sk

Skenovanie zraniteľností (Vulnerability Scanning) a správa zraniteľností (Vulnerability Management) umožňujú lepšie riadenie bezpečnostných rizík a chránia vaše podnikanie alebo organizáciu. Mali by byť kľúčovou zodpovednosťou každého bezpečnostného IT tímu, prípadne poskytovateľa bezpečnostných služieb. Prinášajú a umožňujú najmä:

  • identifikáciu a zníženie bezpečnostných rizík
  • automatizáciu správy zraniteľností
  • doplnenie uceleného prehľadu o stave bezpečnosti IT infraštruktúry
  • zabezpečenie súladu so štandardmi, legislatívou a internými politikami
  • rozšírenie pohľadu na riadenie rizík integráciou s nástrojmi tretích strán
  • ochranu dobrého mena organizácie

Skenovanie zraniteľností zahŕňa hodnotenie, odporúčaný spôsob nápravy a vytváranie správ/reportov o všetkých objavených zraniteľnostiach, ktoré existujú v systémoch a v infraštruktúre organizácie. Jeden z najúčinnejších spôsobov, ako uvedené dosiahnuť, je prostredníctvom automatizovaného systému na sken známych zraniteľností. 

Skener zraniteľností je aplikácia, ktorá identifikuje a vytvára inventár všetkých aktív (vrátane serverov, počítačov, virtuálnych počítačov, kontajnerov, brán/firewall-ov, sieťových prvkov a tlačiarní) pripojených k sieti. Pre každé zariadenie, ktoré identifikuje sa tiež pokúsi identifikovať operačný systém, ktorý sa na ňom prevádzkuje. V mnohých prípadoch je skener schopný zistiť aj nainštalovaný aplikačný softvér spolu s ďalšími atribútmi, ako sú otvorené porty a používateľské účty.


Pre koho je sken zraniteľností určený?

Organizáciám s akoukoľvek veľkosťou IT infraštruktúry.

Aj prísne zabezpečené siete a systémy môžu obsahovať zraniteľnosti, ktoré v čase implementácie neboli publikované/ známe. Práve mylný dojem „dokonalého“ zabezpečenia infraštruktúry spôsobuje v konečnom dôsledku nemalé finančné straty a častokrát aj poškodenie dobrého mena organizácie. Pravidelným skenovaním IT infraštruktúry sa dá zabrániť ako finančným stratám, tak aj poškodeniu dobrého mena organizácie.


Prečo je potrebné riešiť skenovanie a následnú správu zraniteľností? 

Skenovanie a správa zraniteľností je dôležitou súčasťou pre správne fungovanie bezpečnostného IT tímu, nakoľko umožňuje lepšie riadenie rizík, respektíve im predchádza. Skener identifikuje systémy a časti IT infraštruktúry, na ktoré aplikuje sadu testov. Výsledky z týchto testov odhalia bezpečnostné zraniteľnosti. Takéto informácie je potrebné využiť vo svoj prospech a teda snažiť sa odstrániť nájdené bezpečnostné zraniteľnosti skôr, ako by mohli byť zneužité potenciálnym útočníkom. Odstraňovanie zraniteľností prebieha vo všeobecnosti v štyroch krokoch:

  1. identifikácia zraniteľností
  2. vyhodnotenie rizikovosti zraniteľností (tzv. scoring)
  3. odstránenie zraniteľností
  4. reportovanie nájdených a odstránených zraniteľností

Súlad s bezpečnostnými štandardmi a legislatívou

Zabezpečenie pravidelného skenu zraniteľností je nevyhnutné na zabezpečenie súladu organizácií s požiadavkami najmä nasledovných bezpečnostných štandardov a legislatívy:

  • zabezpečenie súladu s požiadavkami ISO/IEC 27001 a ISO/IEC 20000-1
  • zabezpečenie ochrany infraštruktúry podporujúcej prevádzku základných služieb v zmysle zákona č. 69/2019 Z.z. o kybernetickej bezpečnosti a s nadväzujúcimi vyhláškami
  • zabezpečenie ochrany osobných údajov spracúvaných v informačných systémoch v zmysle nariadenia GDPR, resp. zákona č. 18/2018 Z.z. o ochrane osobných údajov
  • zabezpečenie ochrany informačných systémov a technológií verejnej správy v zmysle požiadaviek zákona č. 95/2019 Z.z. o informačných technológiách vo verejnej správe
  • zabezpečenie ochrany kritickej infraštruktúry v zmysle požiadaviek zákona č. 45/2011 Z.z. o kritickej infraštruktúre

V prípade, že sa o skenovaní zraniteľností chcete dozvedieť viac, kliknite na nasledovný link a my vám obratom pošleme PDF dokument s doplňujúcimi informáciami:

Chcem vedieť viac


Prečo TEMPEST?

Spoločnosť TEMPEST realizovala už viacero skenovaní zraniteľností infraštruktúry zákazníkov a má za sebou viaceré implementácie nástrojov na skenovanie zraniteľností. Medzi pravidelných zákazníkov našej spoločnosti patria inštitúcie z bankového sektora, výroby ale aj verejnej správy.

Spoločnosť TEMPEST má taktiež dlhoročné skúsenosti s vykonávaním penetračných testov, ktoré na základe nástrojov a postupov preveria bezpečnosť infraštruktúry organizácie, informačných systémov alebo web aplikácií. Tieto činnosti sú samozrejme vykonávané v súlade so základnými pravidlami etického hackingu.

V spoločnosti disponujeme špecialistami s dlhoročnými skúsenosťami s vykonávaním skenov zraniteľností a penetračných testov disponujúcimi certifikátmi ako sú CEH-Certified Ethical Hacker, CISSP-Certified Information Systems Security Professional, CRISC-Certified Risk and Information Systems Control a ďalšie. 

Viac o spoločnosti TEMPEST na www.tempest.sk.

copyright © 2013 TEMPEST a.s.
+with love by milk, WEB je postavený na CMS Romboid

Mobilná verzia / Plná verzia