Experti společnosti Eviden zaznamenávají vysokou poptávku v oblasti penetračního testování - to dokáže odhalit slabá místa v systému, aplikaci či IT infrastruktuře, která mohou vést ke kybernetickým útokům. Poptávka zde vzrostla meziročně o 80 %, výzvou je ale nedostatek zkušených odborníků.
"Důležitost penetračního testování si firmy uvědomují a není potřeba je přesvědčovat. S novým kyberzákonem to navíc pro spoustu z nich bude povinnost. Problém nastává spíše v dostupnosti. Skutečných odborníků je totiž málo, v České republice jsou jich řádově desítky. Do jisté míry mohou penetrační testy zajistit automatizované nástroje obsluhované proškolenými lidmi. Ty ale zdaleka neodhalí vše," říká Tomáš Hlavsa, ředitel divize Big Data & Security společnosti Eviden., která pro penetrační testování využívá svůj mezinárodní tým odborníků z Česka, Rumunska, Polska, Německa či Rakouska a budoucí odborníky si vybírá také z řad studentů, které postupně vzdělává.
Tisíce nových regulovaných subjektů, stovky chybějících odborníků, desítky nových úkolů - to vše s sebou přinese transpozice evropské směrnice NIS2 do české legislativy.
I přesto, že stanovený říjnový termín dle předpokladu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) nebude v Česku dodržen, firmy na zajištění své kyberbezpečnosti v mnoha případech již pracují.
Cílem penetračního testování je proniknout do systému, aplikace či infrastruktury, identifikovat a posoudit zde slabá místa. Zranitelnosti, které mohou vést k různým kybernetickým útokům, jsou kritické.
S těmito zranitelnostmi je na dark webu možné obchodovat za značné částky, od tisíce až po statisíce dolarů. I to ale dokáží odborníci dohledat.
Etičtí hackeři neboli pentesteři, poskytují cenné informace o připravenosti organizace v oblasti kybernetické bezpečnosti.
Při vyhledávání služeb penetračního testování či etického hackingu je nezbytné jasně definovat cíle, specifikovat zadání a vybrat si dodavatele, ve kterého máte důvěru. Penetrační testeři musí dodržovat etické zásady a rozsah působnosti organizace. Pokud objeví potenciální zranitelnost mimo původní rozsah, musí o tom okamžitě informovat klienta, aby bylo zajištěno etické a legální testování.
Pentester provádí vícevektorové útoky a využívá různé techniky k narušení obrany organizace, napodobuje metody používané útočníky v reálném světě.
Používané techniky např. zahrnují:
Z hlediska znalosti IT prostředí firmy se penetrační testy v zásadě dělí na tři druhy - black-box, white-box a grey-box.
Článek Eviden Czech Republic s.r.o. ze dne středa 14. srpna 2024
Cloud je příležitostí pro státní správu
Penetrační testování je nezbytnou součástí hodnocení odolnosti organizace vůči kybernetickým hrozbám
PragVue 2024 - konference pro vývojáře
BullSequana AI servery podporují maximální využití možností umělé inteligence
Monitoring a analýza citlivých dat na deep a dark webu