12 grudnia 2022
3 minuty czytania
Dlaczego warto wynająć etycznego hakera?
Aby mieć pewność, że system zabezpieczeń infrastruktury IT w firmie działa skutecznie, należy go przetestować. Może to być np. przeprowadzenie cyberataku kontrolowanego – są to tzw. testy penetracyjne. By sprawdzić, jak bardzo skomplikowane jest włamanie się do firmowej infrastruktury, trzeba działać jak haker. Koszty takich usług są jednak zwykle wysokie. My uczyniliśmy tę usługę przystępną cenowo także dla małych i średnich firm.
Polskie firmy zadbały o cyberbezpieczeństwo
Co piąta firma w Polsce zwiększyła budżet na cyberbezpieczeństwo, wynika z badania przeprowadzonego pod koniec 2020 roku przez ARC Rynek i Opinia na zlecenie firmy Fortinet. Najwięcej środków przeznaczono na nowe rozwiązania i usługi ochronne, jak np. firewalle czy oprogramowanie antywirusowe (51 proc.). Nowe realia wymusiły też:
- konieczność inwestycji w licencje na oprogramowanie ochronne instalowane na urządzeniach pracowników zdalnych,
- wdrożenie nowych zasad bezpieczeństwa,
- szkolenia i certyfikację personelu.
41 proc. firm dostrzegło konieczność modernizacji istniejących zabezpieczeń. Najniższy priorytet miała rekrutacja nowych pracowników odpowiedzialnych za bezpieczeństwo. O tych bowiem niełatwo na rynku, a ich wynagrodzenia są też z reguły wysokie.
By sprawdzić, jak bardzo skomplikowane jest włamanie się do firmowej infrastruktury, trzeba myśleć jak haker i stosować jego techniki.
Cyberatak kontrolowany przeciwko cyberzagrożeniom
Czy to oznacza, że po dokonaniu zakupów i wdrożeniu tych rozwiązań, firma może się już czuć całkowicie bezpieczna? Pewność taką można uzyskać dopiero wtedy, gdy sprawdzi się, jak te zabezpieczenia działają. Standardowym działaniem we wdrażanej polityce cyberbezpieczeństwa powinno być bowiem ciągłe identyfikowanie luk i słabych punktów w zabezpieczeniach środowisk sieciowych. A do tego najlepiej wykorzystać tzw. testy penetracyjne, w tym kontrolowany atak internetowy, które pozwalają sprawdzić rzeczywisty poziom bezpieczeństwa systemów IT oraz zidentyfikować realne zagrożenia. W przeciwieństwie do audytu cyberbezpieczeństwa nie muszą być one przeprowadzone według sformalizowanej metodologii.
Do testów penetracyjnych takich jak kontrolowany atak IT angażuje się często tzw. białych (etycznych) hakerów, którzy specjalizują się w wykrywaniu wszelkich luk w zabezpieczeniach systemów IT. W odróżnieniu od tzw. czarnych hakerów, czyli tych wykonujących nielegalne, niepożądane cyberataki, etyczny haker robi to bez złych intencji. Przeciwnie – haker „do wynajęcia” dla firm ma za zadanie zwiększyć bezpieczeństwo biznesu.
Czy haker może pomóc firmie?
Dlaczego angażuje się etycznych hakerów do wykonywania kontrolowanych cyberataków? By sprawdzić, jak bardzo skomplikowane jest włamanie się do firmowej infrastruktury, trzeba myśleć jak haker i stosować odpowiednie techniki – wyjaśniają specjaliści Orange Polska.
W naszej usłudze Cyber Pakiet oferujemy klientom m.in. testy penetracyjne. Etyczni hakerzy pracujący dla CERT Orange Polska (wyspecjalizowanego podmiotu zajmującego się bezpieczeństwem sieci w strukturach operatora) sprawdzą bezpieczeństwo wskazanych przez klientów najbardziej istotnych webaplikacji lub innych elementów infrastruktury. Ich zadaniem jest m.in. przeprowadzenie kontrolowanego cyberataku i analiza bezpieczeństwa wskazanych przez klienta stron WWW i/lub infrastruktury IT.
Kontrola infrastruktury IT z Cyber Pakietem
W zależności od wykupionego przez klienta Cyber Pakietu kilka razy w roku przeprowadzany jest tzw. rekonesans. To wyszukiwanie przez etycznego hakera informacji, które mogą pomóc przestępcom w udanym ataku na firmową sieć. Testowane są też, w ramach limitu godzin, wskazane najbardziej istotne obszary infrastruktury klienta. Co zaś niezwykle ważne, cykliczność działań podejmowanych w ramach naszej kontroli infrastruktury IT powoduje, że z czasem można w ten sposób wykryć błędy bezpieczeństwa w całej infrastrukturze.
Na koniec kontrolowanego ataku internetowego przygotowywane są raporty z rekomendacjami, które stanowią dla klientów korzystających z Cyber Pakietu istotną pomoc w sprawnej eliminacji wykrytych luk bezpieczeństwa. To dlatego, że gdy etyczny haker znajdzie luki w bezpieczeństwie, podawany jest sposób ich usunięcia wraz z klasyfikacją ryzyka wykorzystania podatności i jej szkodliwości.
Kontrolowany cyberatak nie musi nadwyrężać budżetu
Wiadomo też, że wynajęcie etycznego hakera o dużym doświadczeniu i umiejętnościach, który może przeprowadzić takie testy, nie jest tanie. To odstrasza wiele firm od skorzystania z tego typu usług. Orange Polska, włączając testy penetracyjne do całego zestawu usług w ramach Cyber Pakietu, czyni je dla małych i średnich firm bardziej przystępnymi. Skorzystać z nich mogą już klienci Pakietu Basic, gdzie, wraz z zestawem wielu usług cyberbezpieczeństwa, Orange gwarantuje też przeprowadzenie dwa razy do roku testów penetracyjnych. W pakietach droższych (Standard i Pro), takich testów jest cztery lub sześć rocznie.
Trzeba też pamiętać, że skuteczność testu penetracyjnego w dużym stopniu zależy od kompetencji i stanu wiedzy zespołu testującego. W przypadku CERT Orange Polska, zatrudnieni tam specjaliści poszerzali swą wiedzę, chroniąc od ponad 20 lat sieć największego operatora w Polsce oraz jego klientów. To zaś gwarantuje jakość usługi.
