Pentester kontra cyberzbój. Kto lepiej sprawdzi bezpieczeństwo Twojej aplikacji?

Czy przeprowadzanie testów penetracyjnych jest w dzisiejszych czasach obowiązkiem, czy jedynie subtelną sugestią? Przyglądając się badaniom specjalistów od cyberbezpieczeństwa oraz analizując wyniki ankiet przeprowadzanych w firmach technologicznych, wydaje się, że zdecydowanie wygrywa to pierwsze – konieczność. Oba źródła wskazują jednoznacznie, że cyberprzestępstwa są obecnie na fali wznoszącej – rośnie różnorodność podatności, a osoby i mechanizmy zabezpieczające systemy mają natłok pracy. Jak pentesty i pentesterzy mogą pomóc w uporaniu się z coraz większymi potrzebami ochrony aplikacji czy infrastruktury?

Testy penetracyjne – dlaczego warto?

W tym krótkim tekście chciałbym podzielić się moją opinią na temat zasadności dokonywania testów penetracyjnych dla każdego właściwie rodzaju aplikacji (webowej, mobilnej, wbudowanej), a także infrastruktury czy chmury.

W tytule użyłem branżowego żargonu dotyczącego White & Black Hat Hackerów, jednak wymieniłem tylko 2 bieguny – warto jednak zaznaczyć, że w branży cybersecurity wylicza się aż 6 kapeluszy (nota bene nazwa nawiązuje do westernu, tak –  tego gatunku filmów, w których Clint Eastwood grał wiele epickich ról). Cyberbezpieczeństwo jako dziedzina cyfrowej inżynierii ma silne konotacje wojenno-militarne, a jak wojenno-militarne, to z kolei western bardzo dobrze tu rezonuje z tematem wojny, życia na dzikim zachodzie, wartkiej fabuły, strzelanin, mocno spolaryzowanych charakterów. Jednak, do rzeczy 🙂

Pentester, a cyberzbój – kto “kosztuje” więcej?

W mojej prawie 10-letniej karierze zawodowej kilkukrotnie spotkałem się z całkowitym kwestionowaniem zasadności wykonywania testów oprogramowania przed jego uruchomieniem, nie wspominając już o testach bezpieczeństwa. Na szczęście takie postawy są coraz rzadziej spotykane – w wielu przypadkach słychać nawet zdanie, którego jestem zupełnym zwolennikiem: mojej / twojej firmy nie stać na brak pentestów. Pominięcie tego etapu testowania może być znacznie droższe, kiedy już zaatakuje haker. Testy penetracyjne, wykonane przez specjalistę od cybersecurity (White Hat Hackera), który dokonuje kontrolowanego (uzgodnionego uprzednio podpisaną umową) ataku, by obiektywnie ocenić zabezpieczenia użyte w systemach.

Jeśli Twoje oprogramowanie atakuje osoba, która robi to w sposób nielegalny (Black Hat Hacker), to:

• istnieje ryzyko (i często przekształca się ono w rzeczywistość), że nasze sekrety, własność intelektualna itp. (czyli w wielu przypadkach mówiąc wprost – przewagi konkurencyjne!) są dostępne gdzieś w meandrach Darknetu (w sieci TOR),
• w poRODOwej rzeczywistości firmy, które mają cokolwiek wspólnego z przetwarzaniem danych osobowych (więc tak naprawdę wszystkie), są zobligowane do zapewnienia wyśrubowanych norm ochrony tych procesów – za wyciek danych spowodowany atakiem grożą bardzo dotkliwe kary,
• cyberzbójów nie wiąże z podmiotem testowanym żadna umowa – nie ma procesu testowania, zakresu ani planu; słowem: nie ma żadnej kontroli, ale jest za to brak odpowiedzialności za wykonywane działania,
• testy wykonane przez Black Hata mogą pójść w bardzo złym kierunku – np. infrastruktura z bardzo wysokim wymogiem na dostępność (SLA) zostanie unieruchomiona na czas dłuższy, niż to wynika z kontraktu na rzeczoną dostępność, co może pociągnąć za sobą kary umowne, które nierzadko spokojnie pokryłyby budżet na solidne testy bezpieczeństwa.

Przykłady można mnożyć. Przed podjęciem decyzji o rezygnacji z testów penetracyjnych, albo zleceniu ich Black Hat Hackerowi, warto jednak zadać sobie jedno pytanie – czy warto.

Ja polecam jedno: nie czekaj i zleć testy bezpieczeństwa specjalistom, którzy w sposób kontrolowany i nienarażający Twoich systemów na niepotrzebne ryzyko, odkryją luki i sprawnie pomogą Ci je załatać.

Jeśli zainteresował Cię ten artykuł i rozważasz przeprowadzenie testów bezpieczeństwa Twojego oprogramowania, umów się z nami na bezpłatną konsultację. Krzysztof z zespołem mają duże doświadczenie z zakresu cyberbezpieczeństwa i pomogą Ci sprawdzić Twoje oprogramowanie, zanim zrobi to cyberzbój 🙂