Kas tai? Eksperto įžvalgos

Kaip užtikrinti, kad įsilaužimų testavimas tikrai apsaugos nuo kibernetinių grėsmių?

Publikuota: 2020-01-28
„Blue Bridge“ tinklų ir saugumo sprendimų vadybininkė Asta Radzivanaitė.
svg svg
„Blue Bridge“ tinklų ir saugumo sprendimų vadybininkė Asta Radzivanaitė.

Kibernetinės grėsmės tampa vis išmanesnės, tad posakis „tam, kad galėtum apsisaugoti nuo hakerių, turi mąstyti kaip hakeris“ kaip niekada aktualus. Vienas geriausių būdų pamatyti savo organizaciją piktavalių akimis – įsilaužimų testai (angl. Penetration Testing). Tokie testai, jei tinkamai atlikti, suteikia praktinių įžvalgų, kaip „užlopyti“ pavojingiausias saugumo spragas. Deja, užtikrinti, kad šie testai suteiktų maksimalią naudą – ne visada paprasta.

Apie tai, ką svarbu žinoti planuojant įsilaužimų testavimą ir kaip užtikrinti, kad testas bus kokybiškas, pasakoja „Blue Bridge“ specialistai – tinklų ir saugumo sprendimų vadybininkė Asta Radzivanaitė ir kibernetinio saugumo ekspertas Ugnius Klevinskas.

Kodėl vien automatizuotų testų nepakanka?

Įsilaužimų testų tikslas – imituojant kibernetines atakas, išsiaiškinti visas organizacijos saugumo spragas ir rizikas. Lietuvoje, kaip ir pasaulyje, įsilaužimų testai aktyviai atliekami jau daugiau nei dvidešimt metų. Tam įtakos turi ir teisės aktai, tokie kaip Kibernetinio saugumo įstatymas, ir garsūs kibernetinių atakų atvejai Lietuvoje bei svetur.

Tačiau, šiems testams išpopuliarėjus, atsirado kita problema – pasikliaujama tik automatizuotais pažeidžiamumų skenavimais (angl. automated vulnerability scanning). Jie atliekami su automatinio skenavimo programomis. Kaip pastebi „Blue Bridge“ saugumo ekspertas, sistemų inžinierius Ugnius Klevinskas, dažnai klaidingai manoma, kad šie testai gali atstoti „rankinį“ įsilaužimų testavimą.

„Po automatizuoto testo atlikus „rankinį“ įsilaužimų testą, atsiveria nepastebėtos problemos – klaidinga sistemų, tinklo įrenginių konfigūracija, teisių, paskyrų ir slaptažodžių valdymo klaidos ir kitos problemos. Kai kada randama „atgalinių durų“ (angl. backdoor) į jau užvaldytas sistemas. Be to, automatizuotų testų ataskaitos formuojamos automatiškai. Tai reiškia, kad organizacija turi pati „susiprasti“, kurie iš identifikuotų pažeidžiamų yra reali grėsmė, o kurie – ne. Rezultatas tas, kad nei vadovams, nei IT komandai nėra aišku, kokios saugumo problemos svarbiausios ir kaip jas spręsti, tačiau visi jaučiasi saugesni tik todėl, kad toks testas buvo atliktas“, – pasakoja U. Klevinskas.

„Žmogiškasis faktorius“ dažnai lieka neįvertintas

Dar vienas vien tik automatizuotų testų naudojimo minusas yra tai, kad nustatomi tik IT sistemų pažeidžiamumai. Tai reiškia, kad sunku įvertinti saugumo problemų kontekstą, pažeidžiamumų apjungimo galimybes į atakos grandinėlę, o svarbiausia – darbuotojų atsparumą socialinei inžinerijai.

„Blue Bridge“ tyrimai rodo, kad būtent menkas atsparumas socialinės inžinerijos metodams kartu su slaptažodžių, privilegijų problemomis ir saugumo atnaujinimų trūkumais, yra pačios dažniausios saugumo spragos. Tariant kitais žodžiais, žmonės ir jų slaptažodžiai – lengviausiai „nulaužiami“, todėl yra pats tiesiausias kelias sistemų ir duomenų link“, – akcentuoja U. Klevinskas.

Šią problemą padeda spręsti socialinės inžinerijos testai, kurie parengiami ir atliekami žmonių. „Tai leidžia pamatyti, kaip organizacijoje įgyvendinama slaptažodžių politika, ar veikia dviejų faktorių autentifikavimas ir kitos apsaugos priemonės. Pavyzdžiui, gali paaiškėti, kad visas saugumo politikas ir reikalavimus paprasta apeiti ne tik parašius suklastotą laišką su jautrių duomenų prašymu, bet ir papildomai paskambinus darbuotojui telefonu“, – sako „Blue Bridge“ saugumo ekspertas.

Ką turėtų apimti įsilaužimų testavimas?

„Blue Bridge“ tinklų ir saugumo sprendimų vadybininkė Asta Radzivanaitė pabrėžia, kad dabartines kibernetines grėsmes atliepiantis įsilaužimų testavimas turi apimti ne tik IT sistemų pažeidžiamumus ir socialinės inžinerijos metodus. Reikia ir išorinės bei vidinės IT infrastruktūros, bevielio tinklo, WEB aplikacijų, API sąsajų, mobiliųjų įrenginių ir paslaugų sutrikdymo (DDoS) testavimų.

„Testai, kuriuos galima vadinti „kompleksiniais“, leidžia įvertinti visus organizacijos saugumo lygius – nuo kompiuterinių darbo vietų, serverių, išorinio bei vidinio tinklų iki jautrių duomenų ir kritinės reikšmės aplikacijų saugumo“, – sako A. Radzivanaitė. Ji atkreipia dėmesį, kad svarbų vaidmenį vaidina ne tik testų apimtis, bet ir atlikimo metodika.

„Efektyviausiais laikomi „rankiniai“ įsilaužimų testai. Tai reiškia, kad žmogus, o ne įrankis valdo ir interpretuoja testo užklausas ir atsakymus. Be to, žmonės parengia bei atlieka socialinės inžinerijos testus, kurie yra dalis kompleksinio įsilaužimo testo“, – sako pašnekovė.

Svarbiausia testo dalis –  ataskaita

Kartais pamirštama, kad pats testavimo procesas – net jeigu jis atliktas labai kokybiškas – nėra savaime vertingas, pastebi „Blue Bridge“ atstovė. ji primena, kad pagrindinis kompleksinių įsilaužimų testavimų tikslas – detali ataskaita.

„Detalios įsilaužimų ataskaitos turi padėti prioretizuoti grėsmes ir efektyviai naudoti resursus, skirtus ne tik saugumui, bet ir IT infrastruktūrai. Pavyzdžiui, kokybiškai parengta ataskaita įgalina pamatyti, kad viena problema gali būti išsprendžiama pakeitus sistemos konfigūraciją, kita – atnaujinus techninę, programinę įrangą ar įdiegus reikalingas saugumo pataisas, o trečia – įsigijus konkretų saugumo sprendimą. Tokia ataskaita taip pat turi nurodyti, koks problemų sprendimų būdas tinkamiausias ir leisti jį palyginti su alternatyvomis“, – pasakoja A. Radzivanaitė.

Kaip testai padeda tobulėti kibernetinio saugumo srityje?

Dar viena įsilaužimų testo dalis gali būti pakartotinis įsilaužimo testavimas. Jis atliekamas po to, kai organizacija jau išsprendė identifikuotas problemas.

„Pakartotinis testas leidžia įsitikinti, kad saugumo problemos išspręstos ir priemonės, kurių imtasi – pakankamos. Pakartotinis testas parodo, ar sprendžiant vieną problemą, nesukurta naujų. Taip, deja, nutinka neretai“, – paaiškina A. Radzivanaitė.

Vis dėlto, pakartotiniai testai įgalina stebėti organizacijos progresą tik trumpuoju laikotarpiu. Sekti ilgalaikę pažangą kibernetinio saugumo srityje padeda reguliarūs, bent kartą per dvejus metus, atliekami įsilaužimų testai.

 „Ilgalaikė reguliarių testų nauda pirmiausia yra darbuotojų sąmoningumo ugdymas. Tai taip pat suteikia galimybę žengti koja kojon su aktualiausiomis grėsmėmis. Pavyzdžiui, reguliarūs testai leidžia pamatyti, ar organizacijai sekasi geriau saugotis nuo DDoS atakų, išpirkos reikalaujančių programų ir ar darbuotojai jau įprato naudoti pakankamai stiprius slaptažodžius, atsargiai vertinti nuorodas, gautas el. paštu ir t. t. “, – apibendrina pašnekovė.

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Sukčiai ir piktavaliai suaktyvėjo – pandemija jiems puiki priedanga Premium

Kibernetinio saugumo bendrovės fiksuoja sukčių suaktyvėjimą. Visame pasaulyje plintantis koronavirusas jiems...

Technologijos
2020.03.31
Programėlės „Ubitel“ apžvalga: tvarkingas vairavimas draudimo kainos nesumažino Premium 3

„Verslo žinios“ baigė testuoti pirmąją Lietuvoje draudimo technologijų (angl. „InsureTech“) programėlę,...

Technologijos
2020.03.29
„Thermo Fisher Scientific Baltic“ vadovas: tik sprendimų ir veiksmų greitis gali padėti aplenkti virusą Premium

Algimantas Markauskas, „Thermo Fisher Scientific Baltic“ generalinis direktorius, sako, kad pasaulyje...

Technologijos
2020.03.28
Siūlo įpareigoti operatorius teikti Vyriausybei karantinuojamų asmenų buvimo vietos duomenis Premium 3

Vyriausybė pritarė Susisiekimo ministerijos parengtam Elektroninių ryšių įstatymo pakeitimui, numatančiam,...

Technologijos
2020.03.26
Analizė: vaizdo konferencijų sprendimai – kokių yra ir ką rinktis Premium

Europai ir kitoms šalims laikantis karantino, verslas ir valdžia priversti dirbti nuotoliniu būdu. Taigi,...

Technologijos
2020.03.26
Lietuviškas EKG diržas paruoštas, programinė įranga dar kuriama Premium

Neinvazinę širdies veiklos stebėsenos sistemą (diržą primenantį EKG prietaisą) kurianti UAB „Zivė“ jau turi...

Technologijos
2020.03.26
20 metų kurtos bendrojo ES patento sistemos bent kol kas nebus Premium

Vokietijos konstitucinio teismo sprendimas dėl Bendrojo ES patentų teismo susitarimo ratifikavimo užkirto...

Technologijos
2020.03.26
Plastiko gamybos įmonėje „įdarbinti“ ir stogai Verslo tribūna 1

Daugiau nei 6 mln. kWh elektros energijos per metus suvartojanti gamybos įmonė „Hoda“ nuolat ieško būdų...

Išmani Lietuva
2020.03.26
Nuotolinis darbas su „Bite“: 5 išmanieji sprendimai verslui Verslo tribūna

85 proc. kompanijų pastebi, kad nuotolinis darbas didina darbuotojų produktyvumą, rodo kompanijos „IWG“...

Išmani Lietuva
2020.03.26
Koronaviruso pandemija priminė kibernetinio saugumo abėcėlę Verslo tribūna

Šalyje paskelbus karantiną, didžioji dauguma įmonių siekia užtikrinti savo darbuotojams sklandų darbą iš...

Išmani Lietuva
2020.03.24
Europos Parlamentas pirmą kartą istorijoje balsuos nuotoliniu būdu Premium

Koronaviruso pandemija įvairiais būdais tikrina viso pasaulio Vyriausybių pasirengimą ir galimybių ribas.

Technologijos
2020.03.23
Per karantiną el. priemonėmis pasirašomų dokumentų padaugėjo du kartus 1

Pirmąją karantino savaitę el. priemonėmis pasirašomų dokumentų padaugėjo daugiau kaip 2 kartus. Taip pat augo...

Technologijos
2020.03.23
„Hack The Crisis“: technologijų bendruomenė ieško būdų suvaldyti koronavirusą 2

Valstybei ir visuomenei stojus į akistatą su beprecedenčiais pandemijos iššūkiais, per 300 technologijų...

Technologijos
2020.03.21
„Telia“: ryšio srautų gyventojams ir verslui neribosime 1

Nors ryšio tinklų apkrovos ir mobiliųjų duomenų srautai paskelbus karantiną Lietuvoje gerokai išaugo,...

Paslaugos
2020.03.20
Kaip kuriame inovatyvią Lietuvą ir kokie iššūkiai laukia ateityje Verslo tribūna

Mokslo, inovacijų ir technologijų agentūra (MITA) jau šiemet minės 10-metį, kuomet dirbant kartu viešajam,...

Išmani Lietuva
2020.03.19
„City Service“ registruoja naują prekės ženklą Premium

Koncerno „Icor“ pastatų priežiūros įmonės „City Service“ valdoma bendrovė „Mano Būsto priežiūra“, teikianti...

Paslaugos
2020.03.19
Įrankis, padedantis stebėti darbo rezultatus ir efektyvumą karantino metu Verslo tribūna

Koronaviruso pandemijos akivaizdoje svarbu ne tik išmokti dirbti nuotoliniu būdu, bet ir stebėti darbo...

Išmani Lietuva
2020.03.19
Tyrimas dėl galimo „Asseco“, „Atea“ ir „IT&T Systems“ susitarimo nutrauktas Premium

Konkurencijos taryba (KT) nutraukė tyrimą dėl trijų IT paslaugas teikiančių bendrovių, kurios praėjusios...

Technologijos
2020.03.18
„Bitės Profai“ trumpam keičia profilį: padės besimokantiems ir dirbantiems namuose Verslo tribūna

Išmaniųjų galimybių žinovai, „Bitės Profai“, nuo šiol padės ir dirbantiems namuose – konsultuos nuotolinio...

Išmani Lietuva
2020.03.18
Gyvybės mokslų startuoliai rungiasi ne tik dėl pinigų

Baigėsi Mokslo, inovacijų ir technologijų agentūros (MITA) idėjų konkurso „Wanted: Life Sciences Innovator!“...

Gazelė
2020.03.17

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Valdyti slapukus