Arkadiusz Tobiasz

No właśnie poprzedni wpis mówił o bezpieczeństwie, które powinno się brać pod uwagę przy pisaniu skryptów w PHP. W tej notce trochę ogólniej o kwestiach bezpieczeństwa w internecie oraz systemach komputerowych. Na moim kierunku studiów wielu wykładowców podkreśla ogromną wagę bezpieczeństwa jeśli chodzi o systemy informatyczne, bowiem ma to ogromne znaczenie dla firmy, która będzie później z niego korzystać, a w takiej firmie poufność danych przechowanych przez ten system to rzecz bardzo ważna.

W związku z tym wiele firm w ostatnich czasach sięga po coś takiego jak audyt bezpieczeństwa, aby się przekonać na ile system informatyczny, z którego aktualnie korzystają jest bezpieczny. Czym jest audyt bezpieczeństwa?

To jest artykuł komercyjny napisany dla serwisu Blogvertising.pl. Za zainteresowanie się programem zostanę wynagrodzony. Zgodnie z etyką blogvertisingu wyrażam własną opinię na temat opisywanego produktu.

Pozwolę się w tym celu posłużyć definicją zaczerpniętą z Wikipedii, która mówi, że jest to proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane.

Można wyróżnić dwa rodzaje audytów. Pierwszy, który zleca firma, aby sprawdzić bezpieczeństwo używanego systemu informatycznego. Drugi, tzw. audyt powłamaniowy, którego celem jest ustalenie sposobu włamania oraz jakie informacje mogły zostać ujawnione.

Audyty bezpieczeństwa warto przeprowadzić po fazie testów przy projektowaniu nowego systemu informatycznego, a przed wprowadzeniem go do użycia, aby zminimalizować ryzyko zaistnienia potencjalnych luk w systemie, co może w ostateczności dać możliwość włamania się do systemu.

W dzisiejszym świecie “informacja jest w cenie”, dlatego systemy informatyczne, zwłaszcza dużych firm są potencjalnym źródłem ataków hakerow, którzy chcą w ten sposób zarobić. Szczególnie na kwestię bezpieczeństwa są uczulone banki, które mogą stracić najwięcej jeżeli ich system ma “dziurę”. W 2007 roku, to właśnie jeden z banków – Nordea miał kłopoty z hakerami, który stracił z tego tytuł ponad 1 milon euro.

W związku z tym chyba nie muszę dalej podkreślać jak ważna jest kwestia bezpieczeństwa w systemach informatycznych. Warto zlecić audyt, aby upewnić się, że nasz system informatyczny jest w 99% bezpieczny (nie w 100%, bowiem nigdy nie można być do końca tego pewnym). Jak przeprowadzany jest audyt bezpieczeństwa?

Jeżeli chodzi o aplikacje Web, to bada się kod źródłowy tej aplikacji, które obejmuje testowanie pod kątem podatności na następujące ataki: Cross Site Scripting i pochodne, SQL Injections, XML Injections, błędy na styku aplikacja-system plików lub aplikacja-aplikacja, błędy związane z implementacją sesji, Denial of Service (DoS) – ataki na wyczerpanie zasobów, inne typowe dla konkretnych środowisk implementacyjnych. Jest to tak zwane podejście whitebox. Istnieje także podejście blackbox, w którym firma przeprowadzająca audyt posiada tyle samo informacji o systemie, co zwykły użytkownik i próbuje się włamać do systemu w określonym czasie.

Audyt nie ogranicza się tylko do aplikacji webowych, ale także innych, w których tak samo jak w aplikacjach webowych badany jest kod źródłowy pod kątem potencjalnych grup ataków: błędy obsługi pamięci (np. przepełnienia buforów) w językach C/C++, błędy na styku aplikacji-system plików lub innej aplikacji, sytuacje wyścigu, błędy operacji arytmetycznych, różnego rodzaju ataki Denial of Service (DoS), błędnie zastosowane mechanizmy kryptograficzne, inne luki typowe dla konkretnych środowisk implementacyjnych.

Popularity: 4%