Penetrační testy

Cílem penetračních testů je odhalení zranitelností cílového informačního systému, stanovení způsobu jejich možného využití a doporučení vedoucí k jejich nápravě. Poskytnout ucelený přehled o stavu zabezpečení infrastruktury a aplikačního prostředí, který může být využit např. jako vstup pro analýzu rizik. Provádí se testováním, simulací možných útoků na tento systém jak zevnitř, tak zvenčí. Cílem penetračního testu není vyřešit bezpečnostní problémy, ale jistým způsobem prověřit, zhodnotit úroveň zabezpečení a podat souhrnnou zprávu, a to jak na úrovni technických (nastavení otevřených portů, verze systému), tak i organizačních opatření (podvod a sociální inženýrství skrze zaměstnance). Mezi nejčastější příčiny zranitelností IS řadíme zejména:

• Nedodržování platných standardů (RFC, W3C, ISO).
• Nedůsledná konfigurace zařízení (povoleny zbytečné/nevyužité síťové služby, slabé šifrování).
• Nevyhovující topologie systému.
• Neznalost managementu/odborné obsluhy.
• Nepořádek.

Při realizaci penetračního testu se snažíme proniknout do cílového informačního systému a určit (pokud možno) všechny postupy a místa, jak by takový útok mohl být ve skutečnosti proveden. V zásadě lze pro penetrační testy využít např. následující metodiky:

• OWASP – Open Web Application Security Project
• ISO/IEC 27001 / Zákon o kybernetické bezpečnosti