PL EN
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Zobacz nadchodzące webinary:

    Brak wyników

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Testy penetracyjne data center

Jak sprawdzić bezpieczeństwo centrum przetwarzania danych

Udostępnij
Drukuj:
Jednym z elementów audytów bezpieczeństwa IT są testy penetracyjne (pentesty) w firmowym centrum przetwarzania danych (serwerowni). Audytor wciela się w rolę hakera i przeprowadza symulowany atak na systemy informatyczne – z zewnątrz lub z wewnątrz organizacji – w celu sprawdzenia wartości zabezpieczeń. W ramach kompleksowych usług związanych z bezpieczeństwem informacji SNP wykonuje testy penetracyjne dla firm, dla których kwestia zabezpieczenia infrastruktury i danych w systemach jest ważna.
 

Bezpieczeństwo to kwestia honoru

Jednym z najistotniejszych problemów, z jakim spotykają się osoby odpowiedzialne za centra przetwarzania danych (data center) i infrastrukturę informatyczną organizacji, jest zapewnienie bezpieczeństwa systemów informatycznych w nich alokowanych. Bezpieczeństwo można tutaj rozumieć dwojako. Z jednej strony chodzi o zapewnienie dostępności systemu w rozumieniu jak najmniejszej liczby przerw w pracy oraz jak najszybsze udostępnienie i zabezpieczenie przed utratą danych po awarii. Z drugiej bezpieczeństwo to ochrona przed wyciekiem informacji i utratą danych w wyniku niedozwolonych działań w rodzaju włamania do systemów czy sabotażu.

Awarie sprzętu i aplikacji spowodowane przyczynami zależnymi bądź niezależnymi od człowieka zdarzały się, zawsze będą się zdarzać i traktowane są raczej „normalnie”, jako zło konieczne. Jednak kompromitacja organizacji w wyniku udanego ataku na zabezpieczenia infrastruktury informatycznej i znajdujące się w niej systemy zawsze negatywnie odbije się na jej wizerunku. Wynika to między innymi z faktu, że w większości przypadków udane włamanie obnaża słabości nie tylko systemów zabezpieczeń, ale przede wszystkim personelu odpowiedzialnego za prawidłową pracę systemów informatycznych i podważa zaufanie do ich umiejętności, profesjonalizmu, a czasami nawet lojalności.

A zatem z punktu widzenia menedżerów, dyrektorów oraz całego personelu obsługującego infrastrukturę informatyczną oraz centra przetwarzania danych istotne jest upewnienie się, że stosowane zabezpieczenia są wystarczające, że wykorzystywane systemy IDS i IPS są odpowiednio wyskalowane i czułe, że konfiguracja firewalla oraz poszczególnych systemów i aplikacji jest optymalna z punktu widzenia bezpieczeństwa, wydajności i dostępności.

Jak i co testować?

Jedną z form kontroli poziomu zabezpieczeń jest przeprowadzenie testów penetracyjnych (pentstów). Polegają one na symulowaniu, a także przeprowadzaniu różnego rodzaju ataków na systemy oraz personel centrum przetwarzania danych. Ponieważ są to rzeczywiste ataki, mogą stanowić zagrożenie dla dostępności systemów. Dlatego w przypadku systemów produktywnych należy przeprowadzać je po odpowiednim przygotowaniu, na przykład zabezpieczając się uprzednio kopią bezpieczeństwa, oraz wykonywać testy w zaplanowanym uprzednio oknie serwisowym, w którym nie pracują użytkownicy systemu.

Testy penetracyjne powinny być przeprowadzane metodycznie, z uwzględnieniem celów, jakie organizacja chce dzięki nim osiągnąć, według ustalonego zakresu oraz harmonogramu. Jest to o tyle ważne, że wykonując je zgodnie z ustaloną metodyką, na początku określamy, co ma być przetestowane i jakie cele chcemy osiągnąć, a także eliminujemy te elementy, których przetestowanie w żaden sposób nie wpłynie na bezpieczeństwo systemów informatycznych wykorzystywanych w organizacji.

Najlepszym sposobem na opisanie schematu postępowania jest przegląd rzeczywistego przypadku. Oprzyjmy się więc na przykładzie firmy BillBird, w której SNP przeprowadziło testy penetracyjne infrastruktury sieciowej oraz aplikacji wykorzystywanej w działalności biznesowej organizacji. Testy penetracyjne były częścią większego projektu wdrożenia systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001. W pierwszej kolejności nastąpiła faza przygotowania do testów, w której określono:

  • rodzaj testów – zdecydowano się na dwa rodzaje testów przeprowadzanych z zewnątrz organizacji (z Internetu) – wybrano formułę „black box”, dla testów z wewnątrz organizacji (czyli ogólnie mówiąc z sieci LAN) wybrano formułę „gray box”;
  • zakres adresacji IP – między innymi wskazano adresy, które są krytyczne dla funkcjonowania organizacji, na których bezpieczeństwie firmie szczególnie zależy, oraz adresy, które odpowiadają systemom produktywnym i ich niedostępność może spowodować przerwanie działalności biznesowej, co oznaczało, że w tym zakresie testy należy wykonywać ze szczególną ostrożnością;
  • aplikacje WWW – z wskazaniami podobnymi jak przy wyborze adresacji IP;
  • tryb testów stacji roboczych użytkowników oraz sieci bezprzewodowej;
  • sposób testowania systemu IDS;
  • czy mają być przeprowadzane testy socjotechniczne;
  • harmonogram testów;
  • cel testów, którym było określenie stopnia bezpieczeństwa infrastruktury informatycznej organizacji oraz wybranych aplikacji.

Ataki z zewnątrz i z wewnątrz

W kolejnej fazie zaczęto przeprowadzać testy zgodnie z ustalonym harmonogramem. Najpierw z sieci Internet w formule „black box”. Dla bezpieczeństwa były one wykonywane w dni wolne od pracy. W tym samym czasie administratorzy BillBird monitorowali reakcje systemów obronnych organizacji (między innymi firewalla i systemu IDS). W ramach zbierania informacji o organizacji wykonano między innymi takie operacje jak przeszukanie Internetu pod kątem dostępnych informacji o firmie (nie tylko na temat organizacji i osób, ale także sieci) oraz „klasyczne” skanowanie portów TCP/UDP.

Zidentyfikowano w ten sposób hosty, wobec których można przeprowadzić ataki oraz próby penetracji. Takie próby wykonano w kolejnym kroku, wraz z testami aplikacji internetowych. Do tego celu zastosowano techniki takie jak: wykorzystanie tzw. eksplojtów, ataki typu DoS (denial of service), SQL Injection, XSS, PHP File Inclusion itd.

Po testach z Internetu w następnej kolejności wykonano testy z wewnętrznej sieci LAN, testy stacji roboczych oraz sieci bezprzewodowej. W tym celu zastosowano między innymi techniki słownikowe czy tzw. fake access point. Podczas testów systemy były cały czas kontrolowane przez administratorów BillBird pod kątem ich dostępności oraz integralności w celu zapobieżenia sytuacji, w której operacje biznesowe nie mogłyby być wykonywane.

Testy bezpieczeństwa systemów IT
Black Box –
osoby testujące nie posiadają wiedzy lub posiadają minimalną wiedzę na temat atakowanego celu. Testy te są najbardziej zbliżone do rzeczywistych zagrożeń, jednak wiążą się ze znacznie dłuższym czasem trwania testów.
Cristal Box – osoby testujące mają bardzo szczegółową wiedzę na temat systemu; testy są wówczas bardziej symulacją, jednak pozwalają dokładnie sprawdzić dany element, co znacznie oszczędza czas.
Gray Box – jest to połączenie dwóch powyższych rodzajów testów, osoby testujące otrzymują pewną ograniczoną liczbę informacji.

Rekomendacje i wnioski

Wszystkie czynności, które przeprowadzono, oraz uzyskane podczas testów rezultaty były rejestrowane w celu ich późniejszej analizy. Były one podstawą rekomendacji zawartych w raporcie końcowym, w którym oprócz wniosków znalazły się również opisy wszystkich przeprowadzonych podczas testów operacji oraz ich wyniki. Raport zostały przedstawiony w postaci prezentacji na specjalnym spotkaniu konsultantów SNP z zespołem BillBird odpowiedzialnym za bezpieczeństwo systemów informatycznych. Omówiono na nim zarówno wykonywane działania i ich wyniki (zidentyfikowano między innymi wszystkie tak zwane false positives), jak i przede wszystkim rekomendacje i wnioski.

Podstawową zaletą testów penetracyjnych jest to, że są wykonywane na „żywym organizmie”. Pomimo tego, że w nazwie działań jest słowo „test”, to w zasadzie jedyną różnicą pomiędzy prawdziwym atakiem a tym wykonywanym w ramach testów penetracyjnych jest to, że w tym drugim wypadku wszystko odbywa się w sposób kontrolowany. Dlatego pentesty są jedną z najwartościowszych metod badania stanu bezpieczeństwa nie tylko infrastruktury informatycznej oraz aplikacji, ale również poprzez przeprowadzanie testów socjotechnicznych stanu bezpieczeństwa i poziomu świadomości organizacji, a także ludzi w niej pracujących.

Audyt bezpieczeństwa IT w Lurgi
W sierpniu 2011 r. konsultanci SNP Poland (do 2017 r. BCC) przeprowadzili audyt bezpieczeństwa systemu do transferu danych w firmie Lurgi świadczącej usługi dla podmiotów z sektora paliwowego. Celem audytu było zbadanie stanu bezpieczeństwa systemu wykorzystywanego do transferu danych pomiędzy Lurgi a klientami spółki.
Zakres audytu obejmował przeprowadzenie testów penetracyjnych na poziomie aplikacji oraz zbadanie wykorzystywanej przez nią infrastruktury. Testy zostały przeprowadzone poprzez dokonanie ataków na system klienta. Atak z zewnątrz został zrealizowany bez wiedzy konsultantów SNP o charakterystyce systemu klienta oraz braku przyznanego konta w systemie (Black Box). Druga część testów penetracyjnych polegała na dokonaniu ataku z wewnątrz systemu. W tym przypadku konsultanci SNP posiadali udostępnione przez administratora Lurgi konto w badanym systemie.
Audyt bezpieczeństwa infrastruktury polegał na zdiagnozowaniu struktury sieciowej, analizie funkcjonowania data center, procedur bezpieczeństwa oraz planów ciągłości działania.
Efektem pracy konsultantów SNP był raport przedstawiający stan bezpieczeństwa używanego w Lurgi SA systemu wraz z rekomendacjami wprowadzenia działań zmierzających do zwiększenia jego bezpieczeństwa.

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:
#}

Formularz kontaktowy





    1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
    2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
    3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
    4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
    5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
    6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
    7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

    Napisz maila lub zadzwoń

    E-mail: office.pl@snpgroup.com
    Tel. 61 827 7000

    SNP Poland Sp. z o.o.

    Centrala:
    Złotniki, ul. Krzemowa 1
    62-002 Suchy Las k. Poznania

    Skontaktuj się z nami

    W czym możemy pomóc?
    Napisz do nas
    Wyślij email
    Zadzwoń





      1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
      2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
      3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
      4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
      5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
      6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
      7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

      Kontakt ogólny do firmy
      office.pl@snpgroup.com

      Pytania o produkty i usługi
      info.pl@snpgroup.com

      Pytania na temat pracy i staży
      kariera@snpgroup.com

      61 827 70 00

      Biuro jest czynne
      od poniedziałku do piątku
      w godz. 8:00 – 17:00