Home » Pentester kontra cyberzbój. Kto lepiej sprawdzi bezpieczeństwo Twojej aplikacji?
Czy przeprowadzanie testów penetracyjnych jest w dzisiejszych czasach obowiązkiem, czy jedynie subtelną sugestią? Przyglądając się badaniom specjalistów od cyberbezpieczeństwa oraz analizując wyniki ankiet przeprowadzanych w firmach technologicznych, wydaje się, że zdecydowanie wygrywa to pierwsze – konieczność. Oba źródła wskazują jednoznacznie, że cyberprzestępstwa są obecnie na fali wznoszącej – rośnie różnorodność podatności, a osoby i mechanizmy zabezpieczające systemy mają natłok pracy. Jak pentesty i pentesterzy mogą pomóc w uporaniu się z coraz większymi potrzebami ochrony aplikacji czy infrastruktury?
W tym krótkim tekście chciałbym podzielić się moją opinią na temat zasadności dokonywania testów penetracyjnych dla każdego właściwie rodzaju aplikacji (webowej, mobilnej, wbudowanej), a także infrastruktury czy chmury.
W tytule użyłem branżowego żargonu dotyczącego White & Black Hat Hackerów, jednak wymieniłem tylko 2 bieguny – warto jednak zaznaczyć, że w branży cybersecurity wylicza się aż 6 kapeluszy (nota bene nazwa nawiązuje do westernu, tak – tego gatunku filmów, w których Clint Eastwood grał wiele epickich ról). Cyberbezpieczeństwo jako dziedzina cyfrowej inżynierii ma silne konotacje wojenno-militarne, a jak wojenno-militarne, to z kolei western bardzo dobrze tu rezonuje z tematem wojny, życia na dzikim zachodzie, wartkiej fabuły, strzelanin, mocno spolaryzowanych charakterów. Jednak, do rzeczy 🙂
W mojej prawie 10-letniej karierze zawodowej kilkukrotnie spotkałem się z całkowitym kwestionowaniem zasadności wykonywania testów oprogramowania przed jego uruchomieniem, nie wspominając już o testach bezpieczeństwa. Na szczęście takie postawy są coraz rzadziej spotykane – w wielu przypadkach słychać nawet zdanie, którego jestem zupełnym zwolennikiem: mojej / twojej firmy nie stać na brak pentestów. Pominięcie tego etapu testowania może być znacznie droższe, kiedy już zaatakuje haker. Testy penetracyjne, wykonane przez specjalistę od cybersecurity (White Hat Hackera), który dokonuje kontrolowanego (uzgodnionego uprzednio podpisaną umową) ataku, by obiektywnie ocenić zabezpieczenia użyte w systemach.
Jeśli Twoje oprogramowanie atakuje osoba, która robi to w sposób nielegalny (Black Hat Hacker), to:
Przykłady można mnożyć. Przed podjęciem decyzji o rezygnacji z testów penetracyjnych, albo zleceniu ich Black Hat Hackerowi, warto jednak zadać sobie jedno pytanie – czy warto.
Ja polecam jedno: nie czekaj i zleć testy bezpieczeństwa specjalistom, którzy w sposób kontrolowany i nienarażający Twoich systemów na niepotrzebne ryzyko, odkryją luki i sprawnie pomogą Ci je załatać.
Krzysztof Labuda, uczestnik programu Certified Ethical Hacker CEH v11, który uczy najnowszych narzędzi, technik i metodologii hackerskich klasy komercyjnej, używanych przez hakerów i specjalistów ds. bezpieczeństwa informacji.
Najnowsze wpisy na blogu
Wypełnij formularz
Po wypełnieniu poniższego formularza skontaktujemy się z Tobą, żeby umówić rozmowę w dogodnym dla Ciebie terminie.
Sąd Rejonowy Gdańsk-Północ w Gdańsku, VII Wydział Gospodarczy Krajowego Rejestru Sądowego, Kapitał zakładowy: 455 647,60 zł PLN
We use cookies for the website to function properly. By clicking “Accept”, you consent to the use of cookies for analytical and marketing purposes. You can adjust or withdraw your consent at any time. Więcej w Polityce cookies