21/03/2022

Jak
skutecznie przeprowadzić audyt bezpieczeństwa w firmie?


Ataku hakerskiego raczej nie unikniesz – na celowniku przestępców są wszyscy. Możesz się jednak bronić i zminimalizować skutki. Aby odpowiednio się przygotować, regularnie przeprowadzaj audyty bezpieczeństwa IT. Jak je prowadzić?

1. Co zagraża systemom IT w firmach?
2. Jak przeprowadzić audyt bezpieczeństwa?
3. Czym są testy penetracyjne?
4. Co to są testy webowe?
5. Które elementy systemu IT warto zmodernizować?
6. Jaki wkład w bezpieczeństwo IT mają pracownicy?
BEZPIECZEŃSTWO IT – ZAGROŻENIA

Z raportu „BARIERY i TRENDY. Transformacja technologiczna firm w Polsce” z 2021 roku, wynika że aż 78% średnich i dużych przedsiębiorstw w Polsce jest w trakcie transformacji cyfrowej. To oznacza uruchamianie nowych systemów, korzystanie z dodatkowego oprogramowania, czyli tworzenie kolejnych furtek, przez które hakerzy mogą dobrać się do Twoich danych. Ryzyko ataku zatem wzrasta – potwierdzają to eksperci. Wielu przedsiębiorców inwestuje np. w Internet Rzeczy, w skrócie IoT. A jeszcze w 2019 roku firma F-secure zauważyła 3-krotny wzrost liczby ataków na te urządzenia. Co więcej, hakerzy tworzą nawet specjalne malware, przeznaczone do atakowania właśnie IoT czy IIot – np. „Mirai” czy „Katana”. W kolejnych latach liczba ataków hakerskich nadal rosła. NASK podaje, że między styczniem a czerwcem 2021 roku, obsłużyła 9167 incydentów skategoryzowanych jako oszustwa komputerowe. To więcej niż w całym roku 2020 (8310 incydentów) i ponad dwukrotność przypadków z roku 2019 (4016).

CZYM JEST MALWARE?

To uciążliwy lub szkodliwy rodzaj oprogramowania, którego celem jest potajemne uzyskiwanie dostępu do urządzenia bez wiedzy jego użytkownika. W ten sposób hakerzy uzyskują dostęp do danych Twojej firmy. Przestępcy wysyłają wirusy w rozmaity sposób, np. za pomocą fałszywych e-maili.
JAK PRZEPROWADZAĆ AUDYT BEZPIECZEŃSTWA W FIRMIE?
Kontrola infrastruktury IT w Twojej firmie powinna składać się z kilku różnych etapów. Spójrz, jakich:
  • Zebranie informacji o zabezpieczeniach stosowanych w Twojej firmie.
  • Przeprowadzenie badań i testów zabezpieczeń.
  • Analiza wyników i opracowanie raportu z audytu.
  • Przedstawienie propozycji zmian w zabezpieczeniach.
  • Wdrożenie zaleceń pokontrolnych!
Poniżej omówimy szerzej badania i testy zabezpieczeń.
PO PIERWSZE – TESTY PENETRACYJNE INFRASTRUKTURY

Przeprowadź zarówno testy zewnętrzne, jak i wewnętrzne. Te pierwsze mają za zadanie zobaczyć czy możliwe jest nieautoryzowane uzyskanie dostępu do baz danych lub systemów za pośrednictwem sieci zewnętrznej. Jak to działa? Wykonaj symulowany atak, np. na swoją sieć bezprzewodową. To najczęściej stosowana metoda. Następnie przychodzi czas na testy wewnętrzne. Polegają one na sprawdzeniu słabych punktów i nieprawidłowości w konfiguracji urządzeń działających w ramach sieci wewnętrznej – tu szczególną uwagę trzeba poświęcić wspominanym wcześniej IoT. W czasie prowadzenia testów, sprawdzaj nie tylko aspekty techniczne, ale też weryfikuj zachowania pracowników – sprawdź skrupulatność w stosowaniu zasad bezpieczeństwa, podatność na błędy oraz sposoby reakcji w razie zagrożenia. To absolutne minimum. Hakerzy zazwyczaj nie są wybredni i najczęściej idą na „ilość”, a nie na „jakość” ofiar, ponieważ to może im się bardziej opłacić. Gdy prowadzą masowe ataki malware czy ransomware liczą na efekt skali, zatem nawet najmniejsi przedsiębiorcy są także potencjalnym celem.

WARTO WIEDZIEĆ!

Ransomware to oprogramowania, które blokuje dostęp do zainfekowanego komputera lub szyfruje dane o dużym (krytycznym) znaczeniu. W ten sposób przestępcy żądają zapłaty okupu za odblokowanie urządzenia i ponowny dostęp do danych firmy. Większość ataków ransomware zaczyna się od fałszywej wiadomości e-mail z linkiem lub załącznikiem zawierającym kod. Po otwarciu któregoś z nich przez pracownika firmy, haker zyskuje dostęp do Twoich danych.

DDoS to ataki, których cel to zatrzymanie działania konkretnych urządzeń lub całej sieci i wolnych zasobów poprzez zajęcie ich z wielu miejsc jednocześnie.

SQL Injection wykorzystuje lukę w zabezpieczeniu aplikacji webowej (lub nie webowej) i w ten sposób zyskuje dostęp do danych. Jak sama nazwa wskazuje, haker „wstrzykuje” do aplikacji nieautoryzowany fragment zapytania SQL.

PO DRUGIE – TESTY APLIKACJI WEBOWYCH
Z pewnością korzystasz również z aplikacji webowych, jak np.:
  • sklepy internetowe,
  • porównywarki,
  • chat,
  • inne, osadzone na stronach internetowych.

One też są coraz częściej przedmiotem ataków, więc pomyśl o przeprowadzeniu testów penetracyjnych, skupionych także na ich działaniu. Szczególnie pod kątem ataków DDoS czy z wykorzystaniem technik SQL Injection. Podobnie należy postąpić w przypadku aplikacji mobilnych, jeśli je posiadasz.

Zobacz, jakie rodzaje testów penetracyjnych wykonuje się w czasie audytów:
  • Stress Testy – z użyciem technik DoS, DDoS, mają za zadanie sprawdzenie przepustowości sieci oraz stopień odporności serwerów i innych urządzeń skojarzonych z daną aplikacją czy stroną internetową.
  • Testy bazy danych – za pomocą technik SQL Injection oraz błędów wersji.
  • Testy mobilne – dotyczą aplikacji mobilnych pod względem testowanego oprogramowania oraz technik smishingowych/vishingowych.
  • Testy aplikacji – testy webowe sprawdzają nie tylko bezpieczeństwo, ale również funkcjonalność oraz optymalność danych witryn czy aplikacji. 

PAMIĘTAJ!

Testy penetracyjne i webowe powinna prowadzić każda organizacja, niezależnie od wielkości i skali działania. Teraz praktycznie każdy jest podłączony do Internetu i może stać się celem hakerów.
KTÓRE ELEMENTY SYSTEMU IT WARTO MODERNIZOWAĆ?
Zwiększenie zabezpieczeń sieciowych bardzo często wiąże się też z koniecznością wymiany lub ulepszenia pewnych elementów infrastruktury IT. Szczególną uwagę poświęć samej sieci:
  • z jakiego jej rodzaju korzystasz,
  • sprawdź jakość urządzeń zapewniających dostęp do Internetu,
  • zweryfikuj kluczowe oprogramowanie.
Aby prawidłowo przeprowadzić audyt i modernizację, zadaj sobie te pytania pomocnicze:
  • Czy wystarczy zwykły WLAN, czy może lepiej uruchomić WAN, może warto też korzystać z VPN?
  • Czy nie należy wymienić routerów na wyższy standard WiFi?
  • Czy istnieje konieczność uruchomienia dodatkowych zabezpieczeń typu WAF (zapora dla aplikacji webowych) lub rozwiązań z obszaru zabezpieczenia punktów końcowych (tzw. EDR)?
  • Dlatego modernizacji zabezpieczeń i procedur, powinny towarzyszyć dodatkowe szkolenia dla pracowników.
  • Najlepiej, jeśli będziesz organizować je cyklicznie, ponieważ z miesiąca na miesiąc cyberprzestępcy wymyślają nowe sposoby ataku.
WKŁAD PRACOWNIKÓW W BEZPIECZEŃSTWO IT

Nawet najlepsze zabezpieczenia nie pomogą, gdy zawiedzie czynnik ludzki. Hakerzy o tym wiedzą, dlatego ważne jest też zbudowanie odporności pracowników na social engineering, czyli techniki manipulacyjne. Cyberprzestępcy atakują nie tylko prezesów i zarząd, ale za cel przyjmują też szeregowych pracowników. Infekując ich komputer, „wchodzą dalej w system". Wydobycie danych nie musi być trudne, wystarczy podszyć się pod jakąś osobę lub instytucję i w ten sposób wyłudzić dostęp do informacji. Właśnie tak działa phishing, który brzmi tak samo jak „fishing”, czyli z angielskiego „łowienie”.


Wiesz już więcej o cyberbezpieczeństwie w organizacji. Chcesz przeprowadzić skuteczny audyt? Pomożemy Ci!


Udostępnij:

Realizacja Happy Business

© 2022 | Sprint S.A. Wszystkie prawa zastrzeżone.