Penetrační testování a vše kolem něj

Penetrační testování je jednou z nejoblíbenějších služeb, kterou si u nás v DoxoLogic, s.r.o. zákazníci objednávají. Jedná se totiž o efektivní a zároveň důležitý způsob, jak testovat vlastní bezpečnost a posouvat ji dále.

Jak testování probíhá?

V rámci penetračního testu, si najmete hodného hackera (kterému se říká etický hacker)
a dáte mu za úkol, aby na vás zaútočil.

Takový etický hacker samozřejmě nebude shazovat vaše servery nebo šifrovat důležitá data a požadovat po vás výkupné. Jeho činnost je ale jinak velmi podobná tomu, jak by reálný útočník postupoval doopravdy:

• nejprve si o vás zjistí spoustu informací,
• najde vaše slabá místa,
• následně je využije k simulovanému útoku.

Všechny nalezené problémy, zranitelnosti a slabá místa během útoku pečlivě zdokumentuje. Po skončení testu je s vámi projde a doporučí vám způsob, jak je opravit.

Je důležité zadání penetračních testů?

Ještě před tím, než ale penetrační test začne, je důležité si stanovit, jak bude test probíhat a jaký bude jeho rozsah. Jde především o domluvu, co bude cílem testu.

• Zda poskytnete testerovi nějaké informace (a zacílíte tak jeho test na nějakou konkrétní službu, servery nebo část infrastruktury).
• Nebo mu necháte zcela volné ruce.
• Bývá zvykem také výslovně stanovit, jestli součástí testu může být i testování uživatelů. (Takzvaný social engineering, při kterém tester například pošle vašim uživatelům podvržený e-mail, ve kterém se pokusí z nich vylákat hesla.)

Jak často je vhodné opakovat pentesty?

Testy je vhodné provádět opakovaně (například jednou za rok) nebo po výrazných změnách (infrastruktury, po migracích, upgradech nebo po příchodů většího množství nových zaměstnanců).

Jaké existují typy penetračních testů?

Doteď jsme popisovali externí testování. Tzn. útok zvenčí firmy. Buď úplně bez poskytnutí informací od testované firmy, nebo s nějakými omezenými údaji.

Často provádíme i testování vnitřní infrastruktury, kdy dostaneme přístup do interní sítě a testujeme, jak by probíhal případný útok zevnitř.

Například pomocí napadeného počítače některého ze zaměstnanců, který otevřel nebezpečnou e-mailovou přílohu. To je totiž nejčastější způsob, jak dnešní útoky probíhají. (Více si můžete přečíst např. na stránkách Národního úřadu pro kybernetickou a informační bezpečnost zde).

Zaměřit se můžete i na konkrétní systém

Kromě externích nebo interních penetračních testů si samozřejmě můžete objednat i specificky zaměřené testy:

• test mobilní aplikace
• phishingové kampaně
• test webových stránek
• penetrační testy API
• test Wi-Fi
• testy DoS (zátěžové testy)

Co je na penetračním testování nejdůležitější?

Možná nejdůležitější částí penetračního testu je pak závěrečná zpráva.

V žádném případě se nikdy nespokojte jen s automaticky generovaným reportem z nějakého softwaru nebo skeneru zranitelností!

Právě v ní se plně projeví kvalita penetračního testera. Nejen že dokáže najít bezpečnostní problém a plně mu do detailů porozumět, ale dokáže vám ho také srozumitelně vysvětlit a poradit vám s možnostmi nápravy.

Podle čeho vybrat etického hackera?

Již jen z toho je zřejmé, že nároky na penetračního testera jsou opravdu velké.

• Měl by to být člověk, který je nejen expertem na kybernetickou bezpečnost,
• který ovládá hackerské nástroje a zná nejnovější útočné techniky,
• ale zároveň by se měl orientovat v serverovém prostředí napříč různými operačními systémy,
• měl by vědět, jak fungují sítě, aplikace a systémy, na které útočí,
• měl by umět minimálně základy programování,
• a nejlépe se v tom všem neustále vzdělávat a učit nové věci.

Je to obrovská porce odborných požadavků na každého testera, a proto nejlépe hledejte a využívejte etické hackery, které jejich práce baví, stejně jako testery u nás v DoxoLogic.

Jak to máme my?

Každý penetrační test je pro nás nová výzva.

Něco jako když Garry Kasparov, coby nejlepší šachista své doby bojoval proti nejvyspělejšímu superpočítači Deep Blue.

Zatímco Garry Kasparov ale nakonec v odvetě v roce 1997 prohrál, my většinou neprohráváme. Mít dokonalé zabezpečení je totiž ještě těžší, než vytvořit a naprogramovat superpočítač.

Zaujal vás způsob ověření vašeho zabezpečení pomocí penetračních testů?

Ozvěte se nám, rádi s vámi probereme možnosti penetračního testování přímo ve vaší společnosti.