5-8 minut

Przezorny zawsze zaudytowany

Pomimo świadomości znaczenia audytu bezpieczeństwa i konieczności przeprowadzania testów penetracyjnych umożliwiających wykrycie luk w zabezpieczeniach, wiele firm nie decyduje się na ich wykonanie z obawy przed utratą kontroli nad danymi i ich wyciekiem. Na co zwrócić uwagę wybierając firmę audytującą i wykonującą pentesty, by zminimalizować ryzyka? Na to pytanie postaramy się odpowiedzieć w tym artykule.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

JAK WZRASTAJĄCE ZAGROŻENIA WPŁYWAJĄ NA ZAINTERESOWANIE USŁUGAMI AUDYTU BEZPIECZEŃSTWA?
JAKIE ATAKI MIAŁY MIEJSCE NA FIRMY W PIERWSZEJ POŁOWIE 2020 ROKU?
CZY FIRMY Z SEKTORA MŚP W POLSCE TAKŻE NARAŻONE SĄ NA CYBERATAKI?
CZYM SĄ PENTESTY I Z KIM NALEŻY JE PRZEPROWADZIĆ?
W JAKI SPOSÓB TESTOWANE SĄ ZABEZPIECZENIA PRZEDSIĘBIORSTW?

MarketsandMarkets Research przewiduje, że wartość globalnego rynku testów penetracyjnych wzrośnie z 1,7 mld USD w 2020 r. do 4,5 mld USD do 2025 r., co oznacza średni roczny wzrost (CAGR) na poziomie 21,8%¹. Zdaniem analityków głównymi czynnikami napędzającymi ten rynek będą przedsiębiorstwa szukające luk w ochronie danych i wdrażające zabezpieczenia wynikające ze zwiększonego zagrożenia cyberatakami.

Przybywa zagrożeń dla bezpieczeństwa danych

Ataki na firmy są coraz częstsze i kosztują coraz więcej. W ostatnich miesiącach miało miejsce kilka spektakularnych cyberataków na znane firmy. Pod koniec lipca 2020 użytkownicy urządzeń Garmin zostali w przykry sposób dotknięci utratą dostępu do usług na platformie Garmin Connect². Tuż po odkryciu problemów zaczęto się domyślać, że Garmin mógł paść ofiarą hakerów. Spekulacje te potwierdziło BBC, według którego firma została zaatakowana oprogramowaniem ransomware, szyfrującym dane na komputerach i blokującym do nich dostęp. Cyberprzestępcy – grupa Evil Corp – mieli posługiwać się narzędziami ransomware WastedLocker, a w zamian za podanie klucza deszyfrującego dane w systemie zażądali 10 mln. USD okupu. Garmin nie potwierdził oficjalnie, że zapłacił hakerom żądany okup zapewniając, że dane użytkowników nie wpadły w niepowołane ręce.

Kolejną firmą, która w podobnym czasie miała paść ofiarą ransomware był Canon³. Według doniesień BleepingComputer przestępcom udało się unieruchomić m.in. wewnętrzne komunikatory i systemy, emaile oraz część serwerów. Według informacji pozyskanych przez media przestępcy mogli wykraść także dane – około 10TB informacji, ujawnieniem których firma Canon miała być szantażowana. Warto podkreślić, że ataki hakerskie nie dotyczą wyłącznie dużych i znanych firm. Bardzo często to właśnie niedostatecznie zabezpieczone firmy średnie i małe padają ofiarą przestępców. Według raportu na temat bezpieczeństwa cybernetycznego MSP, opracowanego przez Ponemon Institute na zlecenie Keeper w 2019 roku na całym świecie 69%⁴ małych i średnich przedsiębiorstw doświadczyło cyberataku w wyniku przełamania systemu wykrywania zagrożeń. W 2019 średni koszt ataku hackerskiego w firmach MŚP wynosił 1,9 mln USD, w porównaniu do 1,24 mln w 2018. Warto pamiętać, że polskie firmy nie są odseparowane od sieci, od globalnej gospodarki oraz co za tym idzie – od zainteresowania grup przestępczych. Omawiane zagrożenia jak najbardziej dotyczą zatem również rodzimych firm, a incydenty z nimi związane mają miejsce codziennie.

Po co są pentesty, jak je wykonywać?

Bez przeprowadzenia testów penetracyjnych nie da się stwierdzić, czy firma jest właściwie zabezpieczona przed atakami z zewnątrz i co stanowi jej piętę achillesową, jaką drogą atakujący mogą przeniknąć do wnętrza organizacji i ukraść jej dane lub unieruchomić kluczowe dla jej działania serwisy. Dopiero audyt połączony z pentestami jest w stanie unaocznić wszelkie luki w bezpieczeństwie organizacji.

Rezerwa ze strony niektórych organizacji przed udostępnieniem swojej infrastruktury do celów audytu i testów penetracyjnych wynika w głównej mierze z obawy o to, by efekty działań grupy hackerów weryfikujących stan zabezpieczeń nie wydostały się z organizacji i nie trafiły w ręce osób niepowołanych. Wrażliwe są zarówno same dane, które mogą być pozyskane w wyniku testów, jak i informacje o lukach w zabezpieczeniach. Obawy te muszą zostać rozwiane. Przedsiębiorstwo, które poddaje się badaniom bezpieczeństwa powinno mieć pewność, że ma do czynienia z profesjonalistami i nie grozi mu ze strony etycznych hackerów żadne niebezpieczeństwo związane z ujawnieniem danych i kompromitacją wizerunkową. Jak tego dokonać? Ważnym elementem mogącym przekonać o należytej staranności firmy przeprowadzającej audyt bezpieczeństwa mogą okazać się certyfikaty posiadane przez pracowników firmy wykonującej audyt, takie jak CISSP (Certified Information Systems Security Professional), CSSLP (Certified Secure Software Lifecycle Professional), CISM (Certified Information Security Manager), CompTIA Security+, QUALYS Certified Specialist, CEH (Certified Ethical Hacker) oraz OSCP (Offensive Security Certified Professional). Osoby mogące wykazać się takimi certyfikatami posiadają nie tylko właściwe kwalifikacje, ale także mają za sobą lata doświadczeń w pracy w branży etycznego hackingu.

Jak wygląda testowanie zabezpieczeń?

Pentesty zazwyczaj rozpoczyna się od identyfikacji przez hackera systemu docelowego, a następnie podejmowane są przez niego działania mające na celu wykrycie podatności. Haker testujący zabezpieczenia firmy poświęca czas na zbieranie danych, które wykorzysta następnie do zaplanowania symulowanego ataku. Stosuje przy tym narzędzia, czyli oprogramowanie zaprojektowane do przeprowadzania ataków typu brute-force (włamanie do systemu poprzez próby wielokrotnego „zgadywania” hasła) lub SQL injection (skorzystanie z luk w bazach danych). Sięga się także do technik inżynierii społecznej pozwalających znaleźć luki w procedurach organizacji. Stosowane są do tego celu na przykład wiadomości e-mail do pracowników pozwalające na wyłudzania informacji i uzyskania dostępu do sieci lub dostępu fizycznego do budynku. Po zakończeniu prób przełamania ochrony bezpieczeństwa haker stara się ukryć ślady po swoich działaniach wewnątrz organizacji. Usuwa m.in. oprogramowanie, które zainstalowane zostało przez niego wewnątrz penetrowanej sieci. Zacieranie śladów pozwoli mu uniknąć wykrycia i opuścić system docelowy w taki sposób, jakby go tam nigdy nie było. Na koniec sporządzany jest raport z wnioskami na temat jakości i skuteczności stosowanych przez firmę zabezpieczeń.

Testy penetracyjne i audyty konieczne są m.in. dlatego, iż w systemie zabezpieczeń najsłabszym ogniwem tradycyjnie jest człowiek, a z drugiej strony to właśnie człowiek jest w stanie najszybciej znaleźć ludzkie błędy. Należy pamiętać, że weryfikację zabezpieczeń organizacji należy przeprowadzać cyklicznie, bo zmienia się zarówno technologia IT, sama organizacja, jak i jej otoczenie – cały czas pojawiają się nowe zagrożenia, które należy brać pod uwagę. Testy zabezpieczeń warto robić po każdej istotnej zmianie kodu w aplikacji, czy zmianach w infrastrukturze bezpieczeństwa. Zespół przeprowadzający audyt i testy penetracyjne musi zostać właściwie przeszkolony, posługiwać się najnowszą metodologią i uwzględniać ewoluujące socjotechniki, którymi posługują się przestępcy. Takim warsztatem i kompetencjami legitymują się najbardziej znane podmioty na rynku audytu i pentestów. Usługi audytowe oferują operatorzy telekomunikacyjni, m.in. T‑Mobile. Wśród przeprowadzanych przez operatora testów można znaleźć: testy penetracyjne aplikacji, sieci i infrastruktury oraz symulowanie cyberataków na zlecenie klienta. Operator jednocześnie oferuje doradztwo w obszarze bezpieczeństwa teleinformatycznego, w tym testy porównawcze różnych technologii.

Podsumowanie

Przypomnijmy najważniejsze informacje dotyczące audytów bezpieczeństwa:

Według MarketsandMarkets Research wartość globalnego rynku pentestów wzrośnie z 1,7 mld USD w 2020 r. do 4,5 mld USD do 2025 r., co oznacza średni roczny wzrost na poziomie 21,8%⁵. Wynikać to będzie ze wzrastających zagrożeń
Także firmy MŚP narażone są na ataki. Według raportu Ponemon Institute przygotowanego na zlecenie Keeper w 2019 roku na całym świecie 69%⁶ małych i średnich przedsiębiorstw doświadczyło cyberataku w wyniku przełamania systemu wykrywania zagrożeń
Jedynie audyt połączony z pentestami jest w stanie zweryfikować wszelkie luki w bezpieczeństwie organizacji
O należytej staranności firmy przeprowadzającej audyt bezpieczeństwa przekonują certyfikaty posiadane przez pracowników firmy wykonującej audyt, takie jak CISSP (Certified Information Systems Security Professional), CSSLP (Certified Secure Software Lifecycle Professional), CISM (Certified Information Security Manager), CompTIA Security+, QUALYS Certified Specialist, CEH (Certified Ethical Hacker) oraz OSCP (Offensive Security Certified Professional)
Etyczny haker testujący zabezpieczenia firmy poświęca czas na zbieranie danych, które wykorzysta następnie do zaplanowania symulowanego ataku. Stosuje przy tym narzędzia, czyli oprogramowanie zaprojektowane do przeprowadzania ataków typu brute-force lub SQL injection. Na koniec sporządzany jest raport z wnioskami na temat jakości zabezpieczeń
Należy pamiętać, że weryfikację zabezpieczeń organizacji należy przeprowadzać cyklicznie, bo zmienia się zarówno technologia IT, sama organizacja, jak i jej otoczenie

¹https://www.marketsandmarkets.com/Market-Reports/penetration-testing-market-13422019.html
² https://www.theguardian.com/technology/2020/jul/27/ransomware-attack-on-garmin-thought-to-be-the-work-of-evil-corp
³ https://www.zdnet.com/article/canon-suffers-ransomware-attack-maze-claims-responsibility/
⁴https://www.keepersecurity.com/pl_PL/ponemon2019.html
⁵https://www.marketsandmarkets.com/Market-Reports/penetration-testing-market-13422019.html
⁶https://www.keepersecurity.com/pl_PL/ponemon2019.html