Red team, blue team i purple team - razlike
Red team, blue team i purple team: objašnjavamo razlike, uloge i kako odabrati pravi pristup za sigurnost vaše firme u B
Pročitaj
Sigurnosni audit je sustavna i dokumentirana procjena informacijskog okruženja organizacije kojom se utvrđuje koliko su sustavi, procesi i ljudi zaštićeni od kibernetičkih prijetnji. Cilj je otkriti ranjivosti, pogrešne konfiguracije i propuste u procesima prije nego ih iskoristi napadač te dati konkretne, prioritizirane preporuke za otklanjanje. Audit obično teče kroz pet faza: opseg i dogovor, prikupljanje podataka, tehnička i procesna analiza, izvještavanje s preporukama te ponovna provjera nakon popravaka.
Naše rješenje
Penetracijsko testiranje - otkrivamo ranjivosti prije hakera. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
U nastavku objašnjavamo što sigurnosni audit zaista obuhvaća, čime se razlikuje od penetracijskog testa, kako izgleda svaka faza i na što treba paziti pri odabiru pružatelja usluge. Tekst je namijenjen vlasnicima i IT odgovornim osobama u firmama i preduzećima u BiH i regiji koje žele realnu sliku svoje sigurnosti, a ne samo papir za usklađenost.
Što je sigurnosni audit i zašto je važan
Sigurnosni audit je strukturirani pregled stanja sigurnosti organizacije u određenom trenutku. Za razliku od dojma da je "sve u redu jer se ništa nije dogodilo", audit daje provjerljive dokaze: gdje su slabe točke, koliko su ozbiljne i kojim redoslijedom ih treba rješavati. Procjena obuhvaća tri područja koja se često gledaju odvojeno, a zapravo su povezana:
- Tehnologija: serveri, mreža, radne stanice, aplikacije, cloud okruženja, sigurnosne kopije i konfiguracije.
- Procesi: politike pristupa, upravljanje zakrpama, postupci u slučaju incidenta, upravljanje korisničkim računima i dobavljačima.
- Ljudi: svijest zaposlenika o phishingu, dodjela ovlasti i ponašanje koje može zaobići i najbolju tehničku zaštitu.
Vrijednost sigurnosnog audita nije u tome da "prođe" ili "padne", nego da menadžmentu da jasnu listu rizika izraženu jezikom koji se može povezati s poslovnim posljedicama. Mala firma u Mostaru i preduzeće s nekoliko desetaka zaposlenih neće imati iste prijetnje, ali oba imaju koristi od toga da znaju gdje su najizloženiji.
Sigurnosni audit nije isto što i penetracijski test
Pojmovi se često miješaju, ali to nisu iste stvari. Sigurnosni audit ima širi opseg i gleda i tehniku i procese i usklađenost, dok je penetracijski test fokusiran, kontrolirani pokušaj iskorištavanja ranjivosti kako bi se dokazao stvarni utjecaj. Audit odgovara na pitanje "jesmo li dobro organizirani i konfigurirani", a pentest na pitanje "može li netko ovo zaista probiti i dokle bi došao".
| Kriterij | Sigurnosni audit | Penetracijski test |
|---|---|---|
| Opseg | Širok: tehnika, procesi, usklađenost | Uzak: konkretni sustavi ili aplikacije |
| Cilj | Procjena cjelokupnog stanja sigurnosti | Dokazivanje stvarne iskoristivosti ranjivosti |
| Metoda | Pregled, analiza, intervjui, skeniranje | Aktivno iskorištavanje (simulirani napad) |
| Rezultat | Mapa rizika i preporuka | Dokaz proboja i lanac napada |
U praksi se dvije usluge nadopunjuju. Mnoge organizacije prvo naprave audit da poslože osnovu, a zatim penetracijski test da provjere otpornost na ciljani napad. Ako niste sigurni što vam treba prvo, kratki upitnik za procjenu pomaže da se odredi pravi opseg.
Kako teče sigurnosni audit: faze korak po korak
Iako se detalji razlikuju ovisno o veličini i djelatnosti organizacije, ozbiljan sigurnosni audit gotovo uvijek prolazi kroz pet faza. Razumijevanje tih faza pomaže da znate što očekivati i kako se pripremiti.
1. Definiranje opsega i dogovor
Sve počinje dogovorom o tome što se točno procjenjuje. Definira se koji su sustavi, lokacije i procesi unutar opsega, a koji nisu. Ovdje se utvrđuju i pravila angažmana: dopušteni termini provjera, kontakt osobe, ograničenja i način postupanja ako se tijekom audita pronađe aktivni incident. Jasan opseg sprječava nesporazume i čini rezultat usporedivim kroz vrijeme.
U ovoj fazi se obično potpisuje i ugovor o povjerljivosti, jer auditor dobiva uvid u osjetljive informacije o infrastrukturi. Za firme koje rade prema regulatornim zahtjevima ili pripremaju ISO 27001, opseg se usklađuje s tim okvirom.
2. Prikupljanje informacija
U drugoj fazi auditor prikuplja dokumentaciju i tehničke podatke: mrežne dijagrame, popis sustava i aplikacija, politike, pravila vatrozida, popis korisničkih računa i dobavljača. Kombiniraju se intervjui s IT osobljem i pasivno mapiranje okruženja kako bi se dobila stvarna, a ne samo deklarirana slika sustava. Često se već ovdje pokaže razlika između onoga što organizacija misli da ima i onoga što zaista postoji u mreži.
3. Tehnička i procesna analiza
Ovo je jezgra audita. Provodi se kombinacija automatiziranog skeniranja ranjivosti i ručne provjere koju alati ne mogu obaviti. Tipično se analizira:
- Konfiguracija servera, mrežnih uređaja i krajnjih točaka.
- Upravljanje zakrpama i zastarjeli softver s poznatim ranjivostima.
- Politike lozinki, višefaktorska autentikacija i prava pristupa.
- Segmentacija mreže i izloženost servisa prema internetu.
- Sigurnosne kopije i sposobnost oporavka nakon ransomwarea.
- Logiranje, nadzor i sposobnost otkrivanja sumnjivih aktivnosti.
Ručna komponenta je presudna jer automatski alati daju mnogo lažno pozitivnih nalaza i ne razumiju poslovni kontekst. Iskusan auditor odvaja teoretske od stvarno iskoristivih rizika i procjenjuje koliko je svaki ozbiljan u konkretnom okruženju.
4. Izvještavanje i preporuke
Nalazi se objedinjuju u izvještaj koji je koristan i menadžmentu i tehničarima. Dobar izvještaj ima sažetak za upravu napisan bez žargona te tehnički dio s detaljima i koracima za otklanjanje. Nalazi se prioritiziraju, najčešće prema kombinaciji vjerojatnosti iskorištavanja i potencijalne štete, tako da organizacija zna što popraviti prvo, a što može pričekati.
Kvalitetan izvještaj ne nabraja samo probleme nego daje provedive preporuke: konkretne korake, a ne općenite fraze poput "poboljšajte sigurnost". To je razlika između papira koji završi u ladici i dokumenta koji stvarno smanjuje rizik.
5. Ponovna provjera nakon otklanjanja
Audit nije gotov predajom izvještaja. Nakon što organizacija otkloni nalaze, radi se ponovna provjera (retest) kako bi se potvrdilo da su popravci stvarno učinkoviti i da nisu uveli nove probleme. Tek tada je krug zatvoren. Sigurnost je proces, pa mnoge firme audit ponavljaju periodično ili nakon većih promjena u infrastrukturi.
Najčešći nalazi u praksi
Iako je svako okruženje drugačije, određeni se problemi ponavljaju kod velikog broja firmi i preduzeća, neovisno o djelatnosti. Poznavanje tih obrazaca pomaže da unaprijed otklonite najčešće rizike i prije nego što audit počne:
- Zastarjeli sustavi bez zakrpa: serveri i aplikacije s poznatim ranjivostima za koje već postoje javno dostupni eksploiti.
- Pretjerane ovlasti: korisnici i servisni računi s više prava nego što im je potrebno za posao, što napadaču olakšava širenje kroz mrežu.
- Slabe ili ponovljene lozinke bez višefaktorske autentikacije, posebno na pristupima izloženim prema internetu.
- Nesigurne sigurnosne kopije: kopije koje nisu izolirane od glavne mreže i koje ransomware može šifrirati zajedno s produkcijom.
- Nedostatak nadzora i logiranja: okruženja u kojima napad može proći neopaženo jer nitko ne prati događaje.
- Pogrešne cloud konfiguracije: javno izloženi spremnici podataka ili servisi koji su slučajno otvoreni prema svima.
Većina ovih nalaza nije rezultat skupih propusta nego nedostatka vremena i jasnog vlasništva nad sigurnošću. Upravo zato audit ima vrijednost: pretvara nejasan osjećaj rizika u konkretan popis zadataka s prioritetima.
Koliko često raditi sigurnosni audit
Ne postoji jedan ispravan interval za sve, ali postoji nekoliko razumnih smjernica. Većini srednjih organizacija odgovara godišnji sigurnosni audit kao osnovni ritam, uz dodatne provjere kad se dogodi nešto značajno. Audit treba razmotriti i izvan rasporeda u sljedećim situacijama:
- Nakon veće promjene infrastrukture, migracije u cloud ili uvođenja nove ključne aplikacije.
- Nakon sigurnosnog incidenta ili sumnje na proboj.
- Kad to traži klijent, partner ili regulatorni zahtjev.
- U sklopu pripreme za certifikaciju poput ISO 27001.
Za organizacije s ograničenim internim kapacitetima, kontinuirani nadzor kroz uslugu tipa upravljanog otkrivanja i odgovora dobro nadopunjuje periodični audit, jer popunjava prazninu između dvije procjene.
Kako odabrati pružatelja i pripremiti se
Kvaliteta audita ovisi o iskustvu tima koji ga provodi. Pri odabiru obratite pažnju na nekoliko stvari: traži li pružatelj jasan opseg, daje li uzorak izvještaja, kombinira li automatske alate s ručnom analizom i nudi li ponovnu provjeru nakon popravaka. Izvještaj koji je samo izvoz iz skenera bez ljudske procjene rizika ima ograničenu vrijednost.
Priprema s vaše strane skraćuje audit i čini ga preciznijim. Pripremite ažuran popis sustava i kontakata, osigurajte pristupe potrebne za provjeru i odredite jednu osobu koja koordinira komunikaciju. Što je slika okruženja jasnija na početku, to su nalazi relevantniji na kraju.
Što utječe na opseg i cijenu
Cijena sigurnosnog audita nije fiksna jer ovisi o tome koliko je okruženje veliko i složeno. Na konačni opseg, a time i trošak, najviše utječu sljedeći faktori:
- Broj sustava, lokacija i korisnika koji ulaze u procjenu.
- Korištenje cloud usluga i broj različitih platformi.
- Postojanje vlastitih ili specifičnih aplikacija koje treba dublje analizirati.
- Regulatorni zahtjevi ili priprema za certifikaciju koja proširuje opseg provjere.
- Želi li organizacija samo jednokratnu procjenu ili periodičnu suradnju s ponovnim provjerama.
Korisno je razmišljati o auditu kao o ulaganju koje smanjuje vjerojatnost i cijenu incidenta. Trošak procjene gotovo je uvijek manji od troška jednog ozbiljnog proboja, koji uz tehničku štetu nosi i zastoj u radu te gubitak povjerenja klijenata. Zbog toga sve više firmi u regiji audit tretira kao redovan dio poslovanja, a ne kao jednokratni izdatak.
Ako razmišljate o procjeni za svoju firmu u BiH ili regiji, najbolje je krenuti od kratkog razgovora o opsegu i ciljevima. Slobodno nas kontaktirajte kako bismo zajedno definirali što vam zaista treba i koji oblik provjere ima najviše smisla za vašu situaciju.
Često postavljana pitanja
Koliko traje sigurnosni audit?
Trajanje ovisi o opsegu i veličini okruženja. Za manju firmu audit može trajati nekoliko radnih dana, dok kod složenijih organizacija s više lokacija, aplikacija i cloud okruženja traje nekoliko sedmica. Realan vremenski okvir se utvrđuje tek nakon definiranja opsega.
Hoće li sigurnosni audit ometati rad firme?
Najveći dio audita je nenametljiv jer se temelji na pregledu konfiguracija, dokumentacije i pasivnom skeniranju. Aktivnosti koje bi teoretski mogle utjecati na rad dogovaraju se unaprijed i izvode u terminima koji najmanje smetaju poslovanju. Cilj je dobiti uvid bez prekida rada.
Trebamo li sigurnosni audit ako koristimo cloud usluge?
Da. Korištenje clouda ne znači da je sigurnost potpuno prebačena na pružatelja usluge. Po modelu podijeljene odgovornosti, konfiguracija pristupa, prava korisnika, podaci i mnoge postavke i dalje su vaša odgovornost, a upravo su pogrešne cloud konfiguracije čest uzrok proboja.
Koja je razlika između audita i kontinuiranog nadzora?
Sigurnosni audit je dubinska procjena stanja u određenom trenutku, dok kontinuirani nadzor (SOC ili MDR) prati okruženje u realnom vremenu i reagira na prijetnje između audita. Najbolji rezultat daje kombinacija: periodični audit za dubinu i nadzor za stalnu pokrivenost.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Black box, white box i grey box testiranje - razlike · Penetration testing vs skeniranje ranjivosti - što odabrati
