Dobry haker zabezpieczy firmę

  • Materiał partnera
opublikowano: 27-04-2021, 12:56
aktualizacja: 28-04-2021, 00:15

Jak firmy mogą oceniać i zwiększać bezpieczeństwo własnych systemów, aplikacji i infrastruktury mówił Krystian Szybis, gość kolejnego odcinka cyklu „Rozmowy Standard Chartered”.

Włamywanie się do zasobów firm, szukanie luk w systemach, omijanie zabezpieczeń – każde z tych działań kojarzy nam się głównie z groźnymi dla organizacji złymi hakerami. Ale są też pentesterzy, czyli dobrzy hakerzy, którzy atakują firmy na ich zlecenie, by zawczasu wykryć istniejące luki i poprawić bezpieczeństwo danych. W środowisku ekspertów od cyberbezpieczeństwa żartuje się, że są dwa rodzaje testów: nieautoryzowane i autoryzowane. Te pierwsze to oczywiście ataki cyberprzestępców, które mogą być dla firmy poważnym zagrożeniem. Te drugie to działania pentesterów, którzy luk w zabezpieczeniach szukają po to, by je wyeliminować i poprawiać standardy ochrony zasobów organizacji.

Na zlecenie właściciela

– Testy penetracyjne pozwalają ocenić bezpieczeństwo systemów, aplikacji i infrastruktury przez właściciela tej aplikacji. Dzięki nim dostaje on informację o tzw. podatnościach, czyli słabych punktach zabezpieczeń. Dzięki tej wiedzy może podjąć działania uszczelniające te zabezpieczenia zanim niedoskonałości te znajdą i wykorzystają przestępcy – mówi Krystian Szybis, szef zespołu ds. testów penetracyjnych w banku Standard Chartered.

Krystian Szybis, szef zespołu ds. testów penetracyjnych w banku Standard Chartered

Testy penetracyjne dotyczą zwykle systemów najbardziej zagrożonych i najbardziej krytycznych z perspektywy działalności firmy. Ich przeprowadzenie poprzedza też określenie profilu bezpieczeństwa systemu i analiza komponentów, z jakich się składa. Pentester musi „wejść w buty” złego hakera i ocenić, jakich metod mógłby użyć, by włamać się do systemu.

Wymaga to nie tylko umiejętności programistycznych, ale też wiedzy na temat socjotechnik, coraz częściej wykorzystywanych w cyberatakach. Podczas pandemii popularną formą takich ataków stały się np. komunikaty o zbiórce środków na wsparcie medyków w walce z pandemią z linkiem do dokonania płatności, kierującym na podstawioną stronę, do złudzenia przypominającą autentyczną stronę banku czy popularnych portali crowdfundingowych. Ataki socjotechniczne mają największe szanse powodzenia, dlatego kluczowa jest edukacja pracowników i monitoring zagrożeń.

– Same testy penetracyjne pełnią funkcję wykrywającą. Potem zaczyna się właściwa praca i określenie, które luki muszą być naprawione w pierwszej kolejności. Staramy się też przewidywać trendy. To pozwala nam określić, czy jakiś błąd jest systemowy, powtarzający się w wielu obszarach i wielu aplikacjach oraz czy jesteśmy w stanie znaleźć systemowe rozwiązanie problemu. Możemy wyedukować deweloperów w kwestii konkretnego ataku, bezpiecznych technik programowania. Trzeba im też zorganizować bezpieczną przestrzeń, w której mogliby poćwiczyć, czyli tzw. sandboxy (pol. piaskownice) – tłumaczy Krystian Szybis.

Nie wystarczy raz

W przeprowadzaniu testów penetracyjnych konieczna jest regularność. Są też sytuacje, kiedy czujność jest wyjątkowo potrzebna. Takim momentem jest opracowywanie nowych aplikacji. Zdarzają się sytuacje, gdy działania pentesterów wstrzymują wdrożenia ze względu na możliwe przyszłe problemy z bezpieczeństwem.

Jako jedno z większych wyzwań w pracy pentesterów ekspert banku Standard Chartered wskazuje tzw. dług bezpieczeństwa.

– Tak określa się sytuację, kiedy systemy zostały wdrożone bez respektowania praktyk bezpieczeństwa i nigdy nie zostały poddane testom ani ocenie ryzyka. W takich systemach kryje się cała masa podatności – podkreśla Krystian Szybis.

Nawet szczelnie zaprojektowane aplikacje wymagają ciągłej ochrony, bo cyberprzestępcy wciąż szukają nowych dróg złamania zabezpieczeń. Firmy oferujące systemy antywirusowe i inne narzędzia chroniące przed atakami często obiecują pełną ochronę. W praktyce jednak trudno mówić o 100-procentowym bezpieczeństwie. Stąd potrzeba stworzenia wielu warstw zabezpieczeń, gdzie atakujący musiałby dla każdej kolejnej warstwy opracować osobny atak. Tak zaprogramowane aplikacje są najtrudniejsze do przełamania. Żeby móc to ocenić, pentesterzy muszą się wykazać wszechstronnymi umiejętnościami.

Wachlarz umiejętności

– W naszym zespole i w ogóle w branży cyberbezpieczeństwa są osoby pochodzące z różnych środowisk, mające różne zainteresowania. Wielu pracowało jako programiści, z czasem rozwijając się w kierunku bezpieczeństwa. Ale znam też przypadki przebranżowienia się nawet z tak odległych dziedzin jak finanse. Jeśli taka osoba potrafi zadawać sobie właściwe pytania i chce wyjaśniać wątpliwości, to z czasem może stać się wartościowym członkiem zespołu – mówi Krystian Szybis.

W banku Standard Chartered pracownicy wchodzący w świat cyberbezpieczeństwa i testów penetracyjnych mogą liczyć na wsparcie doświadczonych ekspertów, chętnie dzielących się wiedzą. Umiejętności praktycznych można się nauczyć, najważniejsze to myśleć niestandardowo, mieć w sobie ciekawość i potrzebę szukania nowych rozwiązań. Tylko działając w ten sposób, można być krok przed złymi hakerami, tymi od testów nieautoryzowanych.

Materiał jest czwartym z pięciu realizowanych w ramach serii podcastów „Rozmowy Standard Chartered”, której partnerem jest globalne centrum usług biznesowych banku Standard Chartered w Polsce. Już teraz zapraszamy na kolejny odcinek, który dostępny będzie w maju 2021 r.

Podcast Strefa ekspertów w twojej aplikacji podcastowej oraz na pb.pl/strefa-ekspertow/

w tym tygodniu: „Dobry haker zabezpieczy firmę, czyli do czego służą testy penetracyjne?”

gość: Krystian Szybis, szef zespołu ds. testów penetracyjnych w banku Standard Chartered

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane