Rodzaje testów penetracyjnych

4 maja, 2020

0

Rodzaje testów penetracyjnych

Testy penetracyjne to bardzo ważny element funkcjonowania każdej organizacji. Obecnie ochrona danych osobowych jest ściśle kontrolowana. Jednak firmy posiadają nie tylko bazę danych prywatnych i klientów. To również całe mnóstwo informacji o produktach, patentach, danych, które nie powinny znaleźć się w zasięgu konkurencji.

Jak uchronić się przed wyciekiem danych poufnych?

Aby ustrzec się przed wyciekiem danych należy systematycznie sprawdzać zabezpieczenia teleinformatyczne firmy. Podczas wprowadzania nowych technologii, aplikacji często pojawiają się luki w systemie bezpieczeństwa. Temu służą testy penetracyjne przeprowadzane przez odpowiednio przeszkolone osoby. Są to najczęściej hakerzy z odpowiednimi pozwoleniami, którzy działają w pełni etycznie. Przeprowadzają oni planowany atak na sieć i sprawdzają dzięki temu bezpieczeństwo systemu. Kontrolowany atak odbywa się w świetle prawa, a efekty włamania są dokumentowane i przekazane do analizy w celu usunięcia luk.

Rodzaje testów penetracyjnych

Zasadniczo wyróżnia się trzy rodzaje testów:

  1. Black Box – to najtrudniejszy rodzaj testu i najbardziej zaawansowany. Atakujący działa jak prawdziwy cyber przestępca z zewnątrz, nie posiadając żadnych danych na temat funkcjonowania systemu firmy.
  2. White Box – osoba testująca otrzymuje cały zasób niezbędnych informacji o systemie teleinformatycznym. Tego rodzaju test przypomina bardziej kontrolę systemu i wprowadzenie ewentualnych zmian w konfiguracji.
  3. Grey Box – to połączenie obu metod. Osoba przeprowadzająca test otrzymuje tylko szczątkowe informacje i na tej podstawie przeprowadza symulowany atak.

Kiedy wykonać testy penetracyjne?

Testy powinny być wykonywane regularnie. Tylko wtedy zyskuje się gwarancję poprawnego działania systemu.
Kontrola powinna być przeprowadzona zawsze, kiedy system jest aktualizowany, kiedy wprowadzane są nowe technologie i aplikacje. Ponadto podczas zmiany siedziby firmy warto przeprowadzić test mający na celu ocenę ryzyka zagrożenia w nowym miejscu.