Penetrační testy a etický hacking aneb odhalte problémy dříve, než je objeví hackeři

17. srpna 2022

Myslíte si, že se napadení hackerem Vaší společnosti netýká, protože je jen střední velikosti a hackeři se přece soustředí jen na velké ryby? TO JE OMYL! Právě naopak. Hackeři se čím dál častěji zaměřují na střední a menší společnosti. Detailně si Vás proklepnou a zjistí, kde jsou Vaše nejslabší místa. Dokážou určit, který zaměstnanec bude nejjednodušším cílem útoku, jaká data jsou pro Vás nejcennější, ale i to, jak vysoké výkupné ještě budete schopni zaplatit.

Jak se dají najít citlivá místa ve Vaší IT bezpečnosti? Hackerským útokem!

Nebojte se, nepustíme na Vás hackera. Nebo teda pustíme, ale etického. Proces, při kterém profesionál na IT bezpečnost nasimuluje útok na Váš počítačový systém nebo síť, samozřejmě s Vaším svolením, se nazývá penetrační testování. To, že je útok simulovaný ale neznamená, že nebude stejně kvalitní jako by byl útok skutečný. Rozdíl je v tom, že při penetračním testu nedojde k úniku Vašich dat, ta nebudou zneužita a ani použita proti Vám a Vaší firmě.

Proč penetrační testování dělat?

Protože to bude levnější a méně bolestivé než placení výkupného za data, případně jejich obnova a řešení dalších následků po skutečných hackerech.

Kdy?

Kdykoliv, ale co nejdřív! Zvlášť pokud v koutku duše tušíte, že Vaše IT bezpečnost není 100%. Varování: úspěšně provedený penetrační test, kdy se Vám etičtí hackeři dostanou do důležitých systémů nebo dat Vaší firmy, může způsobit velké rozčarování a rozhořčení některých lidí…

Kde?

U Vás ve firmě, na síti, na serveru, v cloudu…záleží, co všechno používáte a jak moc detailní testování chcete. Typů testů je hned několik:

Externí testuje, jak by vypadal útok na Vaši firmu zvenku, tedy to, co by dělal skutečný hacker. Testuje Váš vnější perimetr a jak odolá útoku zvenčí.

Interní testuje, jak by vypadal útok zevnitř – naštvaný zaměstnanec, dodavatel, nebo třeba špičkový hacker, který by se dostal za perimetr.

Slepý test je když…se specialistovi simulujícímu útok nedají žádné informace, je tedy odkázán pouze na veřejně dostupné informace.

Dvojitě slepý test navíc ze simulace vynechá i Vaše IT a ostatní zaměstnance. To zajistí, že se testuje skutečný a obvyklý stav.

Cílený test je pak takovou přetahovanou mezi IT oddělením a etickým hackerem. Jedná se o testování předem dohodnuté oblasti. Je méně náročný na čas a přípravu, má ale nejmenší přínos, protože poskytuje jen částečný náhled na skutečný stav bezpečnosti celého systému.

Jak?

Celý proces má většinou čtyři fáze:

Dohoda na tom, co a jak se bude testovat, kdo o tom bude vědět a podpis smlouvy.
Příprava a skenování – aktivní prozkoumání testovaných systémů, celkový test známých zranitelností (je vždy aktualizovaný), určení dalšího postupu na základě získaných informací a konzultace s kontaktní osobou zákazníka.
Fáze útoku – etický hacker využije všechna zjištění k pokusu o průnik do Vašich systémů.
Sestavení závěrečné zprávy, kde jsou popsány všechny výsledky a zjištění, obsahuje také doporučení na posílení jednotlivých částí Vaší IT ochrany. Většinou má kompletní shrnutí rozsahu, metodiky a zjištění – tato část je vhodná pro management. Druhou částí je detailní technická zpráva, která slouží pro technický personál zákazníka a obsahuje veškeré zjištěné zranitelnosti, včetně ohodnocení jejich závažnosti a návrhy postupu jejich odstranění.

Chcete o penetračních testech vědět víc? Ozvěte se nám. Nabízíme Vám hodinovou konzultaci zdarma.

Cookie	Délka	Popis
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Délka	Popis
Gdyn	1 year 1 month	Gemius sets this cookie to prevent internet users from frequent display of the survey used for the purposes of the study.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Délka	Popis
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_12D3PZ06XQ	2 years	This cookie is installed by Google Analytics.
_gat_UA-96840864-4	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
sid	1 month	The sid cookie contains digitally signed and encrypted records of a user’s Google account ID and most recent sign-in time.

Cookie	Délka	Popis
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_2660465	30 minutes	No description
_hjSessionUser_2660465	1 year	No description
CLID	1 year	No description
Gtestem	past	No description
lps	1 month	No description available.
SM	session	No description available.
test	never	No description available.
User-Id	1 year	No description

Cookie	Délka	Popis
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
Gtest	7 days	Gtest cookie is a part of the Gemius market research platform, that is used to create statistics on website usage.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.

Penetrační testy a etický hacking aneb odhalte problémy dříve, než je objeví hackeři

Jak se dají najít citlivá místa ve Vaší IT bezpečnosti? Hackerským útokem!

Nejnovější příspěvky

Rubriky

Penetrační testy a etický hacking aneb odhalte problémy dříve, než je objeví hackeři

Jak se dají najít citlivá místa ve Vaší IT bezpečnosti? Hackerským útokem!

Nejnovější příspěvky

Rubriky

Zásady ochrany Vašeho soukromí