Vulnerability assessment to termin wywodzący się z języka angielskiego rozumiany potocznie jako testy penetracyjne. Sformułowanie to kojarzone jest najczęściej z branżą IT, jednak opisuje również badanie podatności na fizyczną infiltrację i to właśnie temu drugiemu znaczeniu poświęcę ten artykuł.
Czym jest Vulnerability assessment?
Ocena podatności to wynik badania podatności obiektu na atak przeprowadzany wg ustalonych zasad – ograniczeń narzuconych przez kontrahenta zlecającego badanie. Badanie to powinno być obok testów penetracyjnych IT (w formie cyberataku) elementem każdego audytu bezpieczeństwa informacyjnego. W Polsce, choć rosnąca to nadal niewielka popularność sprawiła, że nie utarła się jeszcze oddzielna nazwa, a używane określenie pentestów kojarzone jest głównie z próbą przełamania zabezpieczeń sieci, serwerów, stron internetowych lub szerzej ataku na cały „cyber-ekosystem”.
Vulnerability assessment jako test podatności na infiltrację bezpośrednią
Badanie podatności na infiltrację bezpośrednią jest usługą specjalistyczną i niewiele firm w Polsce ma zdolności do rzetelnego jej wykonania. Takie sprawdzenie to działania w obszarze OSINT, HUMINT, wrogi rekonesans wykonywany przez doświadczony zespół testerów (agentów) oraz sam atak. Vulnerability assessment wymaga stosowania różnych technik, którymi najczęściej są (z angielskiego): social engineering i tailgating, ale też inne techniki dobierane do potrzeb klienta i uwzględniane w scenariuszach działania agentów. Wynikiem badania podatności jest raport, czyli podstawa do oceny podatności organizacji, sektora, obiektu, zawierający dokładne informacje i jest podstawą do wyciągnięcia wniosków i planowania działań naprawczych.
Kiedy warto skorzystać z badania podatności na infiltrację bezpośrednią?
Okolicznościami szczególnie przemawiają za wykonaniem oceny podatności są wszelkie incydenty bezpieczeństwa, modyfikacje istniejących procedur, weryfikacja wdrożenia szkoleń wśród pracowników, rozbudowa systemu kontroli dostępu, zmiana lokalizacji, włączenie do użytkowania nowych budynków, pięter, parkingów, terenów, zmiana dostawcy usług ochrony fizycznej + monitoringu oraz trwające prace budowlano-remontowe. Każde z wymienionych zdarzeń stwarza okoliczności, w których szczelność procedur i rozwiązań technicznych może być niewystarczająca.
Człowiek jako słaby punkt bezpieczeństwa
Najczęstszą przyczyną incydentów w obszarze bezpieczeństwa jest czynnik ludzki. Nawet wysokiej klasy rozwiązania techniczne i dopracowane procedury nie zapewniają wysokiego poziomu bezpieczeństwa. Wystarczy że pracownik będzie miał gorszy dzień, nałożą się na siebie dostawy i zamieszanie w recepcji, pracownik ochrony będzie miał chwilowo za dużo zadań na głowie, nie będzie w danym momencie wystarczającej liczby personelu ochrony, pracownicy będą przejawiać brak zrozumienia ważności i celowości obowiązujących zasad, a do tego nawet spadek czujności z powodu codziennej rutyny sprawiają, że potencjalny intruz ma szansę na infiltrację.
Vulnerability assessment – wejście agenta to sukces, nie wejście to jeszcze większy sukces
Gdy agent osiąga założony cel testu, wydostaje się bez ujawnienia, to taki test, co oczywiste, odbierany jest jako dobrze wykonana praca. Jednak jak sprawdzić, czy testy podatności zostały przeprowadzone w sposób rzetelny i miarodajny w momencie, gdy agent nie wchodzi?
Odpowiedzią na ten problem jest ostateczna ocena podatności czyli raport końcowy. Raport ten, jak już wspominałem, zawiera opis przedmiotu testu, datę jego wykonania, informacje o sposobie nadzoru nad jego przebiegiem, detale rekonesansu, przebieg scenariuszy testu oraz zalecenia do każdego z testowanych obszarów. Gdy agenci omawiają i planują scenariusze działania, klient ma pełną wiedzę na temat testowanego elementu organizacji lub jej otoczenia, a w raporcie otrzymuje rezultat tego testu. Dlatego nieosiągnięcie celu przez agenta jest informacją cenną i wskazuje na dobre przygotowanie na zagrożenia założone w zrealizowanym scenariuszu.
Autor: Michał Nosowski
Zapoznaj się z innymi artykułami na naszym blogu:
