj vdre nekdo s slabimi nameni.