Audyt bezpieczeństwa informatycznego

Audyt bezpieczeństwa informatycznego – Plan

Audyt bezpieczeństwa informatycznego wymaga odpowiedniego zaplanowania. Musisz nie tylko mieć dokładny cel, lecz także zrobić wszystko, by audyt przyniósł korzyści, a nie straty. Chyba nie chcesz, by w wyniku złego przygotowania została zatrzymana praca firmy? Chcesz wiedzieć o czym należy pamiętać, by przeprowadzić audyt bezpieczeństwa informatycznego? Zapraszam do lektury

Audyt bezpieczeństwa informatycznego i nie tylko

Chciałbym również byś wiedział, że artykuł ” audyt bezpieczeństwa informatycznego ” jest częścią cyklu “Oszukać przeznaczenie“. Materiały w nim zebrane mają na celu pomóc Ci przewidzieć oraz zabezpieczyć firmę przed komplikacjami i ogromnymi stratami finansowymi. Poprzednie znajdziesz w tym miejscu:

Kolejne już niedługo! Zachęcam do lektury całości. Na koniec znajdziesz specjalną niespodziankę!

Zachęcam również do odwiedzenia mojego kanału na Youtube:

Audyt bezpieczeństwa informatycznego – Plan

Planując testy penetracyjne ważne jest, by ustalić zakres i cel ich przeprowadzenia. Przede wszystkim, ustal konkretny terminarz testów. Zweryfikuj również czy dział IT, który odpowiada za obronę tego co będziesz łamać jest świadom Twoich działań. Znajdą dokładny czas? Wiedzą w których godzinach zaczniesz?. Czy testy będziesz przeprowadzać w czasie godzin szczytu firmy czy może podczas wakacji gdy wpływ na pracę serwerów będzie zdecydowanie mniejszy?

Wewnętrzny czy zewnętrzny zakres?

W przypadku testu wewnętrznego mierzymy się z wszelkiego rodzaju atakami, które mogą wystąpić w organizacji. Mówiąc językiem IT, atakujący działa w ramach firewalla. Przykładowo, jeżeli testujesz sieć LAN to posiadasz fizyczny dostęp do tej sieci. Upraszczając, Twój komputer jest podłączony do gniazdka LAN. Natomiast atak zewnętrzny będzie pochodził z internetu i testy będą przeprowadzane bezpośrednio poprzez firewall.

Lokalizacja zasobów to kolejna kwestia, którą należy uwzględnić. Czy serwerownia klienta mieści się bezpośrednio wewnątrz siedziby firmy? A może korzystają z zewnętrznych dostawców usług hostingowych i wszelkiego rodzaju Chmur? Oczywiście, część usług może znajdować się w Chmurze, a część w lokalnej serwerowni. Podczas planowania należy uwzględnić z klientem czy mamy prawo do testowania obu platform czy mamy skupić się na jednej.

 

Akcja Wiosenna - Promocja na najnowsze kursy w naszej ofercie!

Do końca marca masz możliwość zakupić najnowsze kursy:

  • Wdrożenie Serwera NGINX w Chmurze
  • NGINX jako Ingress w K8s
  • Kurs Grafany

Dodatkowo odbierz za darmo godzinny wykład "K8s Pod, MultiContainer Pod, Init Containers" na hasło "freek8s"!

Promocja trwa do 31 marca do godziny 23:59. 

Chcesz wziąć udział w kursie? Kliknij w link: https://asdevops.pl/promocja-marzec-2024

 

 

 

 

 

Na co warto zwrócić uwagę planując audyt bezpieczeństwa informatycznego?

Fizyczny atak. W tej części uwzględniamy czy atak ma również uwzględnić atak fizyczny. A to oznacza wszelkiego rodzaju włamania oraz kradzieże.

Użytkownicy. Socjotechnika to niezwykle skuteczna forma ataków. Jeżeli osoby decyzyjne wyrażają zgodę na przeprowadzenie tego typu ataku to również należy próbować „oszukiwać” pracowników firmy.

Sieć bezprzewodowa. Test penetracyjny wszelkiego rodzaju urządzeń sieciowych. Źle zabezpieczone WiFi firmowe to potencjalnie ogromne ryzyku dla firmy. Warto sprawdzić czy zostały odpowiednio zabezpieczone.

Aplikacje. Warto ustalić czy zadaniem osób przeprowadzających audyt jest testowanie aplikacji. Ponadto, tu również warto uściślić czy należy się zając samym kodem używanych w firmie aplikacji czy może również narzędzi na których zostały uruchomione. Przykładowo, silnik baz danych.

Problemy

Podczas przygotowywania i planowania warto uwzględnić poniższe kwestie. Ma to nie tylko wpływ na rodzaj wykonywanego testu, lecz także na skomplikowanie zadania. I oczywiście budżet wymagany do przeprowadzenia testu penetracyjnego.

Whitelist i blacklist – pojęcia, które nie są chyba obce ludziom pracującym w IT. Tzw Białe i Czarne listy oznaczają poziom zaufania w stosunku do konkretnych adresów IP.

Pojęcie blacklist jest często używany w stosunku do poczty email. Przykładowo, jeżeli z danego adresu IP lub domeny często otrzymujemy niechciane wiadomości to możemy dodać je do tzw. Blacklist. Dzięki temu nasz serwer lub aplikacja pocztowa będzie dodawać kolejne wiadomość od zablokowanego nadawcy do wiadomości śmieci. Whitelist to natomiast adresat zaufany, który zawsze powinien mieć priorytet w dostarczeniu do Ciebie wiadomości.

Podobnie jest w przypadku testów penetracyjnych. Adres IP z którego będziesz wykonywać atak może zostać dodany do whitelist lub do blacklist. To pierwsze, naturalnie mocno ułatwi Ci zadanie. To drugie utrudni.

Będąc przy temacie zaufanych stref warto jeszcze uwzględnić to jak będą nas traktować wszelkiego rodzaju zabezpieczenia użyte wewnątrz organizacji. Czy Firewall, WAF, IPS i pozostałe rozwiązania zostaną „odsłonięte”, by ułatwić pracę audytorów? A może wręcz przeciwnie? Będą twardo bronic dostępu. To należy uzgodnić jeszcze przed podpisaniem umowy.

Analiza ryzyka

Spokojnie, nie będę Cię teraz zmuszać do przygotowania analizy ryzyka. Aczkolwiek, jest ona mile widziana do przeprowadzenia w firmie. Gdybyś się zastanawiał jak taką przeprowadzić to odsyłam do artykułu poniżej:

Krótka analiza ryzyka w firmie przed testem penetracyjnym ma na celu weryfikację tego jak bardzo firma jest w stanie zaakceptować ewentualne problemy podczas testów. Testy penetracyjne wiążą się z ryzykiem tego, iż podczas ich wykonywania coś może się nie udać. Warto ustalić czy firma akceptuje ewentualne ryzyko awarii czy jednak systemy muszą działać nieprzerwanie.

Ponadto, należy ustalić jaki wpływ może mieć konkretna awaria. Przykładowo, co się wydarzy w firmie jeżeli zatrzymany zostanie internet, serwer plików lub konkretna aplikacja. Przykładowo, czy przerwa w internecie wiązać się będzie z niedostępnością głównego sklepu firmy? Jeżeli uruchomiony jest on wewnątrz organizacji  i korzysta z jednego adresu IP to definitywnie taki problem wystąpi.

Zbieranie informacji

Gdy już wszystko zaplanujesz, pora na zbieranie informacji. Rozpoczynamy zatem Rekonesans. Ale o tym opowiem już następnym razem… Daj znać w komentarzu czy interesuje Cię ten temat i rozpisać go szerzej. Nie wykluczone, że poruszę ten temat w jednym z najbliższych materiałów. Chyba, że wolisz oddać to zadanie innym? Jeżeli tak to zachęcam do kontaktu ze mną i Grupa ADM.

 

 

Akcja Wiosenna - Promocja na najnowsze kursy w naszej ofercie!

Do końca marca masz możliwość zakupić najnowsze kursy:

  • Wdrożenie Serwera NGINX w Chmurze
  • NGINX jako Ingress w K8s
  • Kurs Grafany

Dodatkowo odbierz za darmo godzinny wykład "K8s Pod, MultiContainer Pod, Init Containers" na hasło "freek8s"!

Promocja trwa do 31 marca do godziny 23:59. 

Chcesz wziąć udział w kursie? Kliknij w link: https://asdevops.pl/promocja-marzec-2024

 
 
 

Promocja na trzy najnowsze kursy w ofercie!

X