Testy penetracyjne (ang. Penetration tests lub w skrócie pen-tests, pentesty) to próba oceny bezpieczeństwa infrastruktury IT poprzez kontrolowane (i bezpieczne) wykorzystanie luk w zabezpieczeniach. Słabości (luki) mogą występować w systemach operacyjnych, usługach, aplikacjach, nieprawidłowych konfiguracjach lub ryzykownych zachowaniach użytkowników końcowych. Taka walidacja okazuje się również przydatna w przypadku sprawdzania skuteczności mechanizmów defensywnych, a także przy okazji przestrzegania przez użytkowników końcowych zasad bezpieczeństwa.
Pentesty wykorzystywane są najczęściej przy użyciu manualnych lub zautomatyzowanych technologii w celu systematycznego naruszania serwerów, punktów końcowych, aplikacji internetowych, sieci bezprzewodowych, urządzeń sieciowych i mobilnych oraz innych punktów potencjalnego ryzyka. Sam proces obejmuje: zbieranie informacji o celu testowania jeszcze przed jego rozpoczęciem (rekonesans), identyfikację możliwych punktów wejścia, próby włamania (wirtualne lub prawdziwe) i raportowanie wyników.
Informacje o słabościach w zabezpieczeniach są zwykle agregowane i przedstawiane wyżej – kierownictwu systemów informatycznych i sieciowych. Umożliwia to sformułowanie strategicznych wniosków i ustalenie priorytetów związanych z działaniami naprawczymi.
Głównym celem pentestów jest określenie słabych punktów w zabezpieczeniach systemu. Mogą być także wykorzystywane do testowania zgodności polityki bezpieczeństwa organizacji, świadomości bezpieczeństwa jej pracowników i zdolności organizacji do identyfikowania i reagowania na incydenty bezpieczeństwa.
Testy penetracyjne nazywa się atakami białych kapeluszy, ponieważ to „ci dobrzy” próbują włamać się do systemu.
Po co przeprowadzać pentesty?
- Naruszenie bezpieczeństwa i przerwy w świadczeniu usług są kosztowne.
Naruszenie bezpieczeństwa i wszelkie związane z nim przerwy w świadczeniu usług lub w działaniu aplikacji mogą skutkować bezpośrednimi stratami finansowymi, zagrażać reputacji organizacji, wpływać negatywnie na lojalność klientów, przyciągać negatywną prasę i powodować nakładanie na przedsiębiorstwo grzywien i kar.
- Niemożliwe jest zabezpieczanie wszystkich informacji przez cały czas.
Tradycyjnie organizacje starają się zapobiegać naruszeniom, instalując i utrzymując warstwy defensywnych mechanizmów bezpieczeństwa, w tym kontroli dostępu użytkowników, kryptografii, IPS, IDS i zapór ogniowych. Jednak ciągłe wdrażanie nowych technologii, w tym niektórych z tych systemów zabezpieczeń, jeszcze bardziej utrudniło znalezienie i wyeliminowanie wszystkich luk w zabezpieczeniach organizacji i ochronę przed wieloma rodzajami potencjalnych incydentów związanych z bezpieczeństwem.
- Testowanie penetracyjne identyfikuje i nadaje priorytety zagrożeniom bezpieczeństwa.
Testowanie penetracyjne ocenia zdolność organizacji do ochrony swoich sieci, aplikacji, punktów końcowych i użytkowników przed zewnętrznymi lub wewnętrznymi próbami obejścia zabezpieczeń, w celu uzyskania nieautoryzowanych lub uprzywilejowanych dostępów do chronionych zasobów.
Częstotliwość wykonywania
Testy penetracyjne powinny być przeprowadzane regularnie, aby zapewnić bardziej spójne zarządzanie bezpieczeństwem systemu i sieci. Pentester ujawni, w jaki sposób napastnicy mogą (potencjalnie) zaatakować wykrytą przez niego słabość lub pojawiające się luki. Oprócz regularnie zaplanowanych analiz i ocen wymaganych przez mandaty regulacyjne testy powinny również być przeprowadzane, gdy:
- Dodano nową infrastrukturę sieci lub aplikację
- Znacznie ulepszono lub zmodyfikowano infrastrukturę albo aplikację
- Ustalono nowe lokalizacje biur
- Zastosowano poprawki bezpieczeństwa
- Zmieniono zasady użytkownika końcowego
Bycie pentesterem nie jest równoznaczne z byciem dobrym w używaniu narzędzi. Bycie pentesterem to bycie w stanie zrozumieć jak rzeczy działają, jak są skonfigurowane, jakie błędy popełniają ludzie i jak znaleźć te błędy dzięki byciu kreatywnym. Bycie pentesterem to nie uruchamianie Metasploita celując w cały Internet. Tutaj chodzi o coś absolutnie większego.
Źródło: Dawid Balut, Jak zostać Pentesterem i Specjalistą Bezpieczeństwa.
Korzyści płynące z testów penetracyjnych
- Inteligentne zarządzanie lukami w zabezpieczeniach
Pentesty dostarczają szczegółowych informacji o rzeczywistych, możliwych do wykorzystania zagrożeniach bezpieczeństwa. Wykonując test penetracyjny, można aktywnie określić, które słabości są bardziej krytyczne, które są mniej znaczące, a które są fałszywie dodatnie. Dzięki temu organizacja może w przemyślany sposób nadać priorytety działaniom naprawczym czy zastosować odpowiednie poprawki zabezpieczeń.
- Unikanie przestoju sieci
Odzyskiwanie sprawności systemu czy aplikacji, po naruszeniu bezpieczeństwa może kosztować organizację wiele tysięcy złotych. Jest to związane z działaniami naprawczymi IT, nowymi programami ochrony i retencji klientów, działaniami prawnymi, etc…
- Spełnianie wymagań prawnych i unikanie kar pieniężnych
Testy penetracyjne pomagają organizacjom poradzić sobie z ogólnymi aspektami audytu / zgodności z przepisami. Szczegółowe raporty generowane przez pentesty mogą, chociażby pomóc organizacjom w uniknięciu znaczących kar za nieprzestrzeganie przepisów.
- Utrzymanie pozytywnego wizerunku firmy i lojalności klientów
Każdy pojedynczy przypadek naruszenia danych klientów może być kosztowny, zarówno pod względem negatywnego wpływu na sprzedaż, jak i zaszkodzenia wizerunkowi organizacji. Ponieważ koszty utrzymania klientów są wyższe niż kiedykolwiek, nikt nie chce stracić lojalnych użytkowników. Naruszenia bezpieczeństwa danych może spowodować nie tylko odejście lojalnych klientów, ale też trudności w pozyskiwaniu nowych. Testy penetracyjne pomagają uniknąć incydentów, które zagrażają reputacji i wiarygodności organizacji.
Strategie
- Testowanie ukierunkowane
Testy ukierunkowane przeprowadzane są zarówno przez zespół IT organizacji, jak i zespół penetrujący. Czasami nazywa się to podejściem “włączonym światłem”, ponieważ każdy ma wgląd do przeprowadzanych testów.
- Testowanie zewnętrzne
Ten typ testów jest przeznaczony dla zewnętrznych serwerów lub urządzeń firmy, w tym serwerów nazw domeny (DNS), serwerów poczty e-mail, serwerów WWW lub zapór ogniowych. Celem jest sprawdzenie, czy osoba atakująca z zewnątrz może wejść i jak daleko może się dostać, gdy uzyska dostęp.
- Testowanie wewnętrzne
Naśladuje wewnętrzny atak za zaporą przez autoryzowanego użytkownika ze standardowymi uprawnieniami dostępu. Ten rodzaj testu jest przydatny do oszacowania, jakie szkody może spowodować niezadowolony pracownik.
- Testowanie ślepej próby („w ciemno”)
Strategia ślepej próby symuluje działania i procedury prawdziwego napastnika poprzez poważne ograniczenie informacji o przeprowadzaniu ataku. Zazwyczaj podaje się tylko nazwę firmy. Ponieważ tego typu test może wymagać znacznej ilości czasu na zwiad, może być drogi.
- Testowanie podwójnej ślepej próby
W podwójnej ślepej próbie tylko jedna lub dwie osoby w organizacji mogą być świadome przeprowadzania testu. Testy mogą być przydatne do testowania monitorowania bezpieczeństwa w organizacji i identyfikacji incydentów, a także procedur reagowania.
Testowanie penetracyjne jest doskonałym przykładem tego, jak bardzo zróżnicowane jest środowisko hakerskie. Pozwala programistom sprawdzić się i dostarcza informację o jakości ich kodu, z pominięciem złych zamiarów. Pentesty są jedną z najlepszych broni, którą nowoczesne firmy mają do dyspozycji w walce z cyberprzestępczością.
Fajny artykuł. Dzięki piękne za podlinkowanie blogposta:)
Fajny Artykuł!