testy penetracyjne

Jak się przygotować na audyt bezpieczeństwa infrastruktury?

Audyty bezpieczeństwa są narzędziem kontrolnym mającym na celu pomóc nam w identyfikacji zagrożeń i ocenie skuteczności zabezpieczeń. Nie należy się ich zatem bać. Nie należy też bać się tego, że audyt techniczny w postaci testów penetracyjnych wykaże podatności w naszych systemach. Właśnie po to się go robi, aby te podatności namierzyć i wyeliminować.

Administratorzy systemów boją się jednak często, że audyt wykaże brak odpowiedniej staranności po ich stronie. Od czasu do czasu rzeczywiście tak się dzieje. Większość poważnych naruszeń bezpieczeństwa to efekt bardzo elementarnych zaniedbań. O co w takim razie warto zadbać, aby jako osoba odpowiedzialna za infrastrukturę techniczną nie czuć wstydu po opublikowaniu raportu z testów? Poniżej moje subiektywne, ale bazujące na doświadczeniu audytowym zestawienie elementów, o które warto zadbać przed zbliżającymi się testami penetracyjnymi:

  1. Zidentyfikuj wszystkie webowe interfejsy administracyjne do urządzeń pracujących w Twojej sieci i zmień domyślne hasła do nich (admin:admin również, nawet jeśli nie jest domyślne). UPS-y, drukarki, access pointy, switche, kamery, rejestratory, urządzenia kontroli dostępu itd. W każdej firmie jest tego cała masa. Bardzo często urządzenia te pracują na domyślnych hasłach administracyjnych a ich przejęcie wiąże się z poważnymi konsekwencjami. Często spotykanym zagrożeniem są karty do zdalnego zarządzania serwerami z domyślnym użytkownikiem („root” z hasłem „calvin” albo „USERID” z hasłem „PASSWORD” to klasyka gatunku). Posiadacze serwerów Dell lub IBM powinni zacząć właśnie od tego.
  2. Zaktualizuj co się da. Przede wszystkim systemy operacyjne, na których zaniedbano instalację poprawek bezpieczeństwa. Windowsy XP czy 2003 to już totalny dramat, ale i nowe systemy bez aktualizacji są łatwym celem. Ważne są również przeglądarki internetowe użytkowników.
  3. Zmień hasła administratorów serwerów i domeny. Po ich zmianie nie loguj się nimi na komputerach użytkowników. Hasła te często da się pozyskać poprzez wyciągnięcie ich z systemu, który jest słabo zabezpieczony (np. stacja robocza bez aktualizacji), na którym wcześniej logował się administrator.
  4. Wyłącz niepotrzebne usługi. Często do systemów udaje się uzyskać dostęp poprzez usługi, które w ogóle nie są używane. Zastanów się, czy potrzebne Ci są usługi takie jak FTP, telnet czy SMTP na drukarkach.
  5. Upewnij się, że użytkownicy sieci nie korzystają z klientów poczty skonfigurowanych do łączenia się po smtp/pop3 bez warstwy szyfrującej. To samo tyczy się logowania do stron www przez http. Brak szyfrowania to prosty sposób na przechwycenie haseł, które często nie są unikalne i dają dostęp do kolejnych systemów.
  6. Wylogowuj się z sesji terminalowych i interfejsów administracyjnych. Częsty przypadek to przejęcie sesji pulpitu zdalnego, na którym otwarta jest przeglądarka, a w niej w kilku kolejnych zakładkach zalogowany administrator np. do switcha, firewalla, macierzy itd.
  7. Upewnij się, czy na pewno wszystkie stacje robocze oraz serwery posiadają zainstalowany, aktualny i WŁĄCZONY system antywirusowy.
  8. Przeprowadź chociaż proste skanowanie swojej infrastruktury publicznej z poziomu Internetu. Możesz się zdziwić obecnością usług lub adresów, o których ktoś zapomniał po tym jak „podłączył tylko na chwilę aby coś sprawdzić”.
  9. Przejrzyj jakie dane leżą na zasobach dyskowych o nazwach typu „Wspólne”, „temp”, „wszyscy_pracownicy” itp. Udostępniane tam dokumenty to często kopalnia danych osobowych a niekiedy również dostępowych. Prawa odczytu dla wszystkich to też kiepski pomysł. Jeżeli już musisz coś udostępniać wszystkim pracownikom, to rób to przez grupę „użytkownicy domeny”.
  10. Jeżeli nie robisz tego okresowo, wymuś na użytkownikach domeny zmianę haseł, najlepiej wymuszając też ich długość i złożoność.

Powyższe 10 kroków nie powinno stanowić problemu nawet dla administratorów, którzy nie specjalizują się w bezpieczeństwie. Ich wykonanie może się wiązać ze sporym nakładem pracy, ale dzięki temu nikt Wam nie zarzuci rażących zaniedbań. Zastosowanie się do tych wskazówek potrafi skrócić raport z audytu bezpieczeństwa o co najmniej kilkadziesiąt procent.


„Bezpieczna Pigułka” to codzienna, mała dawka wiedzy z zakresu cyberbezpieczeństwa. Wszystkie teksty z tej kategorii znajdziesz TUTAJ.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.