Pentester kontra cyberzbój. Kto lepiej sprawdzi bezpieczeństwo Twojej aplikacji?

UDOSTĘPNIJ

Autor: Krzysztof Labuda, Konsultant ds. testów bezpieczeństwa

Czy przeprowadzanie testów penetracyjnych jest w dzisiejszych czasach obowiązkiem, czy jedynie subtelną sugestią? Przyglądając się badaniom specjalistów od cyberbezpieczeństwa oraz analizując wyniki ankiet przeprowadzanych w firmach technologicznych, wydaje się, że zdecydowanie wygrywa to pierwsze – konieczność. Oba źródła wskazują jednoznacznie, że cyberprzestępstwa są obecnie na fali wznoszącej – rośnie różnorodność podatności, a osoby i mechanizmy zabezpieczające systemy mają natłok pracy. Jak pentesty i pentesterzy mogą pomóc w uporaniu się z coraz większymi potrzebami ochrony aplikacji czy infrastruktury?

Testy penetracyjne - dlaczego warto?

W tym krótkim tekście chciałbym podzielić się moją opinią na temat zasadności dokonywania testów penetracyjnych dla każdego właściwie rodzaju aplikacji (webowej, mobilnej, wbudowanej), a także infrastruktury czy chmury.

W tytule użyłem branżowego żargonu dotyczącego White & Black Hat Hackerów, jednak wymieniłem tylko 2 bieguny – warto jednak zaznaczyć, że w branży cybersecurity wylicza się aż 6 kapeluszy (nota bene nazwa nawiązuje do westernu, tak –  tego gatunku filmów, w których Clint Eastwood grał wiele epickich ról). Cyberbezpieczeństwo jako dziedzina cyfrowej inżynierii ma silne konotacje wojenno-militarne, a jak wojenno-militarne, to z kolei western bardzo dobrze tu rezonuje z tematem wojny, życia na dzikim zachodzie, wartkiej fabuły, strzelanin, mocno spolaryzowanych charakterów. Jednak, do rzeczy 🙂

Pentester, a cyberzbój - kto “kosztuje” więcej?

W mojej prawie 10-letniej karierze zawodowej kilkukrotnie spotkałem się z całkowitym kwestionowaniem zasadności wykonywania testów oprogramowania przed jego uruchomieniem, nie wspominając już o testach bezpieczeństwa. Na szczęście takie postawy są coraz rzadziej spotykane – w wielu przypadkach słychać nawet zdanie, którego jestem zupełnym zwolennikiem: mojej / twojej firmy nie stać na brak pentestów. Pominięcie tego etapu testowania może być znacznie droższe, kiedy już zaatakuje haker. Testy penetracyjne, wykonane przez specjalistę od cybersecurity (White Hat Hackera), który dokonuje kontrolowanego (uzgodnionego uprzednio podpisaną umową) ataku, by obiektywnie ocenić zabezpieczenia użyte w systemach.

Jeśli Twoje oprogramowanie atakuje osoba, która robi to w sposób nielegalny (Black Hat Hacker), to:

  • istnieje ryzyko (i często przekształca się ono w rzeczywistość), że nasze sekrety, własność intelektualna itp. (czyli w wielu przypadkach mówiąc wprost – przewagi konkurencyjne!) są dostępne gdzieś w meandrach Darknetu (w sieci TOR),
  • w poRODOwej rzeczywistości firmy, które mają cokolwiek wspólnego z przetwarzaniem danych osobowych (więc tak naprawdę wszystkie), są zobligowane do zapewnienia wyśrubowanych norm ochrony tych procesów – za wyciek danych spowodowany atakiem grożą bardzo dotkliwe kary,
  • cyberzbójów nie wiąże z podmiotem testowanym żadna umowa – nie ma procesu testowania, zakresu ani planu; słowem: nie ma żadnej kontroli, ale jest za to brak odpowiedzialności za wykonywane działania,
  • testy wykonane przez Black Hata mogą pójść w bardzo złym kierunku – np. infrastruktura z bardzo wysokim wymogiem na dostępność (SLA) zostanie unieruchomiona na czas dłuższy, niż to wynika z kontraktu na rzeczoną dostępność, co może pociągnąć za sobą kary umowne, które nierzadko spokojnie pokryłyby budżet na solidne testy bezpieczeństwa.

Przykłady można mnożyć. Przed podjęciem decyzji o rezygnacji z testów penetracyjnych, albo zleceniu ich Black Hat Hackerowi, warto jednak zadać sobie jedno pytanie – czy warto.

Ja polecam jedno: nie czekaj i zleć testy bezpieczeństwa specjalistom, którzy w sposób kontrolowany i nienarażający Twoich systemów na niepotrzebne ryzyko, odkryją luki i sprawnie pomogą Ci je załatać.

Bezpieczeństwo systemów IoT - protokoły szyfrujące
Bezpieczeństwo Internetu Rzeczy – protokoły szyfrujące w systemach IoT
Jeśli zainteresował Cię ten artykuł i rozważasz przeprowadzenie testów bezpieczeństwa Twojego oprogramowania umów się z nami na bezpłatną konsultację. Krzysztof z zespołem mają duże doświadczenie z zakresu cyberbezpieczeństwa i pomogą Ci sprawdzić Twoje oprogramowanie, zanim zrobi to cyberzbój 🙂

Krzysztof Labuda, uczestnik programu Certified Ethical Hacker CEH v11, który uczy najnowszych narzędzi, technik i metodologii hackerskich klasy komercyjnej, używanych przez hakerów i specjalistów ds. bezpieczeństwa informacji.

Najnowsze wpisy na blogu

Partner technologiczny w venture buildingu: klucz do sukcesu startupów

Partner technologiczny w venture buildingu: klucz do sukcesu startupów

WIĘCEJ
Akceleracja innowacji sposobem na szybszy rozwój twojej firmy

Akceleracja innowacji sposobem na szybszy rozwój twojej firmy

WIĘCEJ
Jak wybrać partnera technologicznego do realizacji projektu IT? 7 pytań, które powinno się zadać przed podpisaniem umowy

Jak wybrać partnera technologicznego do realizacji projektu IT? 7 pytań, które powinno się zadać przed podpisaniem umowy

WIĘCEJ
5 sposobów na to, jak zredukować dług technologiczny w Twojej firmie

5 sposobów na to, jak zredukować dług technologiczny w Twojej firmie

WIĘCEJ
Jak wdrażać technologie w medycynie? W kilku słowach o podejściu patient-centric

Jak wdrażać technologie w medycynie? W kilku słowach o podejściu patient-centric

WIĘCEJ
Cyberbezpieczeństwo w automotive - kto pomoże zabezpieczyć twój biznes

Cyberbezpieczeństwo w automotive - kto pomoże zabezpieczyć twój biznes

WIĘCEJ
Jak AI automatyzuje merchandising? Poznaj Shelf Inspection AI

Jak AI automatyzuje merchandising? Poznaj Shelf Inspection AI

WIĘCEJ
Embedded World 2023 - co nowego w branży?

Embedded World 2023 - co nowego w branży?

WIĘCEJ
PG Network #TECHMeetup, czyli luźno o IT

PG Network #TECHMeetup, czyli luźno o IT

WIĘCEJ
Shelf Inspection AI dla merchandisingu w retail - efektywna ekspozycja produktów

Shelf Inspection AI dla merchandisingu w retail - efektywna ekspozycja produktów

WIĘCEJ
R155/R156 - krótki przewodnik po nowej regulacji w zakresie cyberbezpieczeństwa dla automotive

R155/R156 - krótki przewodnik po nowej regulacji w zakresie cyberbezpieczeństwa dla automotive

WIĘCEJ
Różnice pokoleniowe w pracy - czego oczekują boomersi, iksy, igreki i zetki od pracy w IT?

Różnice pokoleniowe w pracy - czego oczekują boomersi, iksy, igreki i zetki od pracy w IT?

WIĘCEJ
MVP aplikacji – 5 błędów, których lepiej unikać

MVP aplikacji – 5 błędów, których lepiej unikać

WIĘCEJ
66 640 kilometrów w 365 dni? Oto sportowe podsumowanie 2022!

66 640 kilometrów w 365 dni? Oto sportowe podsumowanie 2022!

WIĘCEJ
Strategia automatyzacji testów - wszystko, co powinno się wiedzieć

Strategia automatyzacji testów - wszystko, co powinno się wiedzieć

WIĘCEJ
Protokół OPC UA w pigułce - standard i bezpieczeństwo

Protokół OPC UA w pigułce - standard i bezpieczeństwo

WIĘCEJ
Czy Twój produkt może być smart? O wyposażaniu produktów w rozwiązania IoT

Czy Twój produkt może być smart? O wyposażaniu produktów w rozwiązania IoT

WIĘCEJ
Szkoleniowy zawrót głowy, czyli podsumowanie 2022 roku

Szkoleniowy zawrót głowy, czyli podsumowanie 2022 roku

WIĘCEJ
Mikroserwisy: zalety i wady

Mikroserwisy: zalety i wady

WIĘCEJ
Python - przegląd najpopularniejszych języków programowania #3

Python - przegląd najpopularniejszych języków programowania #3

WIĘCEJ
Optymalizacja interfejsu SPI w mikrokontrolerach ESP32 [rozwiązanie problemu]

Optymalizacja interfejsu SPI w mikrokontrolerach ESP32 [rozwiązanie problemu]

WIĘCEJ
Przyszłość systemów wbudowanych w 2023 roku - prognozy i trendy

Przyszłość systemów wbudowanych w 2023 roku - prognozy i trendy

WIĘCEJ
Trendy w testowaniu oprogramowania na 2023: testy eksploracyjne czyli powrót do przeszłości?

Trendy w testowaniu oprogramowania na 2023: testy eksploracyjne czyli powrót do przeszłości?

WIĘCEJ
IoT dla domu - czyli jak zaoszczędzić pieniądze na energii zużywanej w domu

IoT dla domu - czyli jak zaoszczędzić pieniądze na energii zużywanej w domu

WIĘCEJ
Języki programowania - C i C++ - co wpływa na ich popularność?

Języki programowania - C i C++ - co wpływa na ich popularność?

WIĘCEJ
IoT na co dzień, czyli kiedy produkt staje się smart

IoT na co dzień, czyli kiedy produkt staje się smart

WIĘCEJ
Automatyczny merchandising w retail - właściwa ekspozycja produktów kluczem do sukcesu

Automatyczny merchandising w retail - właściwa ekspozycja produktów kluczem do sukcesu

WIĘCEJ
Solwit SA w gronie firm Clutch Top 1000 na rok 2022

Solwit SA w gronie firm Clutch Top 1000 na rok 2022

WIĘCEJ
Systemy wbudowane – przykłady zastosowania

Systemy wbudowane – przykłady zastosowania

WIĘCEJ
Pentester kontra cyberzbój. Kto lepiej sprawdzi bezpieczeństwo Twojej aplikacji?

Pentester kontra cyberzbój. Kto lepiej sprawdzi bezpieczeństwo Twojej aplikacji?

WIĘCEJ
Solwit logo
Solwit S.A. | Azymutalna 11, 80-298 Gdańsk | solwit@solwit.com | NIP: 5842721091 | REGON: 221488370 | KRS: 0000393016

Sąd Rejonowy Gdańsk-Północ w Gdańsku, VII Wydział Gospodarczy Krajowego Rejestru Sądowego, Kapitał zakładowy: 455 647,60 zł PLN