Penetrační testování: Principy a postupy v praxi

Tomáš Zaťko | 14.04.2014 | Bezpečnost | Žádné komentáře

S termínem penetrační testování (zkráceně pentest) se setkává stále více lidí ochraňujících informační aktiva. Jde o simulovaný hackerský útok na systém, během kterého se metodicky provádí široká paleta testů na jednotlivé součásti systému, jakoby je uskutečňoval reálný útočník. Vzhledem k tomu, že cílem je naopak díky objevení chyb možnému napadení v budoucnu zabránit, hovoříme v tomto případě o tzv. etickém hackingu.

Cílem je tedy odhalit přítomné zranitelnosti dříve, než by je odhalil někdo s nekalými úmysly. Výstupem testu je zpráva obsahující informace o systému, jeho vstupních bodech, přítomných zranitelnostech, vyplývajících rizicích a hlavně doporučení na opravu zranitelností.

Jak takové testy fungují?

Když se firma rozhodne pro penetrační testování, v rozhovorech s dodavatelem služby si nejdříve ujasní několik základních parametrů. V první řadě je potřeba vymezit, co je předmětem testování. Je třeba prověřit webovou aplikaci, podnikovou síť nebo chování lidí? (Ano, testování se může týkat i reálných osob, zaměstnanců.) Nebo je nezbytné prověřit bezpečnost na všech jejích úrovních?

Je vhodné pro zkoušení zvolit metodu blackbox, kdy o systému nejsou známy žádné informace? Nebo metodu Whitebox, když jsou k dispozici interní informace o systému? Které části systému se budou testovat? Bude se síť testovat pouze zvenku nebo i zevnitř ? Při hledání odpovědí na tyto otázky se vyjasní rozsah, hloubka a forma testu. Následně lze přistoupit k samotnému testování.

Existuje velké množství specializovaných testovacích bezpečnostních nástrojů. Ty jsou velmi dobrými pomocníky, ale svou sílu získávají až v rukou zkušených pentesterů. Hlavní část testování je detailní manuální testování prováděné lidmi, kteří znají útroby systémů a vědí, jak se jeho části chovají v nestandardních situacích.

K provedení kvalitního penetračního testu je třeba mít vždy přehled v současných trendech útoků a protiopatření. Testeři musí sledovat bezpečnostní výzkum a znát všechny nové hrozby, aby je uměli odhalit a dokázali na ně reagovat. To platí pro všechny druhy bezpečnostních testů.

V současnosti jsou nejběžnější penetrační testy webových aplikací. Existují různé typy testů, které můžeme řadit podle hloubky, do které jdou, a tedy i kvality výstupu, který nabízejí.

Druhy penetračních testů

Nejjednodušší je automatizovaný test. Ten je proveden specializovaným bezpečnostním nástrojem, který automatizovaně testuje webovou stránku na zranitelnosti. Jde o základní test, který má své limity. Může obsahovat tzv. false positives, tedy chybné informace o zranitelnostech. Vzhledem k jeho nízké ceně ho volí menší podniky s menším rozpočtem na bezpečnost. Jeho umístění na nejnižším místě žebříčku jej však nediskvalifikuje. Většina běžných útoků se totiž provádí právě pomocí nástrojů tohoto typu. Je třeba jej považovat za spodní laťku, pod kterou byste neměli jít, pokud si ceníte informace, které máte chránit. V roce 2009 se stala společnost Orange obětí medializovaného útoku, který měl nepříjemný dopad na reputaci společnosti. Analýza ukázala, že zneužitou zranitelnost odhalil i automatizovaný test.

Do větší hloubky jdou manuální testy. Při nich se také používají automatické nástroje, ale podstatu tvoří právě manuální práce testerů. Jednodušší z nich je test, který se zaměřuje na nejznámější a nejvíce zneužívané zranitelnosti, zveřejňované každoročně v „hitparádě chyb“ OWASP Top 10. Organizace OWASP, která připravuje tento žebříček, publikuje i příručku pro pentestery OWASP Testing Guide. Ta obsahuje kompletní sbírku všech známých typů zranitelností. Test podle této příručky je nejhlubší a nejdetailnější standardizovaný test webových aplikací. V závislosti na velikosti testovacího systému může trvat několik dní až týdnů.

Testy síťové infrastruktury se zaměřují na konfiguraci sítí a zařízení v nich. Posuzované jsou jednotlivé služby, jejich účel, konfigurace, verze. Rozsah testu závisí hlavně na tom, zda se provádí vzdáleně z internetu nebo z lokální sítě. Testy z vnější sítě bývají časově kratší, protože z internetu je viditelné menší množství zařízení. Testy z vnitřní podnikové sítě trvají déle a zpravidla ukazují více zranitelností. Správci totiž dávají menší důraz na útoky zevnitř, spoléhají se na perimetrovou ochranu a důvěřují čestnosti uživatelů. Proto na interní systémy často nenasazují ani bezpečnostní záplaty. S ohledem na statistiky útoků z minulosti to ale považujeme za chybu, protože většina útoků přichází právě z vnitřní sítě.

Úplně jiný typ testů tvoří penetrační testy metodami sociálního inženýrství. Při nich se neútočí na technické chyby, ale na lidské. Takové útoky nejednou provádí konkurence v rámci průmyslové špionáže. Během testu se kontrolovaným způsobem provádějí útoky v různých oblastech podle dohody se zákazníkem. V přípravné fázi je třeba shromáždit dostupné informace o společnosti, jejích produktech, zaměstnancích a zákaznících. Na jejich základě se vytvoří jednotlivé scénáře útoků. Ty probíhají přes různé kanály (telefonát, e-mail, klasická korespondence, sociální sítě, osobní kontakt) nebo přes jejich kombinace. Testeři se útoky na lidskou slabost dokážou dostat k citlivým údajům. První test tohoto typu bývá zpravidla úspěšný. Po něm následuje trénink zaměstnanců, během kterého si většina z nich uvědomí, jak reálné jsou dané hrozby.

Nepodceňujte důležitost testování

Penetrační testování je důležitá součást péče o bezpečnost vašeho byznysu. Díky němu odhalíte chyby dříve než útočník a získáte čas na jejich opravu. Bezpečnost je však dynamická a ve světě se neustále objevují nové hrozby. Pro udržení rozumné míry bezpečnosti je proto vhodné penetrační testy opakovat. Standardně každý rok nebo při každé velké změně v systému. Nejjistější způsob, jak se zabezpečit je ten, že tzv. „dobří“ neboli whitehat hackeři budou pracovat pro vás…

Autor pracuje ve společnosti citadelo.com

Zdroj: Infoware.sk

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


sedm − = jedna

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz