Overenie bezpečnosti údajov
PENETRAČNÉ TESTY | ÚTOKY POMOCOU SOCIÁLNEHO INŽINIERSTVA | BEZPEČNOSTNÉ ŠKOLENIA A KONZULTÁCIE
Spoločnosť by si mala systematicky prejsť a zhodnotiť všetky možné riziká a potenciálne vzniknuté problémy súvisiace s nedostatočnou ochranou údajov a riešiť z nich najmä tie, ktorých výskyt je najpravdepodobnejší a môžu spoločnosť najviac poškodiť. Na základe výsledkov hodnotenia bude jasné, ktoré riziká majú najvyššiu prioritu a ktorými sa treba zaoberať. Na lepšie zhodnotenie aktuálneho stavu ochrany údajov vo firme slúžia napr. aj penetračné testy a iné odborné praktiky na overenie zabezpečenia dát. Sú to moderné postupy napodobňujúce reálne situácie, pomocou ktorých je možné overenie bezpečnosti údajov spoločnosti pre útokmi zvonku aj zvnútra.
Na základe bezpečnostných testov je možné vytvoriť zhodnotenie aktuálneho stavu, vyvodiť závery, navrhnúť opatrenia, zaviesť procesy a vykonať školenia na elimináciu výskytu bezpečnostných rizík v podniku.
Testy na overenie bezpečnosti údajov
1. Time-limited penetračné testy IT infraštruktúry
Cieľom testov je odhaliť najkritickejšie bezpečnostné zraniteľnosti v sieti spoločnosti. Zneužitie týchto zraniteľností útočníkom môže znamenať jeho priamy prístup k dátam a následne k ich krádeži či akémukoľvek inému zneužitiu.
- Externý test reflektuje útok vykonávaný zvonku z internetu, a to bez akýchkoľvek znalostí o architektúre, dostupných systémoch, aplikáciách alebo používateľských prístupoch (formou tzv. „black-boxu“).
- Interný test reflektuje útok vykonávaný z vnútorného prostredia siete, či už z pohľadu zamestnanca alebo návštevníka, s bežnými používateľskými oprávneniami, bez ďalších znalostí o internej infraštruktúre či prevádzkovaných aplikáciách.
- Test Wi-Fi zhodnotí bezpečnosť bezdrôtovej siete spoločnosti, ktorá môže byť ohrozená v dôsledku nesprávnej konfigurácie alebo implementácie. Test je realizovaný formou tzv. „black-boxu“.
2. Time-limited penetračné testy aplikácií, interných systémov
Cieľom testov je:
- overenie bezpečnosti údajov,
- odhalenie najkritickejších bezpečnostných zraniteľností v aplikáciách či interných systémoch,
- demonštrácia ich zneužitia,
- odporučenie riešenia, ako ich eliminovať.
3. Útok pomocou sociálneho inžinierstva
Sociálne inžinierstvo je netechnická forma útoku, ktorá ťaží z potenciálneho zlyhania ľudského faktora, ktorý je neoddeliteľnou súčasťou bezpečnostnej politiky akejkoľvek organizácie.
Hlavným cieľom útoku je narušiť vnútorné prostredie organizácie a získať tak prístup k citlivým či dôverným informáciám s využitím rôznych psychologických postupov a manipulácií.
Príklady možných útokov:
- phishingové e-maily,
- telefonický test,
- fyzický prístup,
- prenosné médiá,
- riešenia na mieru,
- a iné.
Doplnkové služby
1. Bezpečnostné školenie
- Školenie sa zameriava na vysvetlenie najčastejších a najzávažnejších bezpečnostných hrozieb, ktoré sú spojené aj so súčasným internetom. Riziká na bežného užívateľa číhajú na webových stránkach, v e-maile, neznámom médiu, ale i v rade foriem sociálneho inžinierstva. Okrem definície a popisu hrozieb sú poslucháčom predvedené aj praktické ukážky.
- Školenie prebieha v interaktívnom štýle, tzn. poslucháči môžu školiteľa kedykoľvek bez vyzvania prerušiť s otázkami na danú tému.
2. Bezpečnostné konzultácie
Bezpečnostné konzultácie a poradenstvo zamerané na zákaznícke potreby.