Audyt strony internetowej

Czym jest audyt bezpieczeństwa strony internetowej i dlaczego należy go przeprowadzać?

Audyt bezpieczeństwa strony internetowej mający na celu sprawdzenie, czy istnieją luki bezpieczeństwa – to zbiór działań mających na celu znalezienie wad i/lub błędów w kodzie witryny oraz oprogramowaniu serwera, które umożliwiają przeprowadzenie ataku. Skutkiem pomyślnego ataku jest włamanie na stronę. To z kolei prowadzi do przyjęcia zasobu. Musimy więc zadbać o bezpieczeństwo witryny, portalu, a w szczególności e-sklepu!

Popatrzmy na statystykę: około 70% serwisów internetowych jest słabo zabezpieczonych, 20% ma sporo słabych punktów. Możemy więc wnioskować, że o bezpieczeństwo nie dba się należycie. Dlatego trzeba sprawdzać podatność strony internetowej na ataki hakerskie.

Bezpieczeństwo IT
Certyfikaty i audyty

Należy zaznaczyć, że audyty techniczne są dość efektywnym sposobem sprawdzenia i utrzymania właściwego poziomu bezpieczeństwa (oczywiście jeżeli są rzetelnie i fachowo przeprowadzane, z uwzględnieniem specyfiki organizacji).
Dość często firmy rezygnują z audytu bezpieczeństwa aplikacji webowych, stron internetowych i portali. Jest to przede wszystkim związane z potrzebą obniżenia kosztów nieprodukcyjnych. Jednak przy takim oszczędzaniu można stracić więcej (pieniędzy, klientów itp.). Audyt pozwala zwiększyć poziom bezpieczeństwa waszych stron internetowych oraz aplikacji webowych. Każdy, kto chce sprawdzić poziom oraz skuteczność zabezpieczeń stosowanych na stronie internetowej oraz czy są jakikolwiek podatności, które mogą zagrażać bezpieczeństwu, może skorzystać z tej usługi

Audyt bezpieczeństwa strony internetowej, portalu, web-aplikacji polega na:

  • poszukiwaniu potencjalnie słabych miejsc
  • PHP- iniekcji
  • SQL- iniekcji
  • poszukiwaniu shell scriptów, backdoorów, rootkitów
  • instalacji patchy
  • analizie bezpieczeństwa CMS
  • sprawdzeniu form rejestracji, on-line form e-sklepów
  • poszukiwaniu błędów, wad/uchybień/nieścisłości strony internetowej
  • przeprowadzeniu próby zhakowania strony internetowej innymi metodami i przeanalizowaniu efektów.
  • analizie ustawień serwera
  • szczegółowym raportowaniu o znalezionych problemach
  • konsultacjach i rekomendacjach

Bezpieczeństwo IT
Szkolenia

Korzyści z przeprowadzenia audytu bezpieczeństwa strony internetowej – witryna jest poddawana testom, podczas których sprawdzana jest jej odporność na różne zagrożenia oraz  włamania różnymi technikami W przypadku, gdy strona oparta jest na systemie CMS (tj. NetCat, WordPress, Joomla, Drupal itp.) dodatkowo sprawdza się podatność na zakażenie.

Przed wykonaniem prac audytowych nie warto martwić się dodatkowym nakładem pracy, na przykład redagowaniem konfiguracji serwera czy przekazaniem dostępów i/lub kodów źródłowych. Głównym celem jest wyznaczenie realnego poziomu bezpieczeństwa oraz skuteczności stosowanych środków ochrony strony internetowej.

Pamiętajcie, że bezpieczeństwo informacji można zapewnić dzięki regularnym audytom.  Coraz częściej w branżowych normach międzynarodowych dot. bezpieczeństwa informacji pojawia się wymaganie przeprowadzania audytów technicznych – ISO/IEC 27001, NIST, CoBIT itd. – a nacisk kładziony na te kwestie będzie coraz większy.

Norma ISO/IEC 27001,  wymaga zarówno zarządzania podatnościami technicznymi jak i wykonywania przeglądu zgodności technicznej; norma bezpieczeństwa ochrony danych kart płatniczych PCI DSS mówi o konieczności wykonywania testów penetracyjnych  2 razy do roku (zmiana wprowadzona w maju 2016r. – wersja 3.2.) oraz przy dowolnych znaczących zmianach lub aktualizacjach aplikacji i/lub infrastruktury.

I pamiętajcie o dokumentowaniu audytów technicznych, nie tylko by potwierdzić ich przeprowadzenie, ale również w celu doskonalenia systemu zarządzania bezpieczeństwem informacji (SZBI).

Autor: Maryna Kuczyńska (1126)

Scroll to Top