Στον χώρο της μόδας τις περισσότερες φορές οι καταναλωτές αγοράζουν κάποιο προϊόν όχι επειδή κατανοούν την χρησιμότητα ή την λειτουργικότητα του αλλά επειδή την συγκεκριμένη στιγμή είναι το hot item της αγοράς. Στην μόδα της πληροφορικής και ειδικότερα στον χώρο της ασφάλειας των πληροφοριακών δεδομένων το hot item αυτήν την περίοδο είναι το Penetration Test (aka. Pentest).
Τι ακριβώς είναι και τι μας προσφέρει όμως αυτό το hot item;
Ο hacker μέσα από μια διαδικασία αναζήτησης – αξιολόγησης – σχεδιασμού – δοκιμών και τελικά εκμετάλευσης αδυναμιών προσπαθεί να βρει κενά στον σχεδιασμό και την υλοποιήση είτε πληροφοριακών δικτύων είτε ιστοσελίδων είτε εφαρμογών με στόχο να αποκτήσει τον έλεγχο τους ή όπως έχουμε δει τον τελευταίο καιρό να τα θέσει εκτός λειτουργίας.
Την ίδια διαδικασία θα ακολουθήσει ο Ethical hacker με την μόνη διαφορά ότι στο τέλος θα μας παραδόσει μία πλήρη αναφορά στο ποιές αδυναμίες βρήκε, πως τις εκμεταλεύτηκε και τι επίπεδο ελέγχου απέκτησε στο πληροφοριακό μας σύστημα. Τις περισσότερες φορές η αναφορά συνοδεύεται και με τις προτάσεις ανασχεδιασμού των συστημάτων για να καλυφθούν οι όποιες αδυναμίες έχοντας πάντα ως γνόμωνα ότι αυτό που προστατεύω είναι πιο ακριβό από τον μηχανισμό που χρειαζέται για να το προστατέψω.
Γιατί όμως να επιλέξει ένας οργανισμός να εκτελέσει ένα Pentest;
Πολλές φορές η διοίκηση του εκάστοτε οργανισμού υποβαθμίζει την σημασία του συγκεκριμένου ελέγχου διότι ο οργανισμός είτε είναι μικρού μεγέθους και άρα αδιάφορος για του hackers, είτε έχουν επενδύσει αρκετά χρήματα στην ασφάλεια των συστημάτων τους και θεωρούν ότι τα δεδομένα τους είναι 100% ασφαλή. Το παράδειγμα και στις δύο πιο πάνω περιπτώσεις θα είναι το ίδιο.
Όλα τα αυτοκίνητα ανεξαρτήτως αν είναι μικρού μεγέθους και κόστους ή αν είναι πανάκριβα οχήματα πολυτελείας είναι υποχρεωμένα από το νόμο να περάσουν δοκιμές Crash Test και να παρουσιάσουν τα αποτελέσματα τους στο κοινό. Άρα ανεξαρτήτως μεγέθους ή κόστους οι έλεγχοι της ασφάλειας είναι ίσης σημασίας διότι ποσοστιαία η απώλεια σε όλους τους οργανισμούς θα είναι σχεδόν ίση.
Τι πρέπει να προσέξω όταν προτίθεμαι να αναθέσω ένα έργο Pentest;
1. Ο έλεγχος θα πρέπει να διενεργηθεί από εξειδικευμένη σε συστήματα ασφάλειας πληροφιακών συστημάτων εταιρία ώστε να έχει την απαιτούμενη τεχνογνωσία αλλά και το εξειδικευμένο προσωπικό για την εκτέλεση τέτοιου είδους έργων.
2. Επειδή στόχος του ελέγχου είναι η εταιρία να καταφέρει να διαπεράσει τα μέτρα ασφάλειας και να θέσει υπό τον έλεγχο της τα συστήματα πληροφορικής του οργανισμού, θα πρέπει εξαρχής να υπάρχει συμφωνία που να δεσμέυει την ίδια αλλά και το προσωπικό της για την διασφάλιση του απορρήτου και της ακαιρεότητας των δεδομένων που θα περιέλθουν στην κατοχή της.
3. Κατά την διάρκεια εκτέλεσης έργων Penetest θα πρέπει το προσωπικό του οργανισμού να ελέγχει τακτικά τις διαδικασίες backup όλων των συστημάτων ώστε σε περίπτωση δυσλειτουργίας του συστήματος λόγω του Pentest να μπορεί να το επανέλθουν σε κανονική λειτουργία.
4. Κατά την διάρκεια του έργου δεν θα πρέπει να γίνει καμία αλλαγή στα συστήματα ασφάλειας του οργανισμού πέραν των καθημερινών αλλαγών-συντηρήσεων.
5. Εάν η εταιρία έχει ήδη επενδύσει χρήματα σε υποδομές ασφάλειας καλό θα ήταν ο έλεγχος να διεξαχθεί από μία τρίτη εταιρία ώστε να είναι όσο το δυνατόν πιο αντικειμενικός.
6. Θα πρέπει να τίθεται συγκεκριμένο χρονικό πλαίσιο του ελέγχου και από συγκεκριμένη προέλευση για να μην δεχθεί ο οργανισμός κακόβουλη επίθεση που θα θεωρηθεί μέρος του έργου και δεν θα της δοθεί δέουσα προσοχή.