Računalna sigurnost
SIGURNOST DIGITALNIH INFORMACIJSKIH SUSTAVA
Danas, svaka tvrtka koristi digitalni informacijski sustav za obradu i pohranu svojih poslovnih podataka. S obzirom na povjerljivost tih podataka, osiguranje sustava je veoma važno. Obično, svaki digitalni informacijski sustav sastoji se od nekoliko segmenata među koje spadaju:
• Računalna mreža – uključuje mrežne razdjelnike, preklopnike i kabele, te mrežne krajnje točke poput fizičkih utičnica i bežičnih mreža. Segment može zahtijevati definiranje vremenskog okvira za testiranje, te fizički pristup mjestu u slučaju 'white hat' testiranja.
• Računalni čvorovi – predstavljaju prijenosna računala, osobna računala, poslužitelje, mobitele i sve ostale uređaje koji se koriste unutar tvrtke u svrhu obrade i pohrane podataka tvrtke. Segment može zahtijevati definiranje vremenskog okvira za testiranje, te fizički pristup mjestu u slučaju 'white hat' testiranja.
• Vanjske usluge – obično uključuju web stranice tvrtke postavljene na poslužiteljima web hosting usluga, kao i bilo koje druge usluge u Oblaku koje koriste djelatnici tvrtke, kao što su web elektronička pošta (Gmail, Hotmail, itd.), usluge skladištenja podataka (Dropbox, OneDrive, itd.), itd. Segment može zahtijevati odobrenje od strane tvrtke pružatelja vanjskih usluga.
• Podaci – u vlasništvu tvrtke, obrađeni, preneseni preko mreže, te na kraju pohranjeni na lokalne računalne čvorove ili usluge u Oblaku. Najčešće uključuju računovodstvene i pravne dokumente, izjave, bilješke, slike, video i sve ostale vrijedne podatke pohranjene u digitalnom formatu. Segment može zahtijevati sporazum o povjerljivosti podataka sa tvrtkom, te pristup samim podacima.
Kako bi osigurala svoj digitalni informacijski sustav, tvrtka mora prvo procijeniti njegovu trenutnu razinu sigurnosti pronalaženjem ranjivosti, procjenom rizika, te na kraju uvođenjem sigurnosnih rješenja u sustav. To se može učiniti izvođenjem Procjene ranjivosti (eng. Vulnerability Assessment) i / ili Testovima penetracije (eng. Pen test), kao i Kontrolom štete (eng. Damage Control) u slučaju da se napad već dogodio.
Procjena ranjivosti
Procjena ranjivosti je proces identifikacije i kvantifikacije sigurnosnih propusta u sustavu. To je dubinska procjena stanja informacijske sigurnosti koja ukazuje na slabosti sustava, te pruža odgovarajuće postupke za potpuno eliminiranje istih ili njihovo ublažavanje na prihvatljivu razinu rizika.
Procjena ranjivosti uključuje slijedeće korake:
• Određivanje opsega (definiranje segmenata)
• Katalogiziranje imovine i resursa unutar opsega sustava
• Dodjela važnosti i mjerljivih vrijednosti resursima
• Identificiranje sigurnosnih propusta ili potencijalnih prijetnji za svaki resurs
• Izvješćivanje, te eliminiranje ili ublažavanje najozbiljnijih propusta za najznačajnije resurse
Naše usluge uključuju procjenu ranjivosti na svim navedenim segmentima sustava:
• Računalna mreža – konfiguracija mreže, otvoreni portovi, pristup fizičkim utičnicama i bežičnim pristupnim točkama, enkripcija, autentifikacija, itd. Dodatno, analiza se obavlja iznutra same mreže, te izvana.
• Računalni čvorovi – konfiguracija operacijskih sustava, uključujući vatrozidove, antivirusne programe, sigurnosna ažuriranja, korisničke pristupne podatke, autorizacijske i autentifikacijske procedure, itd. Dodatno, fizičke ranjivosti čvorova, tj., pristup samim čvorovima, hardverska zaključavanja, itd. Na kraju, konfiguracija specifičnih aplikacija poput elektroničke pošte (npr., Outlook), web pretraživača (npr., Internet Explorer), komunikacijskih programa (npr., Skype), itd., također mogu biti uključeni.
• Vanjske usluge – ranjivosti web stranica (npr., Joomla), te konfiguracija usluga u Oblaku (npr., Gmail, Dropbox).
• Podaci – povjerljivost podataka putem enkripcije i autorizacije, integritet podataka putem sigurnosnih kopija, te dostupnost podataka putem redundancije.
Testovi penetracije
Testovi penetracije oponašaju djelovanje vanjskog i/ili unutarnjeg zlonamjernog napadača koji za cilj ima ugrožavanje informacijske sigurnosti tvrtke. Koristeći brojne alate i tehnike, penetracijski tester (etički haker) pokušava iskoristiti kritične sustave, te dobiti pristup osjetljivim podacima.
Testovi penetracije uključuju slijedeće korake:
• Određivanje opsega (definiranje ciljeva)
• Ciljano prikupljanje informacija ili izviđanje
• Ostvarivanje pristupa i eskaliranje
• Ispitivanje prikupljenih osjetljivih podataka
• Čišćenje tragova i pisanje završnog izvješća
Naše usluge uključuju testove penetracije na svim segmentima. Testiranje se može izvesti na tri različita načina:
• White box – pristup gdje tvrtka pruža sve potrebne informacije za probijanje u sustav, kao na primjer IP adrese, pristupne podatke, karte lokacije, itd. Ovaj pristup vrlo je sličan Procjeni ranjivosti, sa osnovnom razlikom da se ovdje cilja na specifičan segment sustava.
• Black box – pristup gdje etički haker dobije samo ime organizacije, pri čemu su svi ostali koraci izvedeni zasebno. Ovaj pristup predstavlja realističniju simulaciju vanjskog napadača, pri čemu međutim oduzima najviše vremena.
• Grey box – pristup koji je negdje između White i Black box. Predstavlja optimalan pristup.
Kontrola štete
U slučaju da se napad već dogodio, postoje akcije koje se mogu obaviti kako bi se ublažile ili u potpunosti uklonile štete napravljene od strane napadača.
Kontrola štete uključuje slijedeće korake:
• Određivanje opsega (definiranje specifičnih pitanja)
• Analiziranje ugroženog segmenta
• Definiranje ciljeva i plana spašavanja
• Izvršavanje plana
• Ostvarivanje cilja i izvješćivanje
Ugroženi sustavi mogu pokazivati različite simptome i ponašanja, stoga je nemoguće sve ih navesti ovdje. Naše usluge pokrivaju dobar dio njih, među kojima su najčešći slijedeći:
• Ugrožena sigurnost bežične mreže – zlonamjerni susjed probio je bežičnu mrežu tvrtke, te je koristio za svoju koristi. Identificiraju se nelegalni uređaji spojeni na mrežu, te se dokumentiraju i na kraju blokiraju. Savjetuje se postavljanje višeg sigurnosnog nivoa te promjena šifre.
• Operacijski sustav zaključan – korisnik nije u stanju pristupiti računalu zbog zlonamjernog napada ili zbog gubitka pristupne šifre. Prvo, stvara se sigurnosna kopija podataka, nakon čega se probija korisnički račun da bi se vratio pristup računalu. Savjetuje se izrada medija za povrat pristupa te administratorskog računa.
• Web stranica oteta – Web stranica bazirana na Joomla sustavu postala je nedostupna zbog hakerskog napada. Radi se sigurnosna kopija same stranice i baze podataka putem FTP protokola, nakon čega se stranica čisti. Savjetuje se ažuriranje stranice te redovno stvaranje sigurnosnih kopija.
• Gubitak podataka – korisnik nije u stanju naći podatke na disku ili USB uređaju zbog zaraženosti virusom. Uređaj za pohranu se klonira, te mu se pristupa posebnim alatima za dohvaćanje podataka. Savjetuje se redovno stvaranje sigurnosne kopije uređaja za pohranu.
Kako nas kontaktirati?
Prvo se obavlja razmjena općenitih informacija kako bi se zaključilo da obje strane žele ući u posao, te se definira vrsta sigurnosne analize, tj., Testiranje Penetracije, Procjena ranjivosti ili Kontrola štete. Nakon usmenog dogovora, potpisuje se ugovor te se vrši određivanje opsega, tj., određivanje segmenata koji će biti analizirani. Međutim, u većini slučajeva, prije određivanja opsega, potpisuje se ugovor o povjerljivosti podataka koja štiti tvrtku, kao i etičkog hakera koji obavlja testiranje/procjenu. Nakon definiranog opsega, određuju se vremenski okviri, odgovornosti i cijene.
Sama analiza ovisi o opsegu, te može uključivati upitnik, izviđanje same lokacije, korištenje računalne opreme i mreže, itd. Osim toga, sve ranjivosti pronađene na licu mjesta koje predstavljaju visoki sigurnosni rizik mogu se odmah popraviti.
Konačni rezultat analize je izvještaj koji sadrži dobro dokumentirani popis pronađenih ranjivosti, kao i predloženih sigurnosnih rješenja. Provedba tih rješenja ne spada unutar ugovorenog opsega, te se naplaćuje po prethodno definiranoj cijeni po satu.
Cijena?
Cijena se određuje nakon što je definiran opseg sigurnosne analize, koja uključuje obavljanje sigurnosnih testova, kao i pisanje izvještaja.Uz to, paušal po satu također se definira za svaki dodatni zadatak koji će se obavljati izvan ugovorenog opsega. To uključuje dodatne sigurnosne analize koje spadaju van definiranog opsega, neposredne ispravke na sustavu izvedene na licu mjesta koje predstavljaju visoki sigurnosni rizik, kao i ugradnju sigurnosnih rješenja definiranih u izvješću. Na kraju, pojedini zadaci pri kontroli štete naplaćuju se prema paušalnom iznosu ovisno o slučaju, ili paušalno po satu u slučaju složenijeg problema.