Málokdo ví, co si představit pod pojmem penetrační testování. Přitom je to ideální způsob, jak zjistit a prověřit zabezpečení svých dat a systémů. A tím předejít nežádoucímu napadení ze strany hackerů.
Jedná se o proces, ve kterém se penetrační tester snaží vžít do role útočníka (hackera) a získat přístup k datům systému, který mu nepatří. Rozdíl mezi ním a skutečným útočníkem je v jeho motivaci. Zatímco hacker se snaží najít cestu do systému z důvodu vlastního prospěchu (finančního, politického či jiného), penetrační tester má za cíl najít co nejvíce možných způsobů, jakými se do systému dostat, a oznámit je jeho vlastníkovi. Vlastník systému se tak dozví, kde se nacházejí v jeho systému možné zranitelnosti, a má šanci je na základě výsledků penetračního testu opravit.
Služba penetrační testování, kterou nabízíme, má právě tyto cíle. Každá webová stránka, která vznikne v prostředí MUNI, může být napadena zlomyslným útočníkem. Proto se snažíme včas odhalit co největší množství zranitelností v těchto systémech. Nemůžeme to ale dělat z vlastní vůle a bez vyzvání majitelů systémů – v takovém případě bychom se ničím nelišili od skutečných útočníků.
Penetrační testování je určeno všem zájemcům z univerzity, kteří vytvářejí nebo spravují nějakou službu (například web) dostupnou z internetu a chtějí si ověřit, zda-li je dostatečně zabezpečená vůči případným útočníkům.
Proces penetračního testování začíná oslovením ze strany zájemce. Z povahy testování není možné službu vykonávat „proaktivně“, a proto je nutná domluva se zájemcem ohledně detailů testování – co všechno je součástí testu, čemu se vyhnout, koho oslovit v případě kritických nálezů apod.
Po domluvě detailů a termínu testování následuje samotná technická část. Sejde se tým testerů, který v daném termínu vykoná penetrační test. Následně sepíší report, který je zaslán zájemci. Tento report obsahuje veškeré nálezy popsané technickým i „manažerským“ jazykem tak, aby bylo na jeho základě možné pochopit celkový stav zabezpečení testovaného systému. Pro techniky poskytuje doporučení, jaké kroky podstoupit pro zlepšení tohoto stavu.
V případě nutnosti je možné požádat o opětovné testování pro ověření úspěšné opravy nalezených chyb.
Důležité je uvědomit si, že penetrační testování je potenciálně destruktivní proces. Při testování není možné zaručit, že systém nepostihne dočasný výpadek, případně nebude porušena integrita dat. Proto vždy vyzýváme zájemce, aby nám poskytli kopii systému, a to pokud možno s umělými daty, aby nedošlo také k narušení soukromí uživatelů systému. V dnešní době virtuálních strojů a kontejnerizace to není problém.
Co dělat, pokud máte o penetrační test zájem? Kontaktujte Kyberbezpečnostní tým Masarykovy univerzity, který službu poskytuje, a to pomocí formuláře. Následně se dohodneme na detailech testování.
Chcete se dozvědět novinky k nástrojům Microsoft 365 využívaným na univerzitě? Jaké změny a vylepšení nás čekají v roce 2024? Připravili jsme si pro vás webinář, kde nejen shrneme všechny aktuální informace, ale také se podíváme na tipy, jak v Microsoft 365 (spolu)pracovat bezpečněji a efektivněji.
Microsoft 365 je jedním ze základních nástrojů pro práci i studium na Masarykově univerzitě. Proto pro vás kolegové z Ústavu výpočetní techniky připravili kurz, který vám pomůže se s ním více seznámit. Vyzkoušejte sami!
