Zunanji varnostni pregled vključuje pregled vseh strežnikov, servisov in aplikacij, ki so vidne z Internet omrežja in se nahajajo na naslovu IP, ki je javno deklariran, da pripada naročniku. Pregled vam poda informacije o:

• polnem inventarju strežnikov, servisov in aplikacij, ki so vidni iz Internet omrežja,
• tehničnih podatkih, ki so znotraj teh servisov in aplikacij vidni zunanjim uporabnikom,
• povzetku varnostne ocene ter rezultatih preizkusov zlorab varnostnih pomanjkljivosti,
• pregledu zaznanih in potrjenih varnostnih pomanjkljivostih, vključno s podrobnejšim opisom, navedbo možnih posledic zlorab ter priporočili/navodili za odpravo.

Zunanji varnostni pregled se ne nanaša na aplikacije in servise, ki jih imate v gostovanju pri tretjih osebah (primer je spletna stran naročnika, če je le-ta gostuje pri ponudniku tovrstnih storitev).

Prav tako ne vključuje nujno vseh ročnih metod, ki se uporabljajo za podrobnejše odkrivanje pomanjkljivosti na raznih spletnih ali specifičnih aplikacijah. Praviloma se storitev omejuje na pomanjkljivosti, ki so zaznane z uporabo različnih orodij. Ročni del je nato namenjen potrjevanju teh pomanjkljivosti in ne toliko odkrivanju novih/dodatnih.

Zunanji varnostni pregled ne vključuje pregledov dokumentacij, nastavitev varnostnih sistemov ter izvorne kode različnih aplikacij. Vse te aktivnosti so vključene v druge tipe varnostnih preverjanj.

Tudi ne vključuje t. i. preverjanja napadov DOS (pomanjkljivosti, ki predstavljajo zmožnost napadalca za prekinitev delovanja servisa).

Poleg tega, da je usmerjeno zgolj v tiste dele sistema, ki so vidni oz. dostopni z Internet omrežja, so razlike tudi v pristopu in metodologiji.

Testiranje sloni na uporabi različnih orodij, kar je pomembno za primerjavo rezultatov. Kot tudi za minimiziranje napačno zaznanih pomanjkljivosti (t. i. false-positive) ter minimiziranje možnosti, da se določena pomanjkljivost spregleda (t. i. false-negative).

Ročno delo se uporablja predvsem za dodatno preverjanje zaznanih ranljivosti in ne toliko za odkrivanje novih.

Ker storitev torej sloni na uporabi orodij, je zato usmerjena v zaznavanje ranljivosti, ki izhajajo iz verzij operacijskih sistemov oz. servisov ter nastavitev, ki neposredno vplivajo na delovanje servisov. Specifične pomanjkljivosti, ki so unikatne za naročnika, se praviloma preko tovrstnih pregledov ne preverja.

Vedno je potrebno strmeti k temu, da se zaznane varnostne pomanjkljivosti potrdijo. Način ugotavljanja pomanjkljivosti sloni na dveh principih:

• Med izvedbo se poizkuša ugotoviti verzija operacijskega sistema oz. verzija servisa. Ko je ta podatek znan, so hkrati znane tudi vse možne pomanjkljivosti na sistemu. Vendar lahko tu pride do dejanskih ali posrednih lažnih pomanjkljivosti (t. i. false-positive). Strežniki in servisi, ki so dostopni z Internet omrežja, so praviloma dobro zaščiteni in posledično ni možno vedno natančno ugotoviti verzijo programske opreme. Včasih je ta podatek zgolj delno ugotovljiv, ali pa celo napačen, zaradi česar obstaja verjetnost, da so ugotovljene pomanjkljivosti v resnici lažne.
• Dodaten princip ugotavljanja pomanjkljivosti je z dejanskim preizkusom odzivov aplikacij in servisov. Vendar ti odzivi praviloma iščejo simptome pomanjkljivosti in ne preverjajo neposredno pomanjkljivosti.

Torej je za natančen pregled dejanskih pomanjkljivosti potrebno zaznane pomanjkljivosti vedno preveriti. S tem se izognemo nepotrebnim alarmom in poročilo postane verodostojno.

Dejanska možnost zlorabe posameznih pomanjkljivosti se vedno preverja ročno, saj je velikokrat potrebno pri preizkusu zlorabe uporabiti določen specifičen parameter ali pa je potrebno preizkus zlorabe izvesti na različne načine.

Podrobno pisno poročilo, sestavljeno iz dveh delov, ki vam ga predstavimo v obliki delavnice:

• Vodstveno poročilo
  Je strnjen pregled za vodstvo z osnovnimi informacijami o stanju kibernetske varnosti.
• Tehnično poročilo
  Podrobno opredeljuje nabor zaznanih ranljivosti, z opisom, oceno posledic in možnosti zlorab ter pregledom realnih scenarijev zlorab in priporočila za odpravo.

Kadarkoli. Javni servisi so napadalcem stalno na voljo, zato je nevarnost za zlorabo nenehna.

‘Izgovori’ oz. razlogi za neizvedbo, ki jih pogosto slišimo, a so za zagotavljanje varnost zelo nevarni, so naslednji:

• V naslednjem letu načrtujemo prenovo požarne pregrade, tako da je najbolje da pregled izvedemo takrat. Kaj pa je z varnostjo do takrat?
• Nič takšnega nimamo v Internet omrežju. Spletna stran je v gostovanju. Kot podjetje smo bolj nezanimivi za napadalce. Torej je pregled nepotreben. Ni res! Velikokrat je v Internet omrežju vidno bistveno več kot se naročnik zaveda. Prav tako velja, da nikoli nisi nezanimiv za napadalce. Napadalci lahko na primer izkoristijo vašo pomanjkljivost za nadaljnji napad na večje sisteme.
• Pred leti smo izvedli pregled, pa ni pokazal nič posebnega. Od takrat nismo nič spreminjali, tako da smo verjetno še vedno varni. Ne drži! Napadalci vedno znova in znova odkrivajo nove načine zlorab.

Splošno mišljenje je, da se pregled izvaja ob spremembah okolja. Vendar to ni nujno ustrezno. Četudi v sistemu nič ne spreminjamo, se lahko zmožnost zlorab povečuje. Napadalci odkrivajo nove napade na spletne aplikacije in če je bilo ‘včeraj’ nekaj varno, ni nujno, da je temu tako tudi danes.

V resnici velja ravno obratno. Če v sistemu niste ‘nič spreminjali’ in to pomeni, da v zadnjem obdobju niste vpeljali novih popravkov ter nadgradenj operacijskih sistemov in strežnikov, je potreba po tovrstnem pregledu še toliko bolj nujna.