Audyt bezpieczeństwa, testy penetracyjne

Czy warto się sprawdzić?

Wraz z wdrożeniem nowego systemu jesteśmy zwykle przekonani, że przygotowane rozwiązanie jest najlepsze i spełnia wszelkie normy od wydajnościowych po szeroko pojęte bezpieczeństwo. Należy jednak pamiętać, że tego typu podejście jest mylne i warto sprawdzić, czy w trakcie wdrożenia lub już na etapie projektowania nie został pominięty pewien szczegół, który może zagrozić bezpieczeństwu całego przedsięwzięcia.

Historia pokazuje, że nawet rozwiązania takich potentatów jak Microsoft, Google lub znane projekty open source takie jak Wordpress, OpenSSL każdego roku stają się ofiarami ataków, które udowadniają, że pomimo wszelkich starań zawsze istnieje czynnik ludzki. Błędy, które są efektem zaniedbań zagrażają utratą poufnych danych, wizerunkowi firmy jak i użytkownikom, którzy korzystają z danego systemu. W takiej sytuacji zamiast czekać, aż stanie się najgorsze warto pozwolić, by zespół specjalistów poddał audytowi dane rozwiązanie przeprowadzając "Audyt Bezpieczeństwa" zwanych również "Testami Penetracyjnymi". Taki audyt, którego wykonanie powierza się zwykle zewnętrznemu zespołowi specjalistów i może zostać wykonany na trzy różne sposoby opisane poniżej.

Jakie są rodzaje testów?

Czarna Skrzynka (blackbox testing) - testy są przeprowadzane przy minimalnej wiedzy na temat architektury i sposobu funkcjonowania testowanego obiektu. Pozwalają one na spojrzenie z perspektywy "przeciętnego" użytkownika i zweryfikowanie jakie luki lub nieprawidłowości mogą zostać szybko odkryte podczas jego użytkowania.

Szara Skrzynka (greybox testing) - testy są przeprowadzane przy częściowej wiedzy na temat architektury i sposobu funkcjonowania testowanego obiektu. W przypadku aplikacji webowych mogą być to informacje na temat zastosowanego języka programowania, systemu operacyjnego, typu bazy danych oraz dostępnych funkcjonalności i spodziewanych zachowań aplikacji na określone dane wejściowe.

Biała Skrzynka (whitebox testing) - testy są przeprowadzane przy wykorzystaniu pełnej wiedzy na temat testowanego obiektu i mogą się opierać o pełny dostęp do kodu źródłowego jak i wszystkich części testowanego obiektu.

Czy jeden audyt wystarczy?

Jednorazowo przeprowadzone testy penetracyjne są w stanie wykazać wyłącznie, czy na daną chwilę w testowanym systemie nie są widoczne żadne potencjalne zagrożenia, jednak tak jak wprowadzane są w nim zmiany, usprawnienia lub inne modyfikacje, tak każda z nich może w efekcie otworzyć nową lukę stanowiącą poważne zagrożenie.  Z tego względu warto rozważyć wprowadzenie cyklicznych testów, których celem jest weryfikacja całego system lub jego części.

Grey Wizard wychodzi naprzeciw oczekiwaniom klientów i wprowadza usługi audytów bezpieczeństwa oraz testów penetracyjnych więcej informacji na stronie https://greywizard.com/audyty-bezpieczenstwa

Brak komentarzy :

Prześlij komentarz