Vyhledejte zranitelnosti vašich systémů, abyste předešli bezpečnostním incidentům.
Co je vulnerability assessment?
Posouzení zranitelnosti je systematický průzkum bezpečnostních slabin informačního systému. Vyhodnocuje, zda je systém náchylný ke známým zranitelnostem, přiřadí jim stupně závažnosti a doporučí nápravná opatření dle priority zranitelnosti nebo navrhne jejich zmírnění, je-li to nutné.
Mezi příklady hrozeb, kterým lze předcházet posouzením zranitelností, patří např:
- SQL injection, XSS a další útoky typu code injection.
- Eskalace oprávnění (získání zvýšeného přístupu k prostředkům, které by měly být před aplikací či uživatelem chráněny) v důsledku chybného návrhu aplikace nebo chybných ověřovacích mechanismů.
- Nezabezpečené výchozí nastavení - software dodávaný s nezabezpečeným nastavením, například s výchozím heslem správce.
Mezi nejčastější oblasti hodnocení zranitelností patří:
- Posouzení serverů - Posouzení kritických serverů, které mohou být zranitelné vůči útokům, pokud nejsou dostatečně otestovány nebo nejsou vytvořeny z otestovaného obrazu stroje.
- Posouzení sítě a bezdrátového připojení - Posouzení zásad a postupů, které mají zabránit neoprávněnému přístupu do soukromých nebo veřejných sítí a k prostředkům dostupným v síti.
- Posouzení databází - Posouzení databází nebo systémů pro zpracování velkých objemů dat z hlediska zranitelnosti a chybné konfigurace, identifikace podvodných databází nebo nezabezpečených vývojových/testovacích prostředí a klasifikace citlivých dat v infrastruktuře organizace.
- Skenování aplikací - Identifikace bezpečnostních zranitelností webových aplikací a jejich zdrojového kódu pomocí automatizovaného skenování na front-endu nebo statické/dynamické analýzy zdrojového kódu.
Co nabízí ESET Vulnerability Assessment?
ESET Vulnerability Assessment (EVA) je internetová služba, která vyhledává zranitelnosti systémů, zařízení a aplikací přístupných z Internetu. EVA používá neinvazivní techniky, které neohrožují chod ani provoz systémů. Testování je možné vykonávat jednorázově nebo periodicky. Výsledkem testu je zpráva o stavu zranitelnosti, která obsahuje popis jednotlivých zjištění, ohodnocení závažnosti a návody na odstranění bezpečnostních chyb. Vyhledávání a správa zranitelností je důležitá součást řízení informační bezpečnosti a výstupy se využívají při dalších činnostech, jako jsou analýza rizik, zjišťování efektivity IT procesů a bezpečnostní audit.
Další charakteristiky
- Služba typu security vulnerability assessment dokáže detekovat desítky tisíc zranitelností.
- Služba ESET Vulnerability Assessment testuje služby na nejrůznějších zařízeních, jako jsou firewally, VPN koncentrátory, modemy, routery, mail servery a forwardery, vzdálené terminálové přístupy (RDP, VNC, Citrix), servery DNS a cache, webové servery, FTP servery, souborové servery, databáze, ústředny VoIP, telefony, brány a videokonferenční zařízení.
- Umožňuje provedení jednorázového testu při změnách na testovaných zařízeních.
- Výstupem služby je popis zranitelnosti, hodnocení závažnosti a odkazy na zdroje, případně i návrh opatření.