CSIRT.CZ nabídne pentesty

CSIRT.CZ je česká organizace typu CSIRT, což znamená Computer Security Incident Response Team, což je v podstatě kyberzásahovka určená k rychlému řešení problémů na poli IT security na území České republiky. Jde o občanskou (sic) variantu kyberzásahovky, jejími alternativami ve sféře státní a vojenské jsou pak NBU (Národní bezpečnostní úřad), GovCERT (Vládní CERT [Computer Emergency Response Team]), NKCB (Národní centrum kybernetické bezpečnosti) a NUKIB (Národní úřad pro kybernetickou a informační bezpečnost). 

Krom běžných úkolů typu řešit a koordinovat řešení bezpečnostních incidentů v České republice + osvětová činnost v oblasti kybernetické bezpečnosti a informování o aktuálních hrozbách, designovali a naškálovali službu penetračních testů pro veřejnost. 

Cíle pentestů CSIRT.CZ

Čeho lze pomocí pentestů dosáhnout, se lehce dotýká CZ.NIC, zřizovatel uskupení CSIRT.CZ - a sice:

• „identifikování přístupu ke klíčovým prvkům sítě,
• ověření možnosti jejich získání a
• navržení účinných opatření.“

Pomocí pentestů mají být odhaleny zastaralé služby, neaktualizované komponenty na úrovní programů, operačních systémů, sítí, serverů, zranitelné webové aplikace, špatně ošetřené uživatelské přístupy, zásady chování uživatelů a jiné problémy v řízení lidského faktoru. Samozřejmě slabých míst, ale i silných vektorů útoků může být mnoho - a proto CSIRT.CZ nečiní jen analýzu stavu, ale ochranu konkrétního IT infrastruktury konfrontuje sérií sofistikovaných útoků. 

Každá série pentestů je individualizována na míru konkrétnímu zákazníkovi, ať už jde o malou firmu, relativně neotevřenou vůči internetu nebo velkou společnost s velkou mírou dodavatelského softwaru, s velkým objemem dat přímo proudícím internetem a podnikající v klíčových sektorech českého průmyslu. CSIRT.CZ nastiňuje běžnou podobu penetračního testování: 

„Během pentestů se testeři snaží ovládnout síť zákazníka. Postupuje se od průzkumu cíle, opatrného testování, využití zjištěných chyb a zranitelností až k ovládnutí účtů uživatelů i administrátorů. Samozřejmostí je podrobná zpráva pro zákazníka, kde jsou jednotlivé kroky popsány, identifikované zranitelnosti jsou ohodnoceny dle závažnosti a zároveň jsou přidány informace o vhodném opatření, které daný problém vyřeší.“

Časové náročnosti, která se běžně pohybuje od 8 člověkodnů (z nečeského označení mandays) až 70 člověkodnů, odpovídá i cena služby kolísající někde mezi 90 000 a 790 000 CZK. Ondřej Filip, CEO CZ:NIC si od pentestů hodně slibuje: 

„Penetrační testování může být pro organizace jakéhokoli typu přínosem a neocenitelnou investicí do budoucna, protože neodhalená zranitelnost může znamenat velké ztráty, a to nejen finanční, ale také například etické, kdy mohou být zneužity osobní údaje z databází a narušena tak důvěryhodnost organizace.“

Zdroje:

• CSIRT.CZ, CZ.NIC, Kali.org
• Image by Gerd Altmann from Pixabay

 

 

 

	Mistral demokratizuje pokročilé funkce AI Francouzský vývojář AI Mistral AI přichází s multimodálním modelem Pixtral Large, aktualizuje vlajkový jazykový model Mistral Large na verzi 24.11 a ve zdarma přístupné betě nabízí pokročilé funkce, jako jsou Web Search, Canvas a...
	SearchGPT kombinuje důvěryhodnost, kontext a přístupnost OpenAI představilo SearchGPT, novou funkci v rámci ChatGPT, která kombinuje sílu umělé inteligence a schopnosti přímého vyhledávání na internetu. Jde o krok směrem k plně integrovaným systémům, které mohou na základě uživatelských...
	Claude 3.5 Sonnet a Haiku: nová kapitola ve vývoji LLM Neustálý vývoj jazykových modelů přináší nové možnosti, jakým způsobem umělá inteligence ovlivňuje nejen interakci mezi uživateli a počítači, ale práci s daty jako takovou. Společnost Anthropic nyní představuje 2  nové modely –...
	Spotify přidává videa Spotify stále rozšiřuje svou nabídku funkcí, aby uživatelům poskytlo co nejkomplexnější hudební zážitek. Nově se snaží zintenzivnit posluchačský zážitek přidáním videí, díky čemuž mohou uživatelé sledovat videoklipy...