Hrvatski
English
Recro-Net
Naslovnica
Rješenja
Usluge
Obrazovanje
Ispitni centar
Korisnici
Reference
Skip Navigation LinksRecroNetHrHrvatskiRješenjaSigurnosna rješenjaTestiranje sigurnosti

 

Testiranje sigurnosti informacijskog sustava (PENETRACIJSKI TEST)

POTREBA (Problem/potreba korisnika koju rješavamo pomoću ovog rješenja)

Informacijski sustavi su vrlo složeni, sastoje se od velikog broja međusobno povezanih i zavisnih dijelova, a sama informacijska tehnologija se često i brzo mijenja kao i zahtjevi korisnika. Istovremeno su rokovi za implementaciju rješenja sve kraći. Zbog svega navedenog se dešava da su informacijski sustavi ranjivi na napad zlonamjernih korisnika.  Bez obzira na sve poduzete preventivne mjere zaštite korisnik nikada ne može biti u potpunosti siguran da sustav i dalje nije ranjiv, da može detektirati sve zloupotrebe korisnika i da može otkloniti posljedice takve zloupotrebe.

Zbog moguće ranjivosti sustava korisnik ima potrebu, a ponekad i obavezu (zahtjevi PCI standarda, Hrvatske narodne banke) da obavi penetracijski test. Penetracijski test je simulacija napada visoko motiviranog i obučenog napadača na informacijski sustav korisnika. Napadač raspolaže samo javno dostupnim informacijama i neprivelegiranom razinom pristupa do informacijskog sustava. Korisnik ima potrebu testirati ranjivost informacijskog sustava iz više mogućih smjerova napada; putem Interneta, bežične mreže, interne lokalne mreže. Svrha ove vrste testiranja je otkriti stvarne postojeće ranjivosti i nedostatke koje je moguće iskoristiti za narušavanje povjerljivosti,  dostupnosti odnosno cjelovitosti informacijskog sustava.

RJEŠENJE (Što i kako radi ovo rješenje)

Tim stručnjaka RECRO-NET-a u prethodnom dogovoru s korisnikom pokuša iskoristiti ranjivosti u sustavu korisnika i ostvariti pristup sustavu iznad razine svojih ovlasti. S korisnikom se dogovara smjer napada (npr. putem Interneta), cilj napada (npr. dio mreže, pojedini uređaj ili aplikacija), termin napada i metode napada koje se neće koristiti u testiranju (npr. socijalni inženjering ili uskraćivanje usluge). Za sve dijelove sustava koji nisu testirani korisnik treba smatrati da su ranjivi. U testiranju RECRO-NET primjenjuje samo etičke metode testiranja.

Krajnji rezultat penetracijskog testa je pisani izvještaj. Izvještaj sadrži opis testiranog sustava, sigurnosne slabosti koje su otkrivene, razinu ostvarenog neovlaštenog  pristupa i prijedloge za otklanjanje otkrivenih sigurnosnih slabosti te općenite preporuke koje bi mogle povećati sigurnost informacijskog sustava korisnika.

Informacijski sustavi se vremenom mijenjaju. Sigurnosna politika bi trebala predviđati penetracijski test najmanje jednom godišnje, odnosno poslije svih većih zahvata u informatičkom sustavu.

KORISTI (Koja je korist za korisnika od ovog rješenja)

Ovaj test daje vrlo konkretne rezultate. Stručnjaci koji rade penetracijski test ili uspiju ući u korisnikom sustav ili ne. U penetracijskom testu nema teoretskih slabosti i teoretskih zaštita od nepostojećih prijetnji. Svaka pronađena i opisana ranjivost je stvarna, sa stvarnim posljedicama po sigurnost sustava.

Penetracijski test je prevencija kojom se izbjegavanje direktni troškovi izazvani nenadanim situacijama, te indirektni troškovi istraživanja uzroka i otklanjanje posljedica nenadanih situacija. Velika prednost za korisnika je projektni rad  što osigurava fiksne troškove, vremenske rokove i jasne i točne rezultate naručenog projekta. Važno je i neovisnost mišljenja, neopterećenog odnosima u tvrci korisnika, potrebom da se nešto proda ili teškoćama uklanjanja sigurnosnih slabosti.

NAŠE PREDNOSTI (Zašto odabrati baš naše rješenje)

RECRO-NET ima velik broj stalno zaposlenih specijalista za pojedina područja tako da može kvalitetno pokriti gotovo sve konfiguracije koje bi se mogle zateći kod korisnika. Za područje sigurnosti to su 4 osobe. Naša metodologija je bazirana na otvorenom kodu, no koristimo i komercijalne alate, između ostalog možemo istaknuti da za automatsko testiranje sigurnosti koristimo uređaj tvrtke Qualys, što je sigurnosni skener priznat od udruge izdavača kreditnih kartica.

PREDUVJETI (Koji su preduvjeti kod korisnika za primjenu ovog rješenja)

Potpisivanje ugovora o povjerljivosti informacija. Stalan kontakt s tehničkim osobljem za vrijeme provođenja testa. Obavezan backup svih testiranih sustava.

PRODUKTI I USLUGE (Koje usluge i proizvodi su potrebni i sadržani u ovom rješenju)

Usluge:

  • penetracijski test
  • izrada izvještaja o rezultatima penetracijskog testa
  • prezentacija za upravu
  • prezentacija za tehničko osoblje

 
RECRO-NET d.o.o