Testy penetracyjne (ang. Penetration tests lub w skrócie pen-tests, pentesty) to próba oceny bezpieczeństwa infrastruktury IT poprzez kontrolowane (i bezpieczne) wykorzystanie luk w zabezpieczeniach. Słabości (luki) mogą występować w systemach operacyjnych, usługach, aplikacjach, nieprawidłowych konfiguracjach lub ryzykownych zachowaniach użytkowników końcowych. Taka walidacja okazuje się również przydatna w przypadku sprawdzania skuteczności mechanizmów defensywnych, a także przy okazji przestrzegania przez użytkowników końcowych zasad bezpieczeństwa.

Pentesty wykorzystywane są najczęściej przy użyciu manualnych lub zautomatyzowanych technologii w celu systematycznego naruszania serwerów, punktów końcowych, aplikacji internetowych, sieci bezprzewodowych, urządzeń sieciowych i mobilnych oraz innych punktów potencjalnego ryzyka. Sam proces obejmuje: zbieranie informacji o celu testowania jeszcze przed jego rozpoczęciem (rekonesans), identyfikację możliwych punktów wejścia, próby włamania (wirtualne lub prawdziwe) i raportowanie wyników.

Informacje o słabościach w zabezpieczeniach są zwykle agregowane i przedstawiane wyżej – kierownictwu systemów informatycznych i sieciowych.  Umożliwia to sformułowanie strategicznych wniosków i ustalenie priorytetów związanych z działaniami naprawczymi.

Głównym celem pentestów jest określenie słabych punktów w zabezpieczeniach systemu. Mogą być także wykorzystywane do testowania zgodności polityki bezpieczeństwa organizacji, świadomości bezpieczeństwa jej pracowników i zdolności organizacji do identyfikowania i reagowania na incydenty bezpieczeństwa.

Testy penetracyjne nazywa się atakami białych kapeluszy, ponieważ to „ci dobrzy” próbują włamać się do systemu.

Po co przeprowadzać pentesty?
  • Naruszenie bezpieczeństwa i przerwy w świadczeniu usług są kosztowne.

Naruszenie bezpieczeństwa i wszelkie związane z nim przerwy w świadczeniu usług lub w działaniu aplikacji mogą skutkować bezpośrednimi stratami finansowymi, zagrażać reputacji organizacji, wpływać negatywnie na lojalność klientów, przyciągać negatywną prasę i powodować nakładanie na przedsiębiorstwo grzywien i kar.

  • Niemożliwe jest zabezpieczanie wszystkich informacji przez cały czas.

Tradycyjnie organizacje starają się zapobiegać naruszeniom, instalując i utrzymując warstwy defensywnych mechanizmów bezpieczeństwa, w tym kontroli dostępu użytkowników, kryptografii, IPS, IDS i zapór ogniowych. Jednak ciągłe wdrażanie nowych technologii, w tym niektórych z tych systemów zabezpieczeń, jeszcze bardziej utrudniło znalezienie i wyeliminowanie wszystkich luk w zabezpieczeniach organizacji i ochronę przed wieloma rodzajami potencjalnych incydentów związanych z bezpieczeństwem.

  • Testowanie penetracyjne identyfikuje i nadaje priorytety zagrożeniom bezpieczeństwa.

Testowanie penetracyjne ocenia zdolność organizacji do ochrony swoich sieci, aplikacji, punktów końcowych i użytkowników przed zewnętrznymi lub wewnętrznymi próbami obejścia zabezpieczeń, w celu uzyskania nieautoryzowanych lub uprzywilejowanych dostępów do chronionych zasobów.

Bezpieczeństwo testy security komputer kursor

Częstotliwość wykonywania

Testy penetracyjne powinny być przeprowadzane regularnie, aby zapewnić bardziej spójne zarządzanie bezpieczeństwem systemu i sieci. Pentester ujawni, w jaki sposób napastnicy mogą (potencjalnie) zaatakować wykrytą przez niego słabość lub pojawiające się luki. Oprócz regularnie zaplanowanych analiz i ocen wymaganych przez mandaty regulacyjne testy powinny również być przeprowadzane, gdy:

  • Dodano nową infrastrukturę sieci lub aplikację
  • Znacznie ulepszono lub zmodyfikowano infrastrukturę albo aplikację
  • Ustalono nowe lokalizacje biur
  • Zastosowano poprawki bezpieczeństwa
  • Zmieniono zasady użytkownika końcowego

Bycie pentesterem nie jest równoznaczne z byciem dobrym w używaniu narzędzi. Bycie pentesterem to bycie w stanie zrozumieć jak rzeczy działają, jak są skonfigurowane, jakie błędy popełniają ludzie i jak znaleźć te błędy dzięki byciu kreatywnym.

Bycie pentesterem to nie uruchamianie Metasploita celując w cały Internet. Tutaj chodzi o coś absolutnie większego.

Źródło: Dawid Balut, Jak zostać Pentesterem i Specjalistą Bezpieczeństwa.

 

Korzyści płynące z testów penetracyjnych
  • Inteligentne zarządzanie lukami w zabezpieczeniach

Pentesty dostarczają szczegółowych informacji o rzeczywistych, możliwych do wykorzystania zagrożeniach bezpieczeństwa. Wykonując test penetracyjny, można aktywnie określić, które słabości są bardziej krytyczne, które są mniej znaczące, a które są fałszywie dodatnie. Dzięki temu organizacja może w przemyślany sposób nadać priorytety działaniom naprawczym czy zastosować odpowiednie poprawki zabezpieczeń.

  • Unikanie przestoju sieci

Odzyskiwanie sprawności systemu czy aplikacji, po naruszeniu bezpieczeństwa może kosztować organizację wiele tysięcy złotych. Jest to związane z działaniami naprawczymi IT, nowymi programami ochrony i retencji klientów, działaniami prawnymi, etc…

  • Spełnianie wymagań prawnych i unikanie kar pieniężnych

Testy penetracyjne pomagają organizacjom poradzić sobie z ogólnymi aspektami audytu / zgodności z przepisami. Szczegółowe raporty generowane przez pentesty mogą, chociażby pomóc organizacjom w uniknięciu znaczących kar za nieprzestrzeganie przepisów.

  • Utrzymanie pozytywnego wizerunku firmy i lojalności klientów

Każdy pojedynczy przypadek naruszenia danych klientów może być kosztowny, zarówno pod względem negatywnego wpływu na sprzedaż, jak i zaszkodzenia wizerunkowi organizacji. Ponieważ koszty utrzymania klientów są wyższe niż kiedykolwiek, nikt nie chce stracić lojalnych użytkowników. Naruszenia bezpieczeństwa danych może spowodować nie tylko odejście lojalnych klientów, ale też trudności w pozyskiwaniu nowych. Testy penetracyjne pomagają uniknąć incydentów, które zagrażają reputacji i wiarygodności organizacji.

Kamery ściana bezpieczeństwo obserwacja

Strategie
  • Testowanie ukierunkowane

Testy ukierunkowane przeprowadzane są zarówno przez zespół IT organizacji, jak i zespół penetrujący. Czasami nazywa się to podejściem „włączonym światłem”, ponieważ każdy ma wgląd do przeprowadzanych testów.

  • Testowanie zewnętrzne

Ten typ testów jest przeznaczony dla zewnętrznych serwerów lub urządzeń firmy, w tym serwerów nazw domeny (DNS), serwerów poczty e-mail, serwerów WWW lub zapór ogniowych. Celem jest sprawdzenie, czy osoba atakująca z zewnątrz może wejść i jak daleko może się dostać, gdy uzyska dostęp.

  • Testowanie wewnętrzne

Naśladuje wewnętrzny atak za zaporą przez autoryzowanego użytkownika ze standardowymi uprawnieniami dostępu. Ten rodzaj testu jest przydatny do oszacowania, jakie szkody może spowodować niezadowolony pracownik.

  • Testowanie ślepej próby („w ciemno”)

Strategia ślepej próby symuluje działania i procedury prawdziwego napastnika poprzez poważne ograniczenie informacji o przeprowadzaniu ataku. Zazwyczaj podaje się tylko nazwę firmy. Ponieważ tego typu test może wymagać znacznej ilości czasu na zwiad, może być drogi.

  • Testowanie podwójnej ślepej próby

W podwójnej ślepej próbie tylko jedna lub dwie osoby w organizacji mogą być świadome przeprowadzania testu. Testy mogą być przydatne do testowania monitorowania bezpieczeństwa w organizacji i identyfikacji incydentów, a także procedur reagowania.

 

Testowanie penetracyjne jest doskonałym przykładem tego, jak bardzo zróżnicowane jest środowisko hakerskie. Pozwala programistom sprawdzić się i dostarcza informację o jakości ich kodu, z pominięciem złych zamiarów. Pentesty są jedną z najlepszych broni, którą nowoczesne firmy mają do dyspozycji w walce z cyberprzestępczością.

6
  •  
    4
    Shares
  • 4
  •  
  •  
  •