![\"Weryfikacja](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2022\/01\/Ryc.-1-1.png\")
<\/a>Proces bezpiecze\u0144stwa w organizacji rozpoczyna si\u0119 od identyfikacji kluczowych proces\u00f3w i danych. Innymi s\u0142owy: okre\u015blamy co i przed czym chcemy chroni\u0107. Nast\u0119pnie ustalamy, jak nale\u017cy si\u0119 zabezpieczy\u0107. Tak zbudowany System Zarzadzania Bezpiecze\u0144stwem w organizacji powinien obejmowa\u0107 zar\u00f3wno aspekty technologiczne jak i procedury.<\/p>\n\n\n\n
W kolejnym etapie nast\u0119puje implementacja naszych plan\u00f3w. Wdra\u017camy procedury, narz\u0119dzia oraz szkolimy pracownik\u00f3w. I tu przychodzi czas na weryfikacj\u0119. Po etapie implementacji przechodzimy do etapu utrzymania. W jego trakcie skupiamy si\u0119 na monitorowaniu i rozwi\u0105zywaniu potencjalnych incydent\u00f3w bezpiecze\u0144stwa.<\/p>\n\n\n\n
Oczywi\u015bcie, powy\u017cszy proces jest tylko schematem uproszczonym. W rzeczywisto\u015bci proces weryfikacji jest procesem ci\u0105g\u0142ym.<\/p>\n\n\n\n
Zakres weryfikacji<\/h2>\n\n\n\n
Pierwsze pytanie, jakie organizacja powinna sobie zada\u0107, to: Co w\u0142a\u015bciwie chcemy zweryfikowa\u0107 i jaki powinien by\u0107 zakres tej weryfikacji?<\/p>\n\n\n\n
Czynnikiem m\u00f3wi\u0105cym o zakresie przeprowadzonej weryfikacji jest poziom organizacyjny b\u0119d\u0105cy przedmiotem test\u00f3w. Przyk\u0142adowo:<\/p>\n\n\n\n
- \n
- Poziom organizacji\n
- \n
- Weryfikacja bezpiecze\u0144stwa ca\u0142ej organizacji lub konkretnej jednostki organizacyjnej (np. konkretnej fabryki).<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Poziom systemu lub rozwi\u0105zania\n
- \n
- Weryfikacja bezpiecze\u0144stwa okre\u015blonych system\u00f3w (np. infrastruktury sieciowej, \u015brodowiska chmurowego).<\/li>\n\n\n\n
- Weryfikacja bezpiecze\u0144stwa okre\u015blonego rozwi\u0105zania (np. konkretnej aplikacji do zbierania zam\u00f3wie\u0144).<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Weryfikacja kontrahenta\n
- \n
- Weryfikacja bezpiecze\u0144stwa rozwi\u0105zania firmy trzeciej.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Bardzo wa\u017cne jest, aby pami\u0119ta\u0107, \u017ce decyzja o rodzaju oraz intensywno\u015bci weryfikacji powinna bazowa\u0107 na ocenie ryzyka. W rzeczywisto\u015bci ocena ryzyka powinna by\u0107 pierwszym krokiem dla prawie ka\u017cdej aktywno\u015bci zwi\u0105zanej z bezpiecze\u0144stwem. Pozwala nam to unikn\u0105\u0107 sytuacji, w kt\u00f3rej wdro\u017cone zabezpieczenia lub przeprowadzone weryfikacje s\u0105 nieadekwatne do zagro\u017ce\u0144.<\/p>\n\n\n\n
Rodzaje weryfikacji<\/h2>\n\n\n\n
W dalszej cz\u0119\u015bci artyku\u0142u przedstawi\u0119 przyk\u0142adowe sposoby weryfikacji oraz ich wady i zalety. Jako zakres przyjmijmy hipotetyczn\u0105 sytuacj\u0119 zaimplementowania i wdra\u017cania przez organizacj\u0119 nowej aplikacji internetowej.<\/p>\n\n\n\n
![\"Sposoby](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2022\/01\/SposobyWeryfikacji.png\")
<\/a>Ryc. 2 Sposoby weryfikacji bezpiecze\u0144stwa<\/figcaption><\/figure>\n\n\n\n Ocena bezpiecze\u0144stwa<\/h3>\n\n\n\n
Jest to przeprowadzenie manualnej lub p\u00f3\u0142automatycznej oceny istniej\u0105cych system\u00f3w, rozwi\u0105za\u0144, procedur. Ocena przeprowadzana jest z regu\u0142y na podstawie wypracowanych, dobrych praktyk oraz uznanych standard\u00f3w. Przyk\u0142adowa weryfikacja aplikacji internetowej mo\u017ce polega\u0107 na:<\/p>\n\n\n\n
- \n
- Ocenie architektury i rozwi\u0105za\u0144 projektowych.<\/li>\n\n\n\n
- Secure code review \u2013 manualnym i automatycznym.<\/li>\n\n\n\n
- Ocenie konfiguracji.<\/li>\n\n\n\n
- Ocenie procesu wytwarzania oprogramowania.<\/li>\n<\/ul>\n\n\n\n
Przydatnym narz\u0119dziem do oceny bezpiecze\u0144stwa aplikacji internetowych jest OWASP Application Security Verification Standard (ASVS)<\/strong>.<\/a> Jest to framework, kt\u00f3ry skupia si\u0119 na zdefiniowaniu kontrolek bezpiecze\u0144stwa wymaganych podczas projektowania, rozwijania i testowania nowoczesnych aplikacji internetowych oraz us\u0142ug internetowych. Poszczeg\u00f3lne kontrolki okre\u015blane s\u0105 dla okre\u015blonego poziomu (level 1, 2 lub 3).<\/p>\n\n\n\n
![\"OWASP](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2022\/01\/asvs_40_levels-1-1024x267.png\")
<\/a>Ryc. 3 OWASP Application Security Verification Standard<\/a><\/figcaption><\/figure>\n\n\n\n Zalety<\/strong><\/p>\n\n\n\n
- \n
- Szybka identyfikacja b\u0142\u0119d\u00f3w i niedoskona\u0142o\u015bci konfiguracji.<\/li>\n\n\n\n
- \u0179r\u00f3d\u0142o dobrych praktyk i zabezpiecze\u0144 w projekcie \u2013 na podstawie uznanych standard\u00f3w.<\/li>\n\n\n\n
- Identyfikacja potencjalnych zagro\u017ce\u0144, pomini\u0119tych przez testy penetracyjne.<\/li>\n<\/ul>\n\n\n\n
Wady<\/strong><\/p>\n\n\n\n
- \n
- Mo\u017ce by\u0107 czasoch\u0142onna.<\/li>\n\n\n\n
- Podatna na zbyt restrykcyjn\u0105 weryfikacj\u0119.<\/li>\n\n\n\n
- Nie ma takiej \u201emocy sprawczej\u201d jak testy penetracyjne.<\/li>\n\n\n\n
- Niezb\u0119dne jest posiadanie dost\u0119pu do potencjalnie wra\u017cliwych obszar\u00f3w.<\/li>\n<\/ul>\n\n\n\n
Kiedy stosowa\u0107<\/strong><\/p>\n\n\n\n
- \n
- Przynajmniej raz przed pierwszym wdro\u017ceniem rozwi\u0105zania.<\/li>\n\n\n\n
- Oceny, takie jak secure code review, powinny by\u0107 stosowane na bie\u017c\u0105co.<\/li>\n\n\n\n
- Kiedy testy penetracyjne wykaza\u0142y du\u017co uchybie\u0144.<\/li>\n<\/ul>\n\n\n\n
Ocena podatno\u015bci<\/h3>\n\n\n\n
Ocena podatno\u015bci to proces identyfikowania, klasyfikowania i priorytetyzowania podatno\u015bci w zabezpieczeniach aplikacji. Kompleksowa ocena podatno\u015bci weryfikuje, czy system informatyczny jest nara\u017cony na znane podatno\u015bci, przypisuje poziomy istotno\u015bci zidentyfikowanym podatno\u015bciom i, w razie potrzeby, zaleca kroki naprawcze lub \u0142agodz\u0105ce. Wykonywana jest najcz\u0119\u015bciej poprzez automatyczne skanowanie aplikacji przy pomocy przeznaczonych do tego narz\u0119dzi np. Nessus, BurpSUite, Qualys, OpenVAS. Na rynku dost\u0119pne s\u0105 zar\u00f3wno p\u0142atne, jak i darmowe narz\u0119dzia.<\/p>\n\n\n\n
![\"Przyk\u0142adowe](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2022\/01\/skan-1024x499.png\")
<\/a>Ryc. 4 Przyk\u0142adowe wyniki automatycznego skanu podatno\u015bci<\/figcaption><\/figure>\n\n\n\n Zalety<\/strong><\/p>\n\n\n\n
- \n
- Nie wymaga du\u017cego nak\u0142adu pracy.<\/li>\n\n\n\n
- Pozwala zidentyfikowa\u0107 znane podatno\u015bci, kt\u00f3re najcz\u0119\u015bciej s\u0105 wykorzystywane do \u0142amania zabezpiecze\u0144.<\/li>\n\n\n\n
- \u0141atwa do automatyzacji.<\/li>\n<\/ul>\n\n\n\n
Wady<\/strong><\/p>\n\n\n\n
- \n
- Du\u017ca liczba problem\u00f3w fa\u0142szywie dodatnich.<\/li>\n\n\n\n
- Cz\u0119sto nies\u0142usznie mylona z testami penetracyjnymi.<\/li>\n<\/ul>\n\n\n\n
Kiedy stosowa\u0107<\/strong><\/p>\n\n\n\n
- \n
- Podczas test\u00f3w penetracyjnych oraz oceny bezpiecze\u0144stwa.<\/li>\n\n\n\n
- Okresowo, z du\u017c\u0105 cz\u0119stotliwo\u015bci\u0105.<\/li>\n\n\n\n
- Przy ka\u017cdym wdro\u017ceniu.<\/li>\n<\/ul>\n\n\n\n
Testy penetracyjne<\/h3>\n\n\n\n
Testy penetracyjne s\u0105 podstawowym sposobem weryfikacji. W ich trakcie wykonywane s\u0105 realne (autoryzowane) ataki na testowane systemy. Testy penetracyjne wykonuje si\u0119 najcz\u0119\u015bciej w oparciu o jedn\u0105 z uznanych metodologii np. Penetration testing execution standard (PTES)<\/strong>.<\/p>\n\n\n\n
Test penetracyjny sk\u0142ada si\u0119 z poni\u017cszych etap\u00f3w:<\/p>\n\n\n\n
- \n
- Wst\u0119pne interakcje.<\/li>\n\n\n\n
- Zdobywanie informacji.<\/li>\n\n\n\n
- Modelowanie zagro\u017ce\u0144 oraz analiza podatno\u015bci.<\/li>\n\n\n\n
- W\u0142amanie.<\/li>\n\n\n\n
- Utrzymanie dost\u0119pu i aktywno\u015bci pow\u0142amaniowe.<\/li>\n\n\n\n
- Raportowanie.<\/li>\n\n\n\n
- Re-testy.<\/li>\n<\/ul>\n\n\n\n
Jako rezultat test\u00f3w tworzony jest raport z test\u00f3w wskazuj\u0105cy zidentyfikowane problemy, ich istotno\u015bci oraz propozycje naprawy.<\/p>\n\n\n\n
Zalety<\/strong><\/p>\n\n\n\n
- \n
- Rzeczywisty test badanego systemu.<\/li>\n\n\n\n
- Badane jest r\u00f3wnie\u017c dzia\u0142anie zespo\u0142\u00f3w monitoruj\u0105cych podejrzane aktywno\u015bci.<\/li>\n\n\n\n
- Umo\u017cliwia kompleksow\u0105 weryfikacj\u0119 kilku system\u00f3w.<\/li>\n\n\n\n
- Pozwala na identyfikacj\u0119 luk na stykach system\u00f3w.<\/li>\n\n\n\n
- Stanowi dobr\u0105 \u201emotywacj\u0119\u201d dla kadry zarz\u0105dzaj\u0105cej.<\/li>\n<\/ul>\n\n\n\n
Wady<\/strong><\/p>\n\n\n\n
- \n
- Istnieje ryzyko destabilizacji testowanego systemu, uszkodzenia lub ujawnienia danych.<\/li>\n\n\n\n
- Z racji ogranicze\u0144 czasowych nie daj\u0105 gwarancji znalezienia wszystkich luk.<\/li>\n\n\n\n
- Mog\u0105 wymaga\u0107 du\u017cej pracoch\u0142onno\u015bci.<\/li>\n<\/ul>\n\n\n\n
Kiedy stosowa\u0107<\/strong><\/p>\n\n\n\n
- \n
- Przynajmniej raz przed pierwszym wdro\u017ceniem rozwi\u0105zania.<\/li>\n\n\n\n
- Okresowo, z mniejsz\u0105 cz\u0119stotliwo\u015bci\u0105 lub przy wi\u0119kszych wdro\u017ceniach.<\/li>\n<\/ul>\n\n\n\n
Podsumowanie<\/h2>\n\n\n\n
Podsumowuj\u0105c, weryfikacja jest niezb\u0119dnym elementem zapewniaj\u0105cym bezpiecze\u0144stwo organizacji. Nie zawsze jednak mamy mo\u017cliwo\u015bci przeprowadzi\u0107 rzeteln\u0105 weryfikacj\u0119. W takich wypadkach dobrze jest wiedzie\u0107, jakie s\u0105 dost\u0119pne opcje, pozna\u0107 ich wady i zalety. Przyk\u0142adowo, wykonanie oceny podatno\u015bci aplikacji internetowej nie generuje du\u017cych koszt\u00f3w, a w znacznym stopniu zabezpiecza przed w\u0142amaniem.<\/p>\n\n\n
- Weryfikacja bezpiecze\u0144stwa rozwi\u0105zania firmy trzeciej.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n