Pentester vs Cyberzbój - kto powinien sprawdzać bezpieczeństwo Twojej aplikacji w testach penetracyjnych

Opublikowane: 2022-12-01

Autor: Krzysztof Labuda

Czy przeprowadzanie testów penetracyjnych jest w dzisiejszych czasach obowiązkiem, czy jedynie subtelną sugestią? Przyglądając się badaniom specjalistów od cyberbezpieczeństwa oraz analizując wyniki ankiet przeprowadzanych w firmach technologicznych, wydaje się, że zdecydowanie wygrywa to pierwsze – konieczność. Oba źródła wskazują jednoznacznie, że cyberprzestępstwa są obecnie na fali wznoszącej – rośnie różnorodność podatności, a osoby i mechanizmy zabezpieczające systemy mają natłok pracy. Jak pentesty i pentesterzy mogą pomóc w uporaniu się z coraz większymi potrzebami ochrony aplikacji czy infrastruktury?

Testy penetracyjne – dlaczego warto?

W tym krótkim tekście chciałbym podzielić się moją opinią na temat zasadności dokonywania testów penetracyjnych dla każdego właściwie rodzaju aplikacji (webowej, mobilnej, wbudowanej), a także infrastruktury czy chmury.

W tytule użyłem branżowego żargonu dotyczącego White & Black Hat Hackerów, jednak wymieniłem tylko 2 bieguny – warto jednak zaznaczyć, że w branży cybersecurity wylicza się aż 6 kapeluszy (nota bene nazwa nawiązuje do westernu, tak – tego gatunku filmów, w których Clint Eastwood grał wiele epickich ról). Cyberbezpieczeństwo jako dziedzina cyfrowej inżynierii ma silne konotacje wojenno-militarne, a jak wojenno-militarne, to z kolei western bardzo dobrze tu rezonuje z tematem wojny, życia na dzikim zachodzie, wartkiej fabuły, strzelanin, mocno spolaryzowanych charakterów. Jednak, do rzeczy 🙂

Pentester, a cyberzbój – kto “kosztuje” więcej?

W mojej prawie 10-letniej karierze zawodowej kilkukrotnie spotkałem się z całkowitym kwestionowaniem zasadności wykonywania testów oprogramowania przed jego uruchomieniem, nie wspominając już o testach bezpieczeństwa. Na szczęście takie postawy są coraz rzadziej spotykane – w wielu przypadkach słychać nawet zdanie, którego jestem zupełnym zwolennikiem: mojej / twojej firmy nie stać na brak pentestów. Pominięcie tego etapu testowania może być znacznie droższe, kiedy już zaatakuje haker. Testy penetracyjne, wykonane przez specjalistę od cybersecurity (White Hat Hackera), który dokonuje kontrolowanego (uzgodnionego uprzednio podpisaną umową) ataku, by obiektywnie ocenić zabezpieczenia użyte w systemach.

Jeśli Twoje oprogramowanie atakuje osoba, która robi to w sposób nielegalny (Black Hat Hacker), to:

istnieje ryzyko (i często przekształca się ono w rzeczywistość), że nasze sekrety, własność intelektualna itp. (czyli w wielu przypadkach mówiąc wprost – przewagi konkurencyjne!) są dostępne gdzieś w meandrach Darknetu (w sieci TOR),
w poRODOwej rzeczywistości firmy, które mają cokolwiek wspólnego z przetwarzaniem danych osobowych (więc tak naprawdę wszystkie), są zobligowane do zapewnienia wyśrubowanych norm ochrony tych procesów – za wyciek danych spowodowany atakiem grożą bardzo dotkliwe kary,
cyberzbójów nie wiąże z podmiotem testowanym żadna umowa – nie ma procesu testowania, zakresu ani planu; słowem: nie ma żadnej kontroli, ale jest za to brak odpowiedzialności za wykonywane działania,
testy wykonane przez Black Hata mogą pójść w bardzo złym kierunku – np. infrastruktura z bardzo wysokim wymogiem na dostępność (SLA) zostanie unieruchomiona na czas dłuższy, niż to wynika z kontraktu na rzeczoną dostępność, co może pociągnąć za sobą kary umowne, które nierzadko spokojnie pokryłyby budżet na solidne testy bezpieczeństwa.

Przykłady można mnożyć. Przed podjęciem decyzji o rezygnacji z testów penetracyjnych, albo zleceniu ich Black Hat Hackerowi, warto jednak zadać sobie jedno pytanie – czy warto.

Ja polecam jedno: nie czekaj i zleć testy bezpieczeństwa specjalistom, którzy w sposób kontrolowany i nienarażający Twoich systemów na niepotrzebne ryzyko, odkryją luki i sprawnie pomogą Ci je załatać.

Jeśli zainteresował Cię ten artykuł i rozważasz przeprowadzenie testów bezpieczeństwa Twojego oprogramowania, umów się z nami na bezpłatną konsultację. Krzysztof z zespołem mają duże doświadczenie z zakresu cyberbezpieczeństwa i pomogą Ci sprawdzić Twoje oprogramowanie, zanim zrobi to cyberzbój 🙂

Autor: Krzysztof Labuda,
Konsultant ds. testów bezpieczeństwa

Uczestnik programu Certified Ethical Hacker CEH v11, który uczy najnowszych narzędzi, technik i metodologii hackerskich klasy komercyjnej, używanych przez hakerów i specjalistów ds. bezpieczeństwa informacji.

Poprzedni

Następny

SKONTAKTUJ SIĘ

Wypełnij
formularz.

Skontaktujemy się z Tobą,
żeby umówić rozmowę
w dogodnym dla Ciebie terminie.

Imię

Nieprawidłowa wartość
Nazwisko*

Nieprawidłowa wartość
E-mail*

Nieprawidłowa wartość
Numer telefonu

Nieprawidłowa wartość
Nazwa firmy*

Nieprawidłowa wartość
Wiadomość *

Invalid value
Wyrażam zgodę na przetwarzanie moich danych osobowych w celu udzielenia odpowiedzi na składane zapytanie.*
Nieprawidłowa wartość
Chcę otrzymywać najnowsze aktualności, case study, wartościowe wskazówki i inny interesujący content z zakresu software developmentu. Zdaję sobie sprawę, że mogę zrezygnować z subskrypcji w każdym momencie.
Invalid value

Administratorem danych osobowych jest Solwit S.A., KRS: 0000465265. Dane osobowe będą przetwarzane przez Administratora w celu udzielenia odpowiedzi na zadane pytanie lub w przypadku udzielenia odpowiednich zgód, do celów prowadzenia marketingu bezpośredniego lub przesyłania newslettera. Dane osobowe będą przetwarzane do momentu wniesienia sprzeciwu lub cofnięcia zgody na otrzymywanie informacji handlowej drogą elektroniczną. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w Polityce Prywatności

Pentester kontra cyberzbój. Kto lepiej sprawdzi bezpieczeństwo Twojej aplikacji?

Testy penetracyjne – dlaczego warto?

Pentester, a cyberzbój – kto “kosztuje” więcej?