Zpět na blog
13. dubna 2026

Odstraňte slepá místa v zabezpečení cloudu pomocí Penetration Testing

Většina lidí si myslí, že přechod do cloudu automaticky zajistí jejich bezpečnost. Panuje obecná víra, že protože Amazon, Microsoft nebo Google spravují fyzické servery a hypervisory, je "bezpečnostní část" v podstatě vyřešena. Ale realita je taková: poskytovatel cloudu zabezpečuje cloud, ale vy jste stále zodpovědní za zabezpečení všeho, co do cloudu vkládáte.

Říká se tomu Model sdílené odpovědnosti a právě zde většina společností klopýtne. Nechají otevřený bucket, nesprávně nakonfigurují oprávnění S3 nebo zapomenou opravit virtuální stroj a najednou mají obrovské slepé místo. Slepé místo není jen chybějící nastavení; je to mezera ve viditelnosti, o které nevíte, že existuje, dokud ji nenajde někdo jiný – obvykle někdo, kdo není pozván.

Proto už Penetration Testing (neboli pentesting) není jen "nice to have" pro roční audit. Pokud provozujete moderní digitální podnikání, pravděpodobně se zabýváte kombinací kontejnerů, serverless funkcí a legacy API. Plocha útoku je obrovská. Nemůžete jen spustit vulnerability scanner a považovat to za hotové. Scannery nacházejí známé díry; penteři nacházejí cesty dovnitř.

V této příručce si povíme, jak skutečně najít tato slepá místa, proč automatizované nástroje nestačí a jak vytvořit testovací kadenci, která udrží vaši infrastrukturu pevnou, aniž by zpomalila vaše vývojáře.

Anatomie slepého místa v cloudové bezpečnosti

Než se ponoříme do řešení, musíme pochopit, s čím vlastně bojujeme. "Slepé místo" v cloudové bezpečnosti je v podstatě zranitelnost, která zůstane nezjištěna vašimi současnými monitorovacími a bezpečnostními nástroji.

Proč se to děje? Protože cloudová prostředí jsou dynamická. Nové prostředí můžete spustit během několika sekund. Vývojář může vytvořit dočasné testovací prostředí pro testování funkce, otevřít Port 22 celému internetu na "jen hodinu" a pak na to zapomenout. Vaše statická bezpečnostní politika to nemusí zachytit v reálném čase, nebo se upozornění může ztratit pod horou dalších logů.

Problém "Shadow IT"

Shadow IT je klasický zdroj slepých míst. K tomu dochází, když týmy nasazují cloudové zdroje – jako je malá databáze nebo nový SaaS nástroj – bez upozornění IT nebo bezpečnostního týmu. Pokud bezpečnostní tým neví, že zdroj existuje, nemůže jej monitorovat, nemůže jej opravovat a už vůbec nemůže provádět pentesting. Tato "zapomenutá" aktiva jsou zlatým dolem pro útočníky, protože jim často chybí standardní bezpečnostní kontroly aplikované na zbytek organizace.

Misconfigurations: Tichý zabiják

S tím se setkáváme neustále. Cloudové prostředí je jen tak bezpečné, jak bezpečná je jeho konfigurace. Jediné zaškrtávací políčko v zásadách IAM (Identity and Access Management) může omylem udělit uživateli s nízkou úrovní oprávnění administrátorská oprávnění v celém účtu. Pro vulnerability scanner vypadá systém "v provozu". Ale pro pentestera je tato misconfiguration otevřenými dveřmi.

API Over-Exposure

Moderní cloudové aplikace se spoléhají na API pro vzájemnou komunikaci. Často jsou tato API dokumentována interně, ale některé koncové body jsou ponechány vystaveny veřejnému internetu. Pokud tyto koncové body nemají přísnou autentizaci nebo omezení rychlosti, stanou se přímou cestou k vašim datům. Většina organizací má obecnou představu o svých API, ale jen málo z nich má kompletní, aktualizovanou mapu každého jednotlivého koncového bodu a toho, kdo k nim má přístup.

Proč tradiční vulnerability scanning nestačí

Pokud již používáte vulnerability scanner, možná se ptáte, proč potřebujete Penetration Testing. Je to spravedlivá otázka. Scannery jsou skvělé pro to, co jsou: kontrolují "známé známé". Hledají konkrétní verzi softwaru, která má známé CVE (Common Vulnerabilities and Exposures), a označí ji.

Ale bezpečnost není jen o opravování softwaru. Je to o logice.

Rozdíl mezi skenem a testem

Vulnerability scan je jako procházka kolem domu a kontrola, zda jsou dveře zamčené. Penetration Test je jako někdo, kdo se skutečně snaží vypáčit zámek, prolézt komínem nebo oklamat majitele domu, aby otevřel dveře.

Penteři hledají attack chains. Attack chain je posloupnost malých, zdánlivě nevýznamných problémů, které v kombinaci vedou k úplnému kompromitování systému. Například:

  1. Útočník najde starý, zapomenutý vývojářský web (Blind Spot 1).
  2. Najde způsob, jak nahrát malý soubor na tento web (Vulnerability 1).
  3. Použije tento soubor k ukradení session cookie pro uživatele s nízkými oprávněními (Vulnerability 2).
  4. Najde nesprávně nakonfigurovanou roli IAM, která umožňuje uživateli s nízkými oprávněními vypsat všechny S3 buckety (Blind Spot 2).
  5. Najde bucket obsahující zálohy databáze a stáhne váš seznam zákazníků.

Scanner by označil "zastaralý software" na vývojářském webu, ale neřekl by vám, že tato konkrétní cesta vede k vašim zákaznickým datům. To je hodnota lidského nebo pokročilého cloud-native testovacího přístupu.

Falešný pocit bezpečí

Největším nebezpečím spoléhání se pouze na scannery je efekt "zeleného zaškrtávacího políčka". Když váš dashboard ukazuje nulové vysoce rizikové zranitelnosti, cítíte se bezpečně. Ale scannery přehlížejí logické chyby, nefunkční řízení přístupu a složité misconfigurations. Pokud důvěřujete pouze scanneru, nejste ve skutečnosti v bezpečí; jste pouze "compliant" s omezenou definicí bezpečnosti vašeho nástroje.

Mapování vaší cloudové útočné plochy

Nemůžete testovat to, o čem nevíte, že máte. Prvním krokem k odstranění slepých míst je důkladný proces zjišťování aktiv.

External Attack Surface Management (EASM)

EASM je praxe pohledu na vaši organizaci zvenčí dovnitř. To znamená hledání každé IP adresy, domény a cloudového bucketu spojeného s vaší značkou.

Chcete-li to provést efektivně, musíte hledat:

  • Zapomenuté subdomény: test-api.company.com nebo dev-portal.company.com.
  • Visící DNS záznamy: Záznamy, které odkazují na cloudový zdroj, který byl smazán, a který může být nárokován útočníkem (Subdomain Takeover).
  • Odkryté porty pro správu: SSH (22), RDP (3389) nebo databázové porty (3306, 5432) ponechané otevřené do světa.

Interní objevování a mapování

Jakmile máte zmapovaný vnější perimetr, musíte se podívat dovnitř. To zahrnuje audit vaší cloudové konzole.

  • IAM Role: Kdo má "AdministratorAccess"? Existují role s příliš širokými oprávněními?
  • Síťová architektura: Máte VPC (Virtual Private Clouds), které jsou propojeny způsoby, které umožňují laterální pohyb?
  • Ukládání dat: Kde jsou citlivá data? Jsou šifrována v klidovém stavu? Je zapnuto protokolování přístupu?

Integrace objevování s Penetrify

Zde se platforma jako Penetrify stává zásadní změnou. Namísto ručního vyhledávání aktiv v tabulce vám cloudová architektura Penetrify umožňuje přímou integraci s vaším prostředím. Pomáhá vám identifikovat tato aktiva a poté okamžitě přejít do fáze hodnocení. Automatizací objevování a počátečního skenování odstraňuje "šum", aby se manuální testeři mohli soustředit na výše zmíněné vysoce hodnotné útočné řetězce.

Pokročilé strategie pro Penetration Testing v cloudu

Jakmile máte mapu, potřebujete strategii. Cloudový Penetration Testing se liší od tradičního síťového Penetration Testing, protože "síť" je definována softwarem. Nezapojujete notebook do zásuvky ve zdi; komunikujete s API.

Testování eskalace oprávnění

V cloudu není cílem útočníka obvykle "shodit server" – ale získat vyšší oprávnění. Penteři hledají způsoby, jak se dostat z kompromitované funkce Lambda do role Full Admin.

Mezi běžné cesty patří:

  • Předávání rolí: Může uživatel vytvořit nový zdroj a přiřadit mu roli, která má větší moc než samotný uživatel?
  • Chybné konfigurace zásad: Existují oprávnění "Wildcard" (např. s3:*), která uživateli umožňují dělat věci, které by neměl?
  • Úniky přihlašovacích údajů: Existují přístupové klíče AWS pevně zakódované ve veřejném repozitáři GitHub nebo uložené v nešifrované proměnné prostředí?

Hodnocení zabezpečení kontejnerů a Kubernetes

Pokud používáte Docker nebo K8s, vaše slepá místa se zvětšila. Kontejnery sdílejí jádro hostitelského OS, což vytváří nová rizika.

  • Únik z kontejneru: Může útočník uniknout z kontejneru a dostat se na základní hostitelský stroj?
  • Chybná konfigurace Kubelet: Je Kubernetes API server vystaven bez ověření?
  • Zranitelnosti obrazu: Používáte základní obraz z nedůvěryhodného zdroje, který obsahuje backdoor?

Serverless Security Testing (Lambda, Azure Functions)

Serverless neznamená "žádné servery ke správě"; znamená to "servery, které nevidíte." To je obrovské slepé místo.

  • Event Injection: Může útočník poslat škodlivý payload prostřednictvím fronty SQS nebo API Gateway, který pak funkce Lambda spustí?
  • Funkce s nadměrnými oprávněními: Má vaše funkce Lambda "email-sender" také oprávnění mazat tabulky v DynamoDB? (Neměla by).
  • Časový limit a vyčerpání zdrojů: Může útočník spustit tisíce funkcí, aby nahromadil obrovský účet nebo způsobil Denial of Service (DoS)?

Jak vybudovat kontinuální životní cyklus testování

Penetration Test "jednou za rok" je mrtvý. Ve světě CI/CD pipelines, kde je kód nasazován desetkrát denně, je roční audit zastaralý v okamžiku, kdy je dokončen. Potřebujete kontinuální přístup.

Posun směrem ke "Continuous Pentesting"

Continuous Pentesting není o tom, že by váš systém 24/7 hackoval člověk (i když je to luxus, který si někteří mohou dovolit). Jde o integraci bezpečnostního testování do každé fáze životního cyklu vývoje.

Fáze Bezpečnostní aktivita Cíl
Návrh Threat Modeling Identifikujte slepá místa dříve, než je napsána jediná řádka kódu.
Vývoj SAST (Static Analysis) Zachytit pevně zakódovaná tajemství a základní chyby kódu.
Build SCA (Software Composition Analysis) Identifikujte zranitelné knihovny třetích stran.
Nasazení Automatizované skenování Zajistěte, aby se do produkce nedostaly žádné zjevné chybné konfigurace.
Po nasazení Targeted Penetration Testing Použijte Penetrify k nalezení složitých útočných řetězců a logických chyb.

Nastavení testovací kadence

V závislosti na vašem rizikovém profilu byste měli měnit frekvenci testování:

  • Kritické systémy (platební brány, uživatelské databáze): Měsíční cílené testy nebo kontinuální monitoring.
  • Hlavní verze funkcí: Zaměřený Penetration Test na novou funkcionalitu před jejím spuštěním.
  • Obecná infrastruktura: Čtvrtletní hodnocení v plném rozsahu.

Zpětnovazební smyčka: Od nálezu k opravě

Nejčastější chybou, kterou společnosti dělají, je, že se k reportu z Penetration Testu chovají jako k "seznamu úkolů", který je ignorován. Chcete-li skutečně eliminovat slepá místa, potřebujete smyčku:

  1. Identifikace: Pentester najde zranitelnost.
  2. Validace: Bezpečnostní tým potvrdí, že se jedná o skutečné riziko, nikoli o False Positive.
  3. Náprava: Vývojáři opraví kód nebo konfiguraci.
  4. Ověření: Pentester znovu provede testy, aby se ujistil, že oprava skutečně funguje a nerozbila něco jiného.
  5. Prevence: Aktualizujte automatizovaný skener nebo CI/CD politiku, abyste zajistili, že se tato konkrétní chyba už nikdy nevrátí.

Běžná slepá místa v zabezpečení cloudu (a jak je opravit)

Pojďme se podívat na praxi. Zde jsou některá z nejčastějších slepých míst, se kterými se setkáváme, a konkrétní kroky, které můžete podniknout k jejich odstranění.

1. „Otevřený“ S3 Bucket / Azure Blob

Stává se to i těm nejlepším z nás. Bucket je nastaven jako veřejný pro rychlý přenos a zůstane tak po dobu tří let.

  • Slepé místo: Myslíte si, že data jsou interní, ale jsou indexována vyhledávači jako GrayhatWarfare.
  • Náprava: Implementujte „Block Public Access“ na úrovni účtu. Používejte IAM politiky k udělení přístupu konkrétním uživatelům/rolím, místo abyste zdroj zpřístupnili veřejně. Používejte automatizované nástroje (jako ty v Penetrify), které vás upozorní, jakmile se bucket stane veřejným.

2. Nadměrně privilegované servisní účty

Vývojáři často udělují servisnímu účtu AdministratorAccess, protože je to „snazší, než zjistit, jaká konkrétní oprávnění jsou potřeba.“

  • Slepé místo: Pokud je tento servisní účet kompromitován (např. prostřednictvím uniklého klíče), útočník má klíče ke království.
  • Náprava: Zásada nejmenších privilegií (PoLP). Používejte nástroje jako AWS Access Analyzer, abyste zjistili, která oprávnění se skutečně používají, a odstraňte ty, které se nepoužívají.

3. Nechráněná rozhraní pro správu

Ponechání Jenkins dashboardu, Kubernetes dashboardu nebo panelu pro správu databáze vystaveného na internetu.

  • Slepé místo: Předpokládáte, že „nikdo nezná URL adresu“, ale útočníci používají brute-force skenery k nalezení běžných cest, jako je /admin nebo /jenkins.
  • Náprava: Umístěte tato rozhraní za VPN nebo řešení Zero Trust Network Access (ZTNA). Nikdy nevystavujte porty pro správu přímo na web.

4. Nedostatečná agregace protokolů

Mít protokoly je jedna věc; být schopen je vidět je věc druhá.

  • Slepé místo: Útočník pomalu brute-force útočí na vaše API. Protokoly zaznamenávají selhání, ale jsou rozptýleny do deseti různých služeb a nikdo se na ně nedívá.
  • Náprava: Centralizujte své protokoly do systému SIEM (Security Information and Event Management). Nastavte si upozornění na „neobvyklé vzorce“, jako je 1 000 neúspěšných přihlášení z jedné IP adresy za jednu minutu.

Krok za krokem: Jak spustit svůj první Cloud Penetration Test

Pokud jste nikdy neprováděli profesionální Penetration Test, může se tento proces zdát ohromující. Zde je jednoduchý návod, jak to udělat správně.

Krok 1: Definujte rozsah

Neříkejte jen „otestujte všechno“. To je recept na vágní zprávu. Buďte konkrétní.

  • V rozsahu: Produkční VPC, Customer API, backend mobilní aplikace.
  • Mimo rozsah: Firemní e-mailový systém, nástroje SaaS třetích stran (jako Salesforce) nebo útoky DDoS (které mohou způsobit pád vašeho webu).
  • Omezení: Může se tester pokusit exfiltrovat data? Může vytvářet nové uživatele?

Krok 2: Nastavte pravidla zapojení (RoE)

Toto je v podstatě „právní“ část. Potřebujete písemnou dohodu, která říká, že Penetration Test je autorizován.

  • Časování: Kdy by měly testy probíhat? (např. během hodin s nízkým provozem).
  • Komunikace: Kdo je kontaktní osobou, pokud se něco pokazí?
  • Hlášení: Jak budou hlášeny zranitelnosti? (Okamžitě pro „Criticals“, nebo všechny najednou na konci?).

Krok 3: Průzkum a objevování

Tester začíná shromažďováním informací. Bude používat nástroje k nalezení subdomén, otevřených portů a uniklých přihlašovacích údajů. Zde najde vaše slepá místa.

Krok 4: Analýza zranitelností

Tester analyzuje zjištění. Nenajde jen „díru“; zjistí, co mu tato díra umožňuje dělat. Může najít starou verzi Apache a zkontrolovat, zda je zranitelná vůči konkrétnímu exploitu.

Krok 5: Exploatace („Hack“)

Toto je část, na kterou lidé myslí, když slyší „Penetration Testing“. Tester se pokusí získat přístup. Zásadní je, že profesionální pentester to dělá opatrně. Nechce smazat vaše data; chce jen dokázat, že mohl.

Krok 6: Post-exploatace a laterální pohyb

Jakmile je tester uvnitř, ptá se: „Kam se odtud mohu dostat?“ Pokusí se přesunout z webového serveru do databáze nebo z vývojářského účtu do produkčního účtu. To odhaluje skutečné riziko zranitelnosti.

Krok 7: Hlášení a náprava

Obdržíte zprávu. Dobrá zpráva neříká jen „Máte X chybu“. Říká:

  • Co je to za chybu.
  • Jak ji našli (abyste ji mohli reprodukovat).
  • Úroveň rizika (Nízká, Střední, Vysoká, Kritická).
  • Přesně jak ji opravit.

Měření úspěšnosti vašeho programu Penetration Testing

Jak poznáte, zda vaše investice do Penetration Testing skutečně funguje? Nemůžete jen počítat počet chyb; ve skutečnosti nalezení více chyb v prvních několika testech je známkou úspěchu – znamená to, že nacházíte slepá místa.

Klíčové ukazatele výkonnosti (KPI) pro zabezpečení

Chcete-li sledovat pokrok, podívejte se na tyto metriky:

  • Průměrná doba nápravy (Mean Time to Remediate - MTTR): Jak dlouho trvá od okamžiku nahlášení kritické chyby do okamžiku její opravy? Pokud to trvá tři měsíce, váš proces je narušený.
  • Hustota zranitelností (Vulnerability Density): Vidíte stejné typy chyb (např. SQL Injection) v každém testu? Pokud ano, máte problém s tréninkem, nikoli s testováním.
  • Procento "kritických" chyb nalezených skenery vs. Pentestery: Pokud penteři nacházejí všechny kritické chyby a skenery nenacházejí nic, vaše skenery jsou nesprávně nakonfigurovány nebo jsou nedostatečné.
  • Růst útočné plochy (Attack Surface Growth): Roste počet vašich exponovaných aktiv rychleji, než je vaše schopnost je zabezpečit?

Přechod od "reaktivního" k "proaktivnímu" přístupu

Úspěšný program posouvá ukazatel od "Hledání chyb" k "Předcházení chybám". Když začnete vidět vzorec – například každé nové API má chybu v ověřování – neopravíte jen API. Vytvoříte novou ověřovací knihovnu, kterou musí používat každý vývojář. Z nálezu z Penetration Testu jste udělali systémové zlepšení.

Penetrify: Překlenutí propasti mezi testováním a nápravou

Mnoho společností se potýká s Penetration Testingem, protože je buď příliš drahý (najímání velké firmy na manuální test), nebo příliš povrchní (používání základního skeneru). Zde se hodí Penetrify.

Penetrify překlenuje tuto mezeru tím, že poskytuje cloudovou platformu, která kombinuje rychlost automatizace s hloubkou profesionálního posouzení.

Proč je Penetrify jiný

Většina nástrojů je postavena pro lokální síť. Penetrify je postaven pro cloud. Rozumí nuancím VPC, IAM rolí a serverless architektur.

Namísto statické zprávy, která sedí v PDF na něčí ploše, vám Penetrify pomůže:

  • Škálovat testování (Scale Testing): Ať už máte jedno prostředí nebo sto, můžete nasadit testy napříč nimi současně.
  • Integrovat pracovní postupy (Integrate Workflows): Výsledky nezůstávají jen ve zprávě; mohou být přímo vloženy do vašeho SIEM nebo systému pro správu ticketů (jako je Jira), takže vývojáři mohou vidět opravu ve svém stávajícím pracovním postupu.
  • Snížit režii (Reduce Overhead): Nemusíte nastavovat složitý hardware on-premise, abyste mohli provádět tyto testy. Vše je řešeno v cloudu, což znamená, že můžete začít testovat dnes, ne až příští měsíc.

Používáním platformy, která se specializuje na cloud-native security, přestanete hádat, kde jsou vaše slepá místa, a začnete je aktivně eliminovat.

FAQ: Časté dotazy ohledně cloudového Penetration Testingu

Otázka: Nezhavaruje Penetration Testing moje produkční prostředí?

Je to běžný strach, ale profesionální Penetration Testing je navržen tak, aby byl nedestruktivní. Penteři používají "bezpečné" payloady, aby prokázali existenci zranitelnosti, aniž by skutečně zhavorali službu. Nicméně, vždy je dobré testovat ve staging prostředí, které co nejvíce zrcadlí produkční prostředí. Pokud musíte testovat v produkci, dělejte to mimo špičku a bedlivě sledujte své monitorovací nástroje.

Otázka: Můj poskytovatel cloudu (AWS/Azure/GCP) říká, že se stará o bezpečnost. Proč to potřebuji?

Starají se o bezpečnost infrastruktury. Zajišťují, aby nikdo nemohl vejít do datového centra a ukrást pevný disk. Zajišťují, aby byl hypervisor zabezpečený. Ale nevědí, jestli jste nechali své API klíče ve veřejném GitHub repozitáři nebo jestli má vaše aplikace chybu cross-site scripting (XSS). Jste zodpovědní za "Security IN the Cloud."

Otázka: Jak často bych to měl vlastně dělat?

Pokud jste malá společnost se statickým webem, možná jednou za rok stačí. Ale pokud jste středně velká nebo podniková společnost, která denně nasazuje kód, měli byste neustále provádět nějakou formu testování. Kombinace denních automatizovaných skenů a čtvrtletních hloubkových Penetration Testů je pro většinu zdravá rovnováha.

Otázka: Nemůžu pro to použít jen open-source nástroj?

Můžete, a mnozí to dělají. Nástroje jako OWASP ZAP nebo Metasploit jsou fantastické. Ale pamatujte: nástroj není test. Nástroj vám řekne, že je port otevřený. Pentester vám řekne, že otevřený port jim umožňuje přístup k vaší zákaznické databázi. Open-source nástroje jsou skvělé pro vaše vývojáře k použití během buildů, ale nenahrazují komplexní bezpečnostní posouzení.

Otázka: Jaký je rozdíl mezi "Black Box" a "White Box" testem?

  • Black Box: Tester nemá žádné předchozí znalosti o vašem systému. Začínají od nuly, stejně jako skutečný útočník. To je skvělé pro testování vašeho vnějšího perimetru.
  • White Box: Tester má přístup k dokumentaci, diagramům architektury a někdy i ke zdrojovému kódu. To je mnohem efektivnější, protože netráví čas "hádáním" a mohou mnohem rychleji najít hluboce zakořeněné logické chyby.
  • Grey Box: Kombinace obojího. Mohou mít standardní uživatelský účet, ale žádný administrativní přístup.

Závěrečné poznatky: Váš kontrolní seznam zabezpečení cloudu

Pokud se cítíte zahlceni, začněte s těmito pěti proveditelnými kroky. Nesnažte se opravit všechno najednou – jen začněte odstraňovat největší slepá místa.

  1. Zkontrolujte své veřejné zdroje: Použijte nástroj k nalezení každé veřejné IP adresy, bucketu a subdomény, které vlastníte. Pokud najdete něco, co nepoznáváte, okamžitě to vypněte nebo zabezpečte.
  2. Vynucujte princip nejmenších privilegií: Projděte si své IAM role. Najděte jakoukoli roli s oprávněními AdministratorAccess nebo * a pokuste se je zúžit pouze na to, co uživatel skutečně potřebuje.
  3. Nastavte centralizované upozorňování: Ujistěte se, že se vaše protokoly nejen ukládají, ale také monitorují. Nastavte alespoň jedno "kritické" upozornění pro věci, jako jsou neautorizovaná API volání nebo opakované neúspěšné pokusy o přihlášení.
  4. Posuňte se za hranice skeneru: Naplánujte si cílený Penetration Test na váš nejcitlivější majetek. Nehledejte jen CVE; požádejte testera, aby našel "útočný řetězec", který vede k vašim datům.
  5. Vytvořte cyklus: Integrujte platformu jako Penetrify, aby se zabezpečení stalo kontinuálním procesem, a ne jen každoroční událostí.

Cloud nabízí neuvěřitelnou agilitu, ale tato agilita se může snadno stát závazkem, pokud ztratíte ze zřetele svůj útočný povrch. Cílem není být "nehacknutelný" – nic takového neexistuje. Cílem je být obtížným cílem. Aktivním hledáním vlastních slepých míst exponenciálně ztížíte útočníkovi nalezení cesty dovnitř.

Přestaňte hádat o svém stavu zabezpečení. Začněte testovat.

Zpět na blog