testy penetracyjne

Testy penetracyjne – wynajmij sobie hackera

Testy penetracyjne, czyli jakie?

Testy penetracyjne mają na celu ujawnienie podatności technicznych, z których skorzystać mogą intruzi w celu przełamania naszych zabezpieczeń. W odróżnieniu od tradycyjnych audytów bezpieczeństwa informacji, w testach tych audytorzy nie skupiają się na badaniu procedur czy analizowaniu dokumentacji, ale na realnych próbach przełamania zabezpieczeń z wykorzystaniem technik, narzędzi i wiedzy będącej najczęściej w posiadaniu cyberprzestępców.

Jedyną różnicą pomiędzy testami penetracyjnymi a realnymi próbami włamań czy naruszenia bezpieczeństwa danych jest intencja audytorów (tzw. pentesterów). Testy penetracyjne wykonuje się w celu znalezienia, udokumentowania i wyeliminowania luk zanim natrafią na nie realni przestępcy.

Black box, white box

Rozróżniane są dwa różne podejścia do procesu wykonywania testów penetracyjnych. Uzależnione są one od informacji wejściowych, którymi dysponuje pentester (a w realnym ataku intruz). W przypadku braku jakichkolwiek informacji na temat poddawanej testom (atakom) infrastruktury mówimy o testach penetracyjnych typu „black box”. Odzwierciedlają one realne ataki, które mogą być przeprowadzone z zewnątrz firmy przez intruzów nie mających żadnej wiedzy o naszych systemach.

W przypadku udzielenia audytorowi dostępu fizycznego, haseł, kodów źródłowych, dokumentacji lub innych danych opisujących testowane systemy mówimy natomiast o testach penetracyjnych typu „white box”. Audyt taki jest najczęściej wykonywany w celu określenia zagrożeń, które mogą powstać ze strony określonych osób mających pewien zakres uprawnień. Jego celem jest np. ustalenie czy pracownicy organizacji albo przebywający w niej goście nie mający odpowiednich uprawnień są w stanie uzyskać dostęp do poufnych danych. W przypadku oprogramowania natomiast testy penetracyjne typu „white box” pozwalają na znalezienie w kodzie źródłowym błędów również potencjalnych, których identyfikacja metodą „black box” może być utrudniona.

Spotyka się również podejście pośrednie – testy penetracyjne typu „gray box” łączące w sobie elementy pierwszych dwóch metod. Są one wykonywane najczęściej i zakładają podejmowanie w pierwszej kolejności prób typu „black box”, a w przypadku ich niepowodzenia prób typu „white box” w oparciu o uzupełnione informacje, zwiększone uprawnienia lub udzielony dostęp fizyczny.

Ryzyko

Testy penetracyjne wiążą się z pewnym ryzykiem. Jak wspomniałem na wstępie często wykorzystuje się w nich narzędzia i techniki stosowane przez intruzów w realnych atakach. Należy pamiętać, że narzędzia takie powstają z myślą o maksymalnej skuteczności, a ich autorzy nie muszą się przejmować skutkami ubocznymi ich stosowania. Jeżeli dostęp do danych bądź systemu będzie wymagał zniszczenia lub wyłączenia dostępu do innych usług przestępcy nie będą się tym przejmować. Pentesterzy natomiast muszą mieć na uwadze ciągłość procesów biznesowych zleceniodawcy. Istotne jest zatem, aby przed przystąpieniem do wykonywania testów zatroszczyć się o odpowiednie ustalenie zasad ich wykonywania. W umowie z wykonawcą warto zawrzeć informacje o tym czy i kiedy pentesterzy mogą spowodować zakłócenie działania określonych systemów, jakie są kryteria oceny ryzyka i kto ponosi odpowiedzialność za ewentualne szkody. Warto też zawczasu pomyśleć o konieczności odtworzenia niektórych zasobów na wypadek, gdyby coś poszło niezgodnie z planem.

Bezpieczeństwo i poufność

Ze względu na wspomniane przed chwilą ryzyko, ale też z uwagi na krytyczny charakter informacji zawartych w raporcie końcowym, testy penetracyjne powinno się zlecać wyłącznie wykonawcom gwarantującym najwyższy poziom poufności i profesjonalizmu. Oprócz referencji warto jest sprawdzić, czy wykonawca posiada rozpoznawalne w branży certyfikaty świadczące nie tylko o kompetencjach, ale również o wysokim poziomie etyki zawodowej. Nie chcielibyśmy na pewno aby pentesterzy zaangażowani w prace opowiadali przypadkowym osobom anegdoty o znalezionych w naszej infrastrukturze błędach.

Jednymi z bardziej rozpoznawalnych w branży certyfikatów pentesterskich są Certified Ethical Hacker (CEH) oraz Licensed Penetration Tester (LPT) – wydawane przez EC-Council, a także Offensive Security Certified Professional (OSCP) – wydawany przez Offensive Security.

Posiadanie potwierdzonych certyfikatami kompetencji gwarantuje również, że testy penetracyjne będą wykonywane według jednej ze znanych metodyk, do których należą np.:

Podsumowanie

Testy penetracyjne budzą zazwyczaj wiele wątpliwości i obaw, zwłaszcza wśród osób odpowiedzialnych za infrastrukturę, która ma zostać poddana sprawdzeniu. Podejście takie chociaż zrozumiałe nie jest do końca uzasadnione. Warto pamiętać, że w branży zabezpieczeń nie istnieje stan, który można by nazwać 100% bezpieczeństwem. Każdy system posiada bowiem pewne słabsze punkty i każdy audyt przyniesie jakieś rezultaty w postaci wskazania obszarów do poprawy. Nie należy ich traktować jako dowodów na niekompetencje, ale jako możliwość udoskonalenia zabezpieczeń przed ich przełamaniem przez intruzów.

Testy penetracyjne mogą być uzupełnieniem programu audytów, do którego należeć też mogą:

 

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.