RYANT Security Check

RYANT Security Check
Úvod Audity RYANT Security Check

Bezpečnostní audit RSC

V rámci bezpečnotního auditu jsou zjišťovány odpovědi na nejzákladnější otázky, zejména pak (nikoli však výlučně) na následující desatero:

  • Jak jsou nastaveny firewally?
  • Jaká je struktura vnitřní sítě, kolik se v ní nachází serverů, stanic, ostatních zařízení? Jakými operačními systémy a aplikacemi jsou tato zařízení vybavena?
  • Jak je vedena dokumentace?
  • Jak je podchyceno havarijní plánování (tzn. redundance a zálohování dat, kritičnost provozu jednotlivých systémů, recovery plány, periodické testování funkčnosti záloh)?
  • Jak je používán vzdálený přístup ke klientským stanicím a jak se klientské stanice mohou vzdáleně přihlašovat k serverům?
  • Jak jsou řízeny procesy implementace, změn a odstávek infrastruktury?
  • Jak funguje nákupní proces v oblasti IT?
  • Které firmy jsou nejdůležitějšími dodavateli v oblasti IT?
  • Jakým způsobem probíhá správa a inventarizace portfolia hardware a software?
  • Jakým způsobem je řízeno nasazování bezpečnostních záplat na uživatelských stanicích a serverech?

K provedení vstupního auditu je nezbytná součinnost IT pracovníků klienta, zpravidla v rozsahu cca jednoho až tří dnů. Výstupem auditu je zpráva, která shrnuje zjištěné informace a obsahuje rovněž prvotní doporučení ke zlepšení stavu kybernetické bezpečnosti. Vstupní audit je vhodné (nikoli nezbytné) doplnit i o základní penetrační testy (zvenčí, z LAN, testování bezpečnosti hesel), testy zabezpečení webových stránek (viz níže) a zabezpečení poštovních serverů.

Prověření bezpečnosti webových stránek pomocí metodiky OWASP

  • Backup attack – tento útok hledá zálohy skriptů na serveru.
  • SQL Injection attack – technika napadení databázové vrstvy programu vsunutím (odtud „injection“) kódu přes neošetřený vstup a vykonání vlastního, samozřejmě pozměněného, SQL dotazu; toto nechtěné chování vzniká při propojení aplikační vrstvy s databázovou vrstvou a zabraňuje se mu pomocí jednoduchého nahrazení potenciálně nebezpečných znaků.
  • Blind SQL Injection attack – stejné jako SQL Injection attack, kde se výsledek nezobrazí.
  • CRLF attack – zneužití předání znaku nového řádku (CR/LF) v http hlavičkách dotazu.
  • Command execution attack – zneužití webové aplikace ke spouštění systémových příkazů na serveru, kde je aplikace hostována.
  • File handling attack – testuje bezpečnost přístupu k lokálním a vzdáleným souborům pomocí include/require, fopen, readfile.
  • htaccess attack – pokouší se překoat špatné nastavení v konfiguračním souboru .htaccess.
  • Nikto attack – pokouší se hledat potenciálně nebezpečné soubory podle volně dostupné Nikto databáze.
  • Cross site scripting attack (XSS) je metoda narušení webových stránek pomocí využití bezpečnostních chyb ve skriptech (především neošetřené vstupy). Útočník díky těmto chybám v zabezpečení webové aplikace dokáže do stránek podstrčit svůj vlastní javascriptový kód.
  • Permanent cross site scripting attack je varianta XSS, který lze použít, pokud je obsah stránky generován z databáze, javascript útočníka jednoduše vložíme třeba jako součást komentáře - spolu s ním se uloží do databáze a je následně zobrazen všem, kdo si takovýto komentář zobrazí, což lze využít buď pouze k poškození vzhledu stránky, jejímu znefunkčnění anebo dokonce k získávání citlivých údajů návštěvníků stránek.