Dlaczego warto wynająć etycznego hakera?
Cyberbezpieczeństwo

Dlaczego warto wynająć etycznego hakera?

12 października 2021

Aby mieć pewność, że system zabezpieczeń infrastruktury IT w firmie działa skutecznie, należy go przetestować, np. poprzez przeprowadzenie kontrolowanego ataku. Są to tzw. testy penetracyjne, bowiem by sprawdzić, jak bardzo skomplikowane jest włamanie się do firmowej infrastruktury, trzeba myśleć i działać jak haker. Koszty takich usług zniechęcają jednak z reguły wiele firm, by w ten sposób testować stosowane przez nie zabezpieczenia. Orange Polska włączając testy penetracyjne do Cyber Pakietu uczynił tę usługę przystępną cenowo także dla małych i średnich firm.

 

Co piąta firma w Polsce z powodu pandemii COVID-19 zwiększyła budżet na cyberbezpieczeństwo, wynika z badania przeprowadzonego pod koniec 2020 roku przez ARC Rynek i Opinia na zlecenie firmy Fortinet.  Najwięcej środków przeznaczono na nowe rozwiązania i usługi ochronne, jak np. firewalle czy oprogramowanie antywirusowe (51 proc.). Nowe realia wymusiły też konieczność inwestycji w licencje na oprogramowanie ochronne instalowane na urządzeniach pracowników zdalnych, wdrożenie nowych zasad bezpieczeństwa oraz szkolenia i certyfikację personelu. 41 proc. firm dostrzegło konieczność modernizacji istniejących zabezpieczeń. Najniższy priorytet miała rekrutacja nowych pracowników odpowiedzialnych za bezpieczeństwo. O tych bowiem niełatwo na rynku, a ich wynagrodzenia są też z reguły wysokie.

 

Czy to oznacza, że po dokonaniu zakupów i wdrożeniu tych rozwiązań, firma może się już czuć całkowicie bezpieczna? Pewność taką można uzyskać dopiero wtedy, gdy sprawdzi się, jak te zabezpieczenia działają. Standardowym działaniem we wdrażanej polityce cyberbezpieczeństwa powinno być bowiem ciągłe identyfikowanie luk i słabych punktów w zabezpieczeniach środowisk sieciowych. A do tego najlepiej wykorzystać tzw. testy penetracyjne, które pozwalają sprawdzić rzeczywisty poziom bezpieczeństwa systemów IT oraz zidentyfikować realne zagrożenia. W przeciwieństwie do audytu cyberbezpieczeństwa nie muszą być one przeprowadzone według sformalizowanej metodologii.

Do tego typu testów angażuje się często tzw. białych (etycznych) hakerów, którzy specjalizują się w wykrywaniu wszelkich luk w zabezpieczeniach systemów IT, ale w odróżnieniu od tzw. czarnych hakerów, robią to bez złych intencji.

 

Dlaczego się ich do tego angażuje? – By sprawdzić, jak bardzo skomplikowane jest włamanie się do firmowej infrastruktury, trzeba myśleć jak haker i stosować odpowiednie techniki – wyjaśniają specjaliści Orange Polska, który w swej usłudze Cyber Pakiet oferuje klientom m.in. testy penetracyjne. Etyczni hakerzy pracujący dla CERT Orange Polska (wyspecjalizowanego podmiotu zajmującego się bezpieczeństwem sieci w strukturach operatora) sprawdzą bezpieczeństwo wskazanych przez klientów najbardziej istotnych webaplikacji lub innych elementów infrastruktury.

Ich zadaniem jest m.in. przeprowadzenie kontrolowanego cyberataku i analiza bezpieczeństwa wskazanych przez klienta stron WWW i/lub infrastruktury IT.

W zależności od wykupionego przez klienta pakietu kilka razy w roku przeprowadzany jest  tzw. rekonesans, czyli wyszukiwanie  informacji, które mogą pomóc przestępcom w udanym ataku na firmową sieć. Testowane są też, w ramach limitu godzin, wskazane, najbardziej istotne obszary infrastruktury klienta. Co zaś niezwykle ważne, cykliczność tego typu działań powoduje, że z czasem, w ten sposób można wykryć błędy bezpieczeństwa w całej infrastrukturze klienta. Na koniec przygotowywane są raporty z rekomendacjami, które stanowią dla klientów korzystających z Cyber Pakietu istotną pomoc w  sprawnej eliminacji wykrytych luk bezpieczeństwa. To dlatego, że gdy znalezione zostaną  luki w bezpieczeństwie podawany jest sposób ich usunięcia  wraz z klasyfikacją ryzyka wykorzystania podatności i jej szkodliwości.

 

Wiadomo też, że wynajęcie specjalistów  od spraw  bezpieczeństwa IT o dużym doświadczeniu i umiejętnościach, którzy mogą przeprowadzić takie testy, nie jest tanie. To odstrasza wiele firm od skorzystania z tego typu usług. Orange Polska włączając testy penetracyjne do całego zestawu usług w ramach Cyber Pakietu czyni je dla małych i średnich firm bardziej przystępnymi. Skorzystać z nich mogą już klienci Pakietu Basic, gdzie w abonamencie za nieco ponad 5 tys. zł miesięczne wraz z  zestawem wielu usług cyberbezpieczeństwa, Orange gwarantuje też przeprowadzenie dwa razy do roku testów penetracyjnych.  W pakietach droższych (Standard i Pro), takich testów jest cztery lub sześć rocznie.

 

Trzeba też pamiętać, że skuteczność testu penetracyjnego w dużym stopniu zależy od kompetencji i stanu wiedzy zespołu testującego. W przypadku CERT Orange Polska, zatrudnieni tam  specjaliści poszerzali swą wiedzę chroniąc od ponad 20 lat sieć największego operatora w Polsce oraz jego klientów.  To zaś gwarantuje jakość usługi.

 

Mogą Cię również zainteresować

  • Trzy kroki do bezpiecznej firmy – w sieci i poza nią

    Trzy kroki do bezpiecznej firmy – w sieci i poza nią
    Trzy kroki do bezpiecznej firmy – w sieci i poza nią

    Cyberbezpieczeństwo

    Cyberbezpieczeństwo

    Trzy kroki do bezpiecznej firmy – w sieci i poza nią Cyberatak? Wykorzystanie numeru PESEL? Nieuczciwy kontrahent? Awaria sprzętu? Twój biznes może być […]

  • Nie sposób zabezpieczyć sieć bez wiedzy, co się w niej dzieje i dziać może

    Nie sposób zabezpieczyć sieć bez wiedzy, co się w niej dzieje i dziać może
    Nie sposób zabezpieczyć sieć bez wiedzy, co się w niej dzieje i dziać może

    Cyberbezpieczeństwo

    Cyberbezpieczeństwo

    W obliczu wzrostu skali cyberzagrożeń coraz więcej firm uświadamia sobie, że trudno im będzie zapewnić sobie samodzielnie bezpieczeństwo infrastruktury teleinformatycznej bez profesjonalnego wsparcia […]