Penetrační testování je klíčový způsob, jak udržet vaše informace v bezpečí, ale mnozí z nás o něm dělají několik falešných předpokladů.

Chyby zabezpečení ve vašich počítačových systémech nemusí být nutně problematické, dokud je vetřelci neobjeví a nevyužijí. Pokud pěstujete kulturu identifikace mezer před aktéry hrozeb, můžete je vyřešit, takže nepředstavují žádnou významnou škodu. Toto je příležitost, kterou vám penetrační testování nabízí.

Kolem penetračního testování však existuje více než několik mýtů, které vám mohou bránit v podniknutí kroků ke zlepšení vaší bezpečnosti.

1. Penetrační testování je pouze pro organizace

Existuje představa, že penetrační testování je činností pro organizace, nikoli pro jednotlivce. Klíčem k objasnění je pochopení cíle pentestu. Závěrem testu je zabezpečení dat. Organizace nejsou jediné, kdo má citlivá data. Běžní lidé mají také citlivá data, jako jsou bankovní informace, údaje o kreditních kartách, lékařské záznamy atd.

Pokud jako osoba neidentifikujete slabá místa ve svém systému nebo účtu, aktéři hrozeb je zneužijí k přístupu k vašim datům a použijí je proti vám. Mohli by to použít jako návnadu pro útoky ransomwaru, kde požadují, abyste zaplatili jednorázovou částku, než vám obnoví přístup.

instagram viewer

2. Penetrační testování je přísně proaktivní opatření

Myšlenka odhalování hrozeb v systému před vetřelci naznačuje, že penetrační testování ano proaktivní bezpečnostní opatření, ale není tomu tak vždy. Někdy může být reaktivní, zvláště když vyšetřujete kybernetický útok.

Po útoku můžete provést pentest, abyste získali přehled o povaze útoku, abyste jej mohli správně řešit. Zjistíte-li, jak k incidentu došlo, použité techniky a cílená data, můžete zabránit tomu, aby se opakoval tím, že zaplníte mezery.

3. Penetrační testování je jiný název pro skenování zranitelnosti

Vzhledem k tomu, že penetrační testování i skenování zranitelnosti jsou o identifikaci vektorů hrozeb, lidé je často používají zaměnitelně a myslí si, že jsou stejné.

Skenování zranitelnosti je automatizovaný proces identifikaci zjištěných zranitelností v systému. Uvedete seznam možných nedostatků a prohledáte svůj systém, abyste zjistili jejich přítomnost a dopad na váš systém. Na druhé straně penetrační testování spočívá v vrhání vašich útočných sítí na celý váš systém stejným způsobem, jakým by to dělal kyberzločinec, v naději, že odhalí slabé články. Na rozdíl od skenování zranitelnosti nemáte žádný předem určený seznam hrozeb, na které byste si měli dávat pozor, ale vyzkoušejte vše možné.

4. Penetrační testování může být plně automatizováno

Automatizované penetrační testování vypadá teoreticky dobře, ale ve skutečnosti je to přitažené za vlasy. Když automatizujete pentest, provádíte skenování zranitelnosti. Systém nemusí mít kapacitu k vyřešení problémů.

Penetrační testování vyžaduje lidský vstup. Musíte vymyslet možné způsoby, jak identifikovat hrozby, i když to vypadá, že na povrchu žádná neexistuje. Musíte otestovat své znalosti etického hackování pomocí všech dostupných technik, abyste se dostali do nejbezpečnějších oblastí vaší sítě stejně jako hacker. A když identifikujete zranitelná místa, hledáte způsoby, jak je řešit, takže již neexistují.

5. Penetrační testování je příliš drahé

Provádění penetračních testů vyžaduje lidské i technické zdroje. Každý, kdo test provádí, musí být velmi zručný a tyto dovednosti nejsou levné. Musí mít také potřebné nástroje. I když tyto zdroje nemusí být snadno dostupné, stojí za to, jakou hodnotu nabízejí při prevenci hrozeb.

Náklady na investice do penetračního testování nejsou nic ve srovnání s finančními škodami kybernetických útoků. Některé datové sady jsou k nezaplacení. Když je aktéři hrozeb odhalí, důsledky jsou mimo finanční míru. Mohou zničit vaši reputaci bez možnosti vykoupení.

Pokud se hackeři snaží z vás během útoku vymámit peníze, požadují velké částky, které jsou obvykle vyšší než váš pentest rozpočet.

6. Penetrační testy mohou provádět pouze osoby zvenčí

Existuje dlouhodobý mýtus, že penetrační testování je nejúčinnější, když je provádějí externí strany než interní strany. Externí pracovníci totiž budou objektivnější, protože nemají žádnou vazbu na systém.

Zatímco objektivita je klíčem k platnosti testu, příslušnost k systému neznamená, že je někdo zcela neobjektivní. Penetrační test se skládá ze standardních postupů a výkonnostních metrik. Pokud tester postupuje podle pokynů, jsou výsledky platné.

Navíc znalost systému může být výhodou, protože jste zasvěceni do kmenových znalostí, které vám pomohou se v systému lépe orientovat. Důraz by se neměl klást na získání externího nebo interního testera, ale na někoho, kdo má schopnosti dělat dobrou práci.

7. Penetrační test by měl být proveden jednou za čas

Někteří lidé by raději jednou za čas provedli penetrační testování, protože se domnívají, že dopad jejich testu je dlouhodobý. To je kontraproduktivní vzhledem k nestálosti kybernetického prostoru.

Kyberzločinci nepřetržitě pracují na hledání zranitelností systémů, které by mohli prozkoumat. Dlouhé intervaly mezi vašimi pentesty jim dávají dostatek času prozkoumat nové mezery, o kterých možná nevíte.

Nemusíte provádět penetrační test každý druhý den. Správná rovnováha by byla dělat to pravidelně, během měsíců. To je dostačující, zvláště když máte na místě další bezpečnostní obranu, která vás upozorní na vektory hrozeb, i když je aktivně nevyhledáváte.

8. Penetrační testování je o hledání technických zranitelností

Existuje mylná představa, že penetrační testování se zaměřuje na technická zranitelnost systémů. Je to pochopitelné, protože koncové body, přes které narušitelé získávají přístup k systémům, jsou technické, ale jsou v nich i některé netechnické prvky.

Vezměte si například sociální inženýrství. Kyberzločinec by mohl používat techniky sociálního inženýrství abychom vás nalákali k odhalení vašich přihlašovacích údajů a dalších citlivých informací o vašem účtu nebo systému. Důkladný pentest prozkoumá i netechnické oblasti, aby určil, jaká je pravděpodobnost, že se jim stanete obětí.

9. Všechny penetrační testy jsou stejné

Lidé mají tendenci dospět k závěru, že všechny penetrační testy jsou stejné, zvláště když zváží náklady. Někdo by se mohl rozhodnout pro levnějšího poskytovatele testování, jen aby ušetřil náklady a věřil, že jejich služba je stejně dobrá jako ta dražší, ale to není pravda.

Stejně jako u většiny služeb má penetrační testování různé stupně. Můžete mít rozsáhlý test, který pokryje všechny oblasti vaší sítě, a nerozsáhlý test, který zachytí několik oblastí vaší sítě. Nejlepší je zaměřit se na hodnotu, kterou získáte z testu, a ne na náklady.

10. Čistý test znamená, že je vše v pořádku

Mít čistý výsledek testu je dobré znamení, ale nemělo by vás to uspokojit s vaší kybernetickou bezpečností. Dokud je váš systém funkční, je zranitelný vůči novým hrozbám. Čistý výsledek by vás měl motivovat ke zdvojnásobení bezpečnosti. Pravidelně provádějte penetrační test, abyste vyřešili vznikající hrozby a udržovali systém bez hrozeb.

Získejte úplnou viditelnost sítě díky penetračnímu testování

Penetrační testování vám poskytuje jedinečný pohled na vaši síť. Jako vlastník nebo správce sítě pohlížíte na svou síť jinak, než jak si ji prohlíží narušitel, takže vám uniknou některé informace, se kterými mohou být zasvěceni. S testem si ale můžete svou síť prohlédnout z optiky hackera, což vám poskytne úplnou viditelnost všech aspektů, včetně vektorů hrozeb, které by se normálně nacházely ve vašich slepých úhlech.