Jak efektivně použít penetrační testy

Publikováno: 17. dubna 2021

 

Tak jako kladivem se dobře zatlouká a špatně šroubuje, i penetrační testy jsou nástroj, který je nutné umět správně použít.

Předně je důležité si uvědomit, s jakými problémy může penetrační test účinně pomoci:

  • sběr informací
  • validace různých druhů rizik
  • sběr informací o existujících vadách pro další opravy a vylepšení
  • vzdělávání uživatelů a managementu
  • možnost „reálně“ si prožít průběh útoku
  • ukázat důsledky neřešení bezpečnostních problémů
  • testování účinnosti a dostatečnosti stávajících bezpečnostních opatření
  • testování dodržování bezpečnostních zásad, postupů a dalších dokumentů upravujících bezpečnost v organizaci

Penetrační testování své limity, které je třeba vzít v úvahu před tím, než se rozhodnete je ve své firmě provést:

  • Pokud během testu nebyly objeveny žádné zranitelnosti a chyby, neznamená to, že neexistují žádné problémy – testerovi prostě mohli uniknout. Penetrační test proto nelze použít k potvrzení, zda je aktivum řádně zabezpečeno. Může sloužit pouze jako jeden ze zdrojů dat.
  • Výsledky testu odráží pouze aktuální stav – vzhledem k moderním vývojovým a provozním postupům nemusí být výsledky aktuálního testu platné, pokud jsou do testované infrastruktury zavedeny nové funkce, aktualizace atd. Organizace musí neustále zlepšovat svá organizační a technické bezpečnostní opatření, aby minimalizovala rizika.
  • Musí být použit v kombinaci s dalšími činnostmi souvisejícími se zabezpečením – vzhledem k jeho účelu a omezením jej nelze použít jako samostatnou techniku. Vždy to musí být součástí většího bezpečnostního procesu.
  • Výsledky velmi závisí na testerovi, rozsahu práce a dostupném čase – test je stejně dobrý jako testovací tým, který jej provedl, a zdroje, které měl k dispozici. Doporučujeme testovací tým pravidelně obměňovat, aby testeři neupadli do rutiny.
  • Rozsáhlé a kvalitní testování je drahé a z toho důvodu může být úplné testování všech informačních aktiv neefektivní. Doporučujeme vytvořit strategii testování, která bude prioritizovat testování na základně obchodních rizik.

 

Rychlá navigace

Home
Analýza rizik
Bezpečnostní manažer
Penetrační testy
Blog
Reference
Členská sekce

Kontakt

+ 420 725 854 294
info@zagsecurity.com
Data Security Services s.r.o.
Radlická 663/28, 150 00 Praha

© 2021  |  zagsecurity.com  |  Zásady zpracování osobních údajů