Penetračné testovanie realizujeme vždy po vzájomnej dohode so zadávateľom ako nedeštruktívne a neinvazívne testovanie, vo vybranom termíne, časových rámcoch a definovaných lokalitách.
Cieľom každého testu je v rámci vymedzeného času detekovať čo najväčšie množstvo zraniteľností, ktoré by mohli byť zneužité na získanie neautorizovaného prístupu k citlivým zdrojom a navrhnúť nápravné bezpečnostné opatrenia vedúce k ich odstráneniu.
Tester nemá k dispozícii žiadne informácie o architektúre siete, použitých technológiách či konfiguráciu. Odovzdaná je len špecifikácia cieľov (IP adresa, URL). Ďalšie informácie potom musí tester čerpať iba z verejne dostupných zdrojov.
Testerovi sú odovzdané základné informácie o testovanom systéme alebo aplikácii. Typicky sú to informácie, ktoré sú k dispozícii legitímnym používateľom alebo informácie o architektúre siete či použitých technológiách. Odovzdanie týchto informácií zvyšuje pravdepodobnosť odhalenia väčšiny závažných zraniteľností, pri zachovaní pravdepodobnosti ich objavenia skutočným útočníkom.
Tester má k dispozícii veľmi podrobné informácie o architektúre siete, použitých technológiách a ich konfiguráciu. Prípadne pozná aj bezpečnostnú politiku organizácie. V prípade testovania webových aplikácií sú k dispozícii zdrojové kódy, opis API a celá dokumentácia. Cieľom je maximalizovať pravdepodobnosť odhalenia všetkých zraniteľností. Požadovaná je tak úzka spolupráca s administrátormi a vývojármi systému.
Záverečná správa je výstupom každého nášho testu. Prináša detailný prehľad o slabých miestach využiteľných k prieniku do testovaných systémov. Definuje stupeň ich závažnosti pomocou päťbodovej stupnice podľa metodiky CVSS a navrhuje nápravné opatrenia na ich elimináciu.
V prípade zistenia kritickej alebo vysokej zraniteľnosti v priebehu samotného testovania sú tieto zistenia oznámené zodpovedným osobám zadávateľa bezodkladne.
• Výpočet nájdených zraniteľností
• Hodnotenie stupňa ich závažnosti
• Odporúčané opatrenia na ich elimináciu
• Manažérske zhrnutie výsledkov testovania
• Vyhodnotenie úrovne zabezpečenia
V závislosti na typ vykonávaného testu vychádzame zo štandardov:
Penetračné testy v dnešnej dobe už nie sú riešením len pre veľké a nadnárodné koncerny, ale dôležitou súčasťou bezpečnostnej stratégie každého subjektu. Uvádzam poznatky, ktoré vyšli najavo pri testovaní v stredne veľkej firme pôsobiacej v oblasti verejných služieb a logistiky. Tento príklad vyberám zámerne, pretože išlo o organizácii, kde administrátori dbali na bezpečnosť, ale nemali k dispozícii vhodné nástroje, ktoré by overovali skutočnú bezpečnosť v praxi.
V prvej fáze je pozornosť zameraná na získavanie informácií, podľa ktorých budú v nasledujúcich fázach definované testovacie scenáre uskutočniteľné u zadávateľa. Pozornosť je zameraná primárne na hardwarové a softwarové aktíva, prípadne tiež na ľudské zdroje, ktoré by mohli byť počas testu využité k úspešnému narušeniu bezpečnosti. Táto fáza zahŕňa predovšetkým aktívne skenovanie siete, serverov a ďalších aktívnych prvkov a detekciu používaných služieb.
Druhá fáza je zameraná na ohodnotenie aktív podľa typu OS / firmware, citlivosti uložených dát, otvorených portov a podobne. Kritickým aktívam je priradená najvyššia priorita pre testovanie. Z takto ohodnotených aktív sú identifikované potenciálne ciele a scenáre pre penetračné testy.
Proces identifikácie zraniteľností spočíva v objavovaní slabých miest v aktívach, teda konkrétnych systémoch, ktoré môžem byť využité pre narušenie bezpečnosti zadávateľa (napríklad vo forme prieniku, nedostupnosti služieb, neoprávnenému sprístupnenie a pozmenenie dát). Spôsob identifikácie zraniteľností je závislý od použitých technológiách a zistených informáciách. V tejto fáze sú typicky používané automatizované nástroje pre nájdenie známych zraniteľností. Špeciálna pozornosť je potom venovaná nesprávne konfiguráciu napríklad nezabezpečenému prenosu citlivých informácií či použitie slabých šifrovacích a autentizačných schém.
Pokus o narušenie bezpečnosti predstavuje snahu o využití nájdených zraniteľností pre neautorizovaný prístup, eskaláciu používateľských privilégií, nedostupnosť služby a ďalšie nepriateľské akcie voči systémom zadávateľa. Pri prieniku sa postupuje s najvyššou opatrnosťou, aby nedošlo k poškodeniu alebo znehodnoteniu testovaných služieb. Cieľom všetkých uskutočnených testov je overenie nájdených zraniteľností spolu s individuálnymi chybami nenájdenými pomocou automatizovaných nástrojov.
Po úspešnom narušenia je potrebné preskúmať dostupné dáta, oprávnenia a možnosti ďalšieho zneužitia potenciálnym útočníkom. Na konci tejto fázy dochádza k odstráneniu všetkých testovacích účtov urobených pre potreby testovania a tiež škodlivého, prípadne neštandardného zdrojového kódu, zaslaného na testované služby.
Záverečná správa vrátane manažérskeho zhrnutie obsahuje detailný popis testovania, sumarizáciu nájdených zraniteľností a bezpečnostných medzier, ohodnotenie ich závažnosti, dopadov a rizík. Definuje odporúčania k eliminácii zraniteľností a minimalizáciu rizík.
Po eliminácii zraniteľností a prijatie ďalších opatrení na minimalizáciu rizík spojených s potenciálnym útokom sa odporúča uskutočniť Re–test. Ten slúži na potvrdenie správnej implementácie nápravných opatrení a prípadne identifikáciu nových zraniteľností, ktoré mohli byť do systému zanesené pri realizácii nápravných opatrení.
Zostavíme vám na mieru penetračný test, ktorý preverí skutočnú úroveň vášho zabezpečenia.