Διάβασα
κάπου ότι η ασφάλεια μιας πληροφοριακής υποδομής είναι τόσο
αποτελεσματική όσο και η μεθοδολογία που υιοθετείται για τον έλεγχο της,
το οποίο έχει αρκετά ισχυρή λογική βάση και εξηγεί την στροφή που
παρατηρούμε τα τελευταία χρόνια στην αγορά των υπηρεσιών ασφάλειας
πληροφοριακών συστημάτων. Το γνωστό σε όλους μας penetration testing, ή αλλιώς όπως αρέσκονται να το αποκαλούν οι περισσότεροι.....πλέον, ethical hacking, είναι ένας τρόπος μέσω του οποίου μπορούμε να ελέγξουμε την ασφάλεια του δικτύου μας και ενώ δεν είναι κάτι καινούργιο, γίνεται ολοένα και πιο δημοφιλές τα τελευταία χρόνια. Συνηθίζουμε όλο και συχνότερα να αναφέρουμε σε όποιον διεξάγει ελέγχους ασφάλειας υποδομών να σκέφτεται σαν κακόβουλος χρήστης, σαν επιτιθέμενος, σαν hacker το οποίο αποτελεί και την ουσία για έναν αποτελεσματικό penetration testing. Απλά σκέφτεσαι και ενεργείς όπως ένας πραγματικός εισβολέας ο οποίος προσπαθεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο σύστημα που θέλεις να ελέγξεις. Χρησιμοποιούμε κατά κόρον τη συγκεκριμένη μεθοδολογία με τον ίδιο ακριβώς τρόπο που την χρησιμοποιεί και ένας κακόβουλος χρήστης, ελέγχοντας όλες τις ευπάθειες, κρίσιμες και μη, τις οποίες ξερνάνε τα εργαλεία που χρησιμοποιούμε (Burpsuite, Nessus κλπ.) κατά τη διενέργεια ενός ελέγχου για να δούμε αν πράγματι μπορούμε να εκμεταλλευτούμε τις εν λόγω αδυναμίες ή αν είμαστε τελικά ασφαλής.
Ορισμένες εταιρείες προσλαμβάνουν in-house προσωπικό για να διεξάγει ελέγχους ασφάλειας ενώ αρκετές βασίζονται σε εξωτερικούς συμβούλους ασφάλειας. Φυσικά οι περισσότερες εταιρείες αυτή τη στιγμή και όχι μόνο στον ελλαδικό χώρο, δεν πραγματοποιούν ελέγχους ασφάλειας στην εταιρική τους υποδομή είτε γιατί δεν γνωρίζουν ποιοι είναι οι κίνδυνοι που ελλοχεύουν είτε επειδή θεωρούν ότι το penetration testing είναι κάτι αρκετά κοστοβόρο. Οι εταιρείες εκείνες οι οποίες είναι πιστοποιημένες κατά PCI-DSS είναι φυσικά υποχρεωμένες να πραγματοποιούν ελέγχους ασφάλειας ανά τακτά χρονικά διαστήματα. Θα ερωτηθεί κάποιος εύλογα όμως....
Διαβάστε περισσότερα στο: www.secnews.gr
