Jak efektivně použít penetrační testy

Publikováno: 17. dubna 2021

 

Tak jako kladivem se dobře zatlouká a špatně šroubuje, i penetrační testy jsou nástroj, který je nutné umět správně použít.

Předně je důležité si uvědomit, s jakými problémy může penetrační test účinně pomoci:

  • sběr informací
  • validace různých druhů rizik
  • sběr informací o existujících vadách pro další opravy a vylepšení
  • vzdělávání uživatelů a managementu
  • možnost „reálně“ si prožít průběh útoku
  • ukázat důsledky neřešení bezpečnostních problémů
  • testování účinnosti a dostatečnosti stávajících bezpečnostních opatření
  • testování dodržování bezpečnostních zásad, postupů a dalších dokumentů upravujících bezpečnost v organizaci

Penetrační testování své limity, které je třeba vzít v úvahu před tím, než se rozhodnete je ve své firmě provést:

  • Pokud během testu nebyly objeveny žádné zranitelnosti a chyby, neznamená to, že neexistují žádné problémy – testerovi prostě mohli uniknout. Penetrační test proto nelze použít k potvrzení, zda je aktivum řádně zabezpečeno. Může sloužit pouze jako jeden ze zdrojů dat.
  • Výsledky testu odráží pouze aktuální stav – vzhledem k moderním vývojovým a provozním postupům nemusí být výsledky aktuálního testu platné, pokud jsou do testované infrastruktury zavedeny nové funkce, aktualizace atd. Organizace musí neustále zlepšovat svá organizační a technické bezpečnostní opatření, aby minimalizovala rizika.
  • Musí být použit v kombinaci s dalšími činnostmi souvisejícími se zabezpečením – vzhledem k jeho účelu a omezením jej nelze použít jako samostatnou techniku. Vždy to musí být součástí většího bezpečnostního procesu.
  • Výsledky velmi závisí na testerovi, rozsahu práce a dostupném čase – test je stejně dobrý jako testovací tým, který jej provedl, a zdroje, které měl k dispozici. Doporučujeme testovací tým pravidelně obměňovat, aby testeři neupadli do rutiny.
  • Rozsáhlé a kvalitní testování je drahé a z toho důvodu může být úplné testování všech informačních aktiv neefektivní. Doporučujeme vytvořit strategii testování, která bude prioritizovat testování na základně obchodních rizik.

 

Kontakt


+ 420 725 854 294
info@zagsecurity.com
Data Security Services s.r.o.
Radlická 663/28, 150 00 Praha

© 2021  |  zagsecurity.com  |  Zásady zpracování osobních údajů