Největší slabinou každého systému, alespoň co se kybernetické bezpečnosti týká, je lidský faktor. Penetrační testy umí ohodnotit i to, jak daný systém dokáže čelit neautorizovaným zásahům zaměstnanců, ať už záměrným nebo nevědomým.
Penetrační testy pomáhají odhalit nedostatky v návrhu systému a jeho architektuře a identifikovat výkonnostně poddimenzované prvky. Ověřují také míru zajištění důvěrnosti, integrity a dostupnosti dat zpracovávaných elektronickými systémy. To přispívá k bezproblémovému chodu ICT firem či organizací a k jejich činnosti obecně. Ještě větší připravenost pak může zajistit red teamingové testování, které zahrnuje komplexní prověření nejen kybernetické, ale i fyzické připravenosti systémů na kybernetický útok.
Aricoma už druhý rok výsledky penetračních testů hodnotí v reportu, který plasticky ilustruje, jak jsou proti kybernetickým útočníkům firmy vyzbrojeny. Nebo také nejsou. Mezi testovanými subjekty bývají organizace všech velikostí. Odstrašující příběhy jiných ukazují, že bez vysokých standardů zabezpečení se mohou velmi nečekaně dostat do situace, kdy nějakou dobu nebudou moci svou činnost vykonávat. V nejhorším případě pak paralýza skončí úplnou ztrátou reputace a likvidací podnikání. Každý report ve zprávě představuje jeden test ve firmě. A každý nález pak zranitelnost různé závažnosti.
Méně testů, přesto více nálezů
V roce 2023 tým penetračních testerů Aricomy vypracoval celkem 415 reportů. Ačkoli jich bylo v porovnání s rokem 2022 o deset méně, počet nálezů se zvýšil téměř o tři stovky na 4 399. V průměru jich tedy bylo více než deset na jeden report. V porovnání závažnosti se poměr závažných a kritických nálezů sice nezměnil (celkem 12 %), nicméně o jeden procentní bod se zvýšil počet těch kritických (3 %). Až 41 % reportů obsahovalo alespoň jeden kritický nebo vysoce závažný nález, jehož zneužití může mít vážné důsledky pro systém nebo samotnou organizaci, která ho provozuje.
.jpg "PT23CZ-(1).jpg")
Zajímavý je i pohled na poměr závažných a kritických nálezů v poměru na report dle jednotlivých odvětví. Ačkoli se počet penetračních testů v jednotlivých odvětvích liší, tento poměr naznačuje, do jaké míry jsou jednotlivá odvětví v porovnání s ostatními zranitelná. Nejvyšší poměr počtu nálezů k počtu reportů zaznamenali analytici Aricomy v odvětví doprava a logistika, nejnižší pak ve zdravotnictví a farmacii. Poměr závažných a kritických nálezů na report byl pak nejvyšší v odvětví průmysl a výroba, nejnižší opět ve zdravotnictví a farmacii.
I jedna kritická chyba může mít devastující dopady
Ačkoli více než polovina nálezů v roce 2023 spadala v závažnosti do kategorií informativní (8 %) nebo nízká (50 %), více než čtvrtinu už tvořily nálezy střední závažnosti (26 %) a téměř každý osmý nález patřil mezi ty vysoce závažné (9 %) až kritické (3 %). Poměry se v porovnání s předchozím rokem mění v řádu jednotek procent, nicméně v případě kritické závažnosti, a tedy bezprostředního ohrožení a případné paralýzy dané organizace, znamená nárůst o jeden procentní bod meziroční zhoršení o 50 %. Kriticky závažné chyby představují nedostatky, které byly při testech zneužity a vedly (nebo mohou vést) k přímé kompromitaci testovaného systému. Závažné chyby pak report klasifikuje jako ty, které bezprostředně umožňují kompromitaci systému či jeho nedostupnost. U těchto chyb existuje velmi vysoká pravděpodobnost zneužití. A bezpečnostní experti mají za to, že je jejich okamžitá náprava nutná.
Ještě nedávno patřily k nejčastějším hrozbám v kyberprostoru náhodné útoky na větší společnosti, dnes výrazně přibývá těch cílených, mnohem sofistikovanějších a nebezpečnějších, a to včetně cílů mezi malými a středními podniky. Útočníci mají k dispozici dokonalé technologie včetně umělé inteligence a precizně vypracované postupy cílící na oběti bez ohledu na jejich význam a velikost.
Z letošní zprávy penetračních testů Aricomy vyplývá, že se poměrně velké riziko vysoce závažných nebo kritických chyb nesnižuje. Přestože je jejich počet „jen“ v jednotkách procent, stačí jeden úspěšný útok, který povede ke ztrátě toho nejcennějšího v organizaci – dat, know-how a pověsti. Ukazuje se, že menší podniky, často páteř běžné fungující ekonomiky, patří mezi ty zranitelnější. A i když mívají denně v myšlenkách hlavně běžnou operativu a víru, že jsou mimo hledáček útočníků, měly by do svých priorit zahrnout i neproniknutelné zabezpečení svých informačních systémů.
Red Teaming
Většina organizací dnes chápe zabezpečení svých systémů a dat především jako otázku nasazení odpovídajících technologií a postupů. Vedle skenování, kterým pravidelně prověřují co nejširší škálu používaných zařízení, ale potřebují sofistikovanější služby včetně penetračních testů. Pokud chtějí čelit těm nejpokročilejším kybernetickým hrozbám současnosti a chtějí otestovat reálnou připravenost nejen svých systémů, ale i fyzického prostředí, potřebují ještě komplexnější testování. Jedná se o takzvané Red Teaming Operations.
Ty se maximálně blíží reálným situacím a díky tomu umí velice přesně odhalit kritická místa v ochraně systémů a dat firem i institucí. Způsob tohoto testování vychází z toho nejhoršího, čeho jsou dnes hackeři schopni – testeři simulují útoky s pomocí nejmodernějších technologií, psychologických postupů, nátlaků a taktik včetně lží a krádeží. Samozřejmě vždy po dohodě s vedením organizace a pouze s jediným účelem – přispět k její maximální ochraně.
Srovnávací report penetračních testů za rok 2023 naleznete tady.