Kyberbezpečnostní testování představuje nezbytnou součást bezpečnostních opatření v moderní digitální době. Tato testování mohou být prováděna různými způsoby, včetně simulací útoků, testováním zranitelností a penetrací systémů. Nicméně – existují morální dilemata spojená s tímto druhem testování, zvláště když se jedná o závislost na technologiích.
Závislost na technologii se čím dál více stává problémem v moderní společnosti a to i v oblasti kyberbezpečnosti. Kyberbezpečnostní testeři mohou mít tendenci spoléhat se příliš na automatizované nástroje pro testování (např. zranitelností a penetrace), což může vést k nezaznamenání určitých druhů útoků nebo k jejich nedostatečnému porozumění.
Netradiční útoky, na které nástroje nejsou dostatečně připraveny
Závislost na technologii vede k omezení lidského faktoru při testování, což je problematické, pokud se objeví nové nebo netradiční útoky, na které nástroje nejsou dostatečně připraveny. To může mít za následek významné bezpečnostní incidenty, jimž by bylo možné předejít větším zapojením lidských schopností a zkušeností.
V praxi se lze setkat s mnoha příklady netradičních útoků, které mohou být nástroji třeba pro testování zranitelností a penetrace obtížně zaznamenatelné, například:
- Útoky pomocí sociálního inženýrství: Tímto typem útoků se snaží útočník podvést lidi, aby například poskytli citlivé informace (jako jsou například přístupové údaje k systémům). Tento typ útoku může být pro nástroje pro testování zranitelností obtížně zaznamenatelný, protože se jedná o zneužití lidského faktoru, nikoliv technické zranitelnosti.
- Útoky typu „file inclusion“: Tento typ útoku umožňuje útočníkovi přistupovat k souborům na serveru, k nimž by neměl být přístup. Nástroje pro testování zranitelností mohou být schopny detekovat některé varianty tohoto typu útoku, ale mohou mít potíže s detekcí pokročilejších variant. „file inclusion“ útoků. Například pokud útočník použije techniky jako „Null byte poisoning“ nebo „Double encoding“, může se mu podařit obejít běžné mechanismy ochrany a přistoupit k citlivým souborům.
- Útoky na internetu věcí (IoT): IoT zařízení jsou stále více běžná a představují novou výzvu pro kyberbezpečnost. Nástroje pro testování zranitelností mohou mít potíže s detekcí útoků na IoT zařízení – pro mnoho oblastí zabezpečení IoT zkrátka nejsou bezpečnostně testovací technologie k dispozici. Jeden z hlavních problémů s bezpečností IoT zařízení spočívá v tom, že jsou často navržena tak, aby byla propojena s různými systémy a sítěmi, aby bylo možné údaje sbírat a ovládat zařízení vzdáleně. Tento přístup však zvyšuje riziko, že útočník získá přístup k zařízení a zneužije jej ke škodlivým účelům. Například útočník může využít chybu v zabezpečení IoT zařízení, aby se dostal do sítě, do které je zařízení připojeno. Tím získá přístup k dalším zařízením v síti, které mohou být propojeny s citlivými systémy, jako jsou banky, nemocnice a kritická infrastruktura. Útočník může také využít zranitelností v IoT zařízeních, aby vytvořil botnet (síť počítačů ovládaných útočníkem), který může být použit k provádění hromadných útoků na jiné sítě.
- Advanced Persistent Threats (APT): Tato metoda útoku se zaměřuje na proniknutí do systému pomocí sofistikovaných technik, jako jsou phishing, sociální inženýrství, malware a zero-day exploity. APT útočník se snaží zůstat v systému co nejdéle a získat co nejvíce informací, aniž by byl detekován. Tento typ útoku vyžaduje sofistikovanou přípravu a vyšší úroveň útočníka, což ztěžuje detekci a ochranu. APT útočníci často používají více fází útoku, aby se infiltrovali do systémů a udrželi se v nich co nejdéle. APT útočníci jsou obvykle dobře financovaní, organizovaní a vysoce kvalifikovaní, což jim umožňuje používat sofistikované metody útoku.
- Zero-day útoky: Tento typ útoku využívá zranitelnosti v softwaru nebo hardwaru, které dosud nebyly známy a tedy nejsou zahrnuty v aktualizacích nebo bezpečnostních opatřeních. To znamená, že útočník může útočit bez varování a může být velmi obtížné se proti nim chránit.
- Fyzické útoky na zařízení: Útočníci mohou získat fyzický přístup k zařízení, jako jsou například telefony nebo počítače, z nichž mohou získat citlivé informace (hesla, osobní údaje aj.). Tento typ útoku vyžaduje fyzický přístup k zařízení, což znamená, že může být obtížné se chránit, pokud není zařízení dobře zabezpečeno.
- Atd.
Potřeba udržovat aktuální znalosti a dovednosti v oboru
Další výzvou související se závislostí na technologiích v kyberbezpečnosti je potřeba udržovat aktuální znalosti a dovednosti v oboru. Technologie se neustále vyvíjejí a rychle se mění, takže kyberbezpečnostní testeři musí být schopni přizpůsobit se novým trendům a novým způsobům útoků. To vyžaduje neustálé vzdělávání a přizpůsobení se novým výzvám, což může být náročné a vyžaduje to neustálé úsilí. Testeři musí být schopni se přizpůsobit novým výzvám a trendům a udržet si dostatečné znalosti a dovednosti pro efektivní testování. Vzdělávání je proto velmi důležité, aby byli testeři schopni pochopit nové technologie a zranitelnosti a přijmout nové postupy testování.
Navíc, testerům musí být k dispozici dostatečné množství zdrojů a nástrojů, které jim umožní udržet si aktuální znalosti a dovednosti. Mnoho zdrojů a nástrojů je placených a mohou být finančně náročné, což může být pro menší organizace nebo jednotlivé testery obtížné.
Kyberbezpečnostní tester musí být vystaven novým technologiím a výzvám, aby byl schopen udržet si své znalosti a dovednosti aktuální. To znamená, že organizace by měly podporovat vzdělávání svých testerů a umožnit jim účast na konferencích, školeních a workshopech.
Vzhledem k tomu, že kyberbezpečnostní tester musí být neustále schopen udržet si aktuální znalosti a dovednosti, je tato výzva významná pro celou oblast kyberbezpečnosti. Testerům by mělo být poskytnuto dostatečné množství zdrojů a vzdělávacích příležitostí, aby byli schopni efektivně testovat a přizpůsobit se novým výzvám v oblasti kyberbezpečnosti.
Nebezpečí přehlížení netechnologických faktorů
Při kyberbezpečnostním testování existují různé faktory, které mají vliv na bezpečnost informačního systému, ale nejsou přímo spojeny s technologií. Tyto faktory bývají snadno přehlíženy, pokud se kyberbezpečnostní testeři příliš zaměří na technické aspekty testování.
Závislost na technologii může vést k nebezpečí přehlížení faktorů, jako jsou procesy řízení rizik, nebo význam lidského faktoru v celkové kybernetické bezpečnosti organizace. Kyberbezpečnostní testeři by proto měli být schopni udržovat rovnováhu mezi technologií a lidskými faktory, aby maximalizovali efektivitu své práce a minimalizovali riziko bezpečnostních incidentů.
Jedním z nejvýznamnějších faktorů, které mohou být přehlíženy, je lidský faktor. To zahrnuje chování zaměstnanců, úroveň jejich povědomí o kyberbezpečnosti a jejich schopnost rozpoznat a reagovat na možné útoky. Pokud zaměstnanci nejsou dostatečně školeni v oblasti kyberbezpečnosti, mohou být náchylní k sociálnímu inženýrství a dalším druhům útoků, které nejsou přímo spojeny s technickými zranitelnostmi informačního systému. Kyberbezpečnostní testeři by měli zahrnout do svého testování i lidský faktor a provádět testy zaměřené na sociální inženýrství a další útoky, které mohou využít lidské chyby.
Dalším faktorem, který může být přehlížen, je fyzická bezpečnost. Pokud jsou systémy fyzicky přístupné neoprávněným osobám, mohou být ohroženy i bez ohledu na to, jak jsou technicky zabezpečené. Kyberbezpečnostní testeři by měli zahrnout do svého testování i fyzickou bezpečnost a provádět testy zaměřené na fyzický přístup k informačnímu systému.
V neposlední řadě může být přehlížena i právní stránka kyberbezpečnosti. Každá organizace musí dodržovat zákony a regulace týkající se ochrany osobních údajů a kyberbezpečnosti. Kyberbezpečnostní testeři by měli zahrnout do svého testování i právní aspekty a provádět testy zaměřené na dodržování zákonných požadavků týkajících se například ochrany dat.
Procesy a postupy organizace mohou mít vliv na bezpečnost systému, například pokud organizace neaktualizuje systém pravidelně nebo pokud neexistují jasně definované postupy pro řešení bezpečnostních incidentů. To může vést k situacím, kdy jsou systémy zranitelné vůči útokům, které by mohly být jinak odvráceny.
Je tedy důležité, aby kyberbezpečnostní testeři nezůstávali příliš zaměřeni jen na technické aspekty testování a zahrnovali i jiné faktory, které mohou mít vliv na bezpečnost systému. Celkově je důležité, aby kyberbezpečnostní testeři měli širší pohled na bezpečnost systému a neomezili se pouze na technické aspekty testování. Zahrnutí dalších faktorů, jako jsou procesy a postupy organizace, lidské chování a vnější vlivy, může přispět k větší efektivitě testování a snížení rizika bezpečnostních incidentů.