Audit, prověrka konfigurace, skenování zranitelností, penetrační test a analýza rizik
Cílem tohoto příspěvku je popsat hlavní rozdíl mezi auditem, prověrkou konfigurace, penetračním testem, skenováním zranitelností a analýzou rizik.
Všechny tyto přístupu k posouzení úrovně bezpečnosti a identifikace slabých míst se vzájemně doplňují, mají své opodstatnění a poskytují určitý výstup, se kterým by se mělo dále pracovat, protože jedině tak je možné zabránit narušení důvěrnosti, integrity a dostupnosti.
Bezpečnostní audit
Cílem auditu je především posoudit kontrolu shody, jinými slovy, jde o to ověřit, zda požadavky, které jsou uvedeny v bezpečnostní politice organizace a standardech, jsou v praxi dodržovány.
Vzhledem k tomu, že ne vždy platí, že sepsání bezpečnostní politiky předcházela analýza rizik, a že bezpečnostní opatření uvedená v politice a standardech, byla zvolena právě za účelem eliminace pro organizaci relevantních rizik, provádí se zpravidla GAP analýza vůči nějakému standardu např. ISO/IEC 27002. Přičemž auditor může provést i prověrku konfigurace nebo spustit sken zranitelností, aby si ověřil, že daný stav je skutečně takový, jak uvádí auditovaný subjekt.
Prověrka konfigurace
Cílem prověrky konfigurace, v zahraniční literatuře označované jako configuration review, je kontrola, zda je server resp. systém, aplikace, databáze nebo nějaký síťový prvek nakonfigurován v souladu s nějakým bezpečnostním standardem.
Ať už takovým, který si daná společnost sama sepsala, byl dodán výrobcem anebo nějakým obecně uznávaným jako je např. CIS, který vychází z best practice a obsahuje doporučené nastavení pro konkrétní verzi OS. Za tímto účelem se používají nejrůznější automatizované nástroje nebo vlastní skripty s tím, že je nutné se přihlásit do daného systému.
Sken zranitelností
Cílem skenování zranitelností, v zahraniční literatuře označované jako vulnerability scan, je nalezení známých zranitelností v systému, databázi, aplikaci nebo síťovém prvku.
Za tímto účelem se používají automatizované nástroje jako je Nessus, Nexpose nebo Qualys, které disponují rozsáhlou databází operačních systémů a zranitelností a jsou schopny po zadání IP adresy nebo IP adresního rozsahu dané systémy oskenovat a zobrazit známé zranitelnosti včetně odkazu, kde jsou uvedeny detailní informace včetně návodu jak danou zranitelnost odstranit. Přístup do systému zpravidla není nutný.
Penetrační test
Cílem penetračního testu je nalezení slabých míst v organizaci, sytému nebo aplikaci, kterých by mohl zneužít potenciální útočník. Penetrační test je simulací útoku, kde jednotlivé kroky postupu testování se mění podle aktuálních zjištění.
Byť dříve končil penetrační test nalezením a následným zneužitím dané zranitelnosti, kdy hacker pronikl do systému a zkopíroval citlivý dokument nebo v něm jako důkaz provedl určitou změnu, tak v dnešní době je snaha nalézt těch zranitelností co nejvíce a zpravidla ani není vyžadováno, aby dané zranitelnosti byly ověřeny či zneužity, což může vést k falešným nálezům a záměně penetračních testů se skenem zranitelností.
Proto se čím dál častěji setkáváme s novým termínem pro penetrační testy, které skutečně simulují útok hackerů např. Ethical hacking nebo Red teaming. Nejznámějšími veřejně dostupnými metodikami pro provádění penetračních testů jsou OWASP Testing Guide nebo OSSTMM. Penetrační test nám může pomoci odhalit zcela nové zranitelnosti, na které nelze prostým spuštěním nějakých automatických skenů nikdy přijít.
Revize kódu
Je manuální nebo automatizovaná kontrola zdrojového kódu tzv. code review, někdy také nazývaná jako statická analýza, jejímž cílem je odhalit zadní vrátka, nebo chyby, které by mohly být zneužity útočníkem.
Tato technika může být použita už v rámci samotného vývoje, kdy jiný vývojář provádí revizi kódu nebo je tato kontrola prováděna nějakým nástrojem. Případně může být tato revize provedena v okamžiku, kdy je objevena nějaká zranitelnost nebo podezření, že by např. určitá funkce dané aplikace mohla zranitelnost obsahovat.
Analýza rizik
Cílem analýzy rizik je identifikace a ohodnocení aktiv, hrozeb zranitelností a z nich vyplývajících rizik.
Byť je analýza rizika hodně založena na subjektivním hodnocení, tak pokud je správně provedena, umožňuje organizaci identifikovat cenná aktiva, slabá místa a hrozby, kterým by se měla prioritně věnovat.
Závěr
Všechny tyto přístupy k posouzení úrovně bezpečnosti a identifikace slabých míst se vzájemně doplňují, mají své opodstatnění a poskytují určitý výstup, se kterým by se mělo dále pracovat.
- Analýza rizik nám pomůže identifikovat, na co se jako první zaměřit.
- Pravidelnou kontrolou konfigurace, která může být prováděna prakticky denně, by se mělo zajistit, že systém je nakonfigurován v souladu se standardy.
- Sken zranitelností, provedený třeba jednou za čtvrt roku zas může upozornit na skutečnost, že nějaký systém obsahuje zranitelnost, a že je k dispozici patch nebo že nově vyvinutá webová aplikace obsahuje známou zranitelnost.
- Penetrační test pak může odhalit zcela novou zranitelnost spočívající třeba v aplikační logice, kterou sken zranitelností nemá šanci odhalit.
- Bezpečnostní audit pak může odhalit především nedostatky v procesech a absenci nebo nedodržování pravidel.
Chtěli byste něco doplnit nebo upřesnit? Napište.
ČERMÁK, Miroslav, 2016. Audit, prověrka konfigurace, skenování zranitelností, penetrační test a analýza rizik. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/audit-proverka-konfigurace-skenovani-zranitelnosti-penetracni-test-a-analyza-rizik/. [citováno 07.12.2024].
Štítky: informační bezpečnost
K článku “Audit, prověrka konfigurace, skenování zranitelností, penetrační test a analýza rizik” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.