Penetračné testovanie: využite etických hackerov pre simulovaný útok na váš systém

S ter­mí­nom pe­net­rač­né tes­to­va­nie (skrá­te­ne pen­test) sa stre­tá­va stá­le viac ľu­dí ochra­ňu­jú­cich in­for­mač­né ak­tí­va. Ide o si­mu­lo­va­ný hac­ker­ský útok na sys­tém, po­čas kto­ré­ho sa me­to­dic­ky vy­ko­ná­va ši­ro­ká pa­le­ta tes­tov na jed­not­li­vé sú­čas­ti sys­té­mu, ako­by ich us­ku­toč­ňo­val reál­ny útoč­ník. Pre­to sa mu ho­vo­rí aj etic­ký hac­king.

Cie­ľom je od­ha­liť prí­tom­né zra­ni­teľ­nos­ti skôr, ako by ich od­ha­lil niek­to s ne­ka­lý­mi úmys­la­mi. Vý­stu­pom tes­tu je sprá­va ob­sa­hu­jú­ca in­for­má­cie o sys­té­me, je­ho vstup­ných bo­doch, prí­tom­ných zra­ni­teľ­nos­tiach, vy­plý­va­jú­cich ri­zi­kách a hlav­ne od­po­rú­ča­nia na op­ra­vu zra­ni­teľ­nos­tí.

Ako to fun­gu­je?

Keď sa fir­ma roz­hod­ne pre pe­net­rač­né tes­to­va­nie, v roz­ho­vo­roch s do­dá­va­te­ľom si naj­skôr ujas­ní nie­koľ­ko zá­klad­ných pa­ra­met­rov. V pr­vom ra­de tre­ba vy­me­dziť, čo je pred­me­tom tes­to­va­nia. Je pot­reb­né pre­ve­riť webo­vú ap­li­ká­ciu, pod­ni­ko­vú sieť ale­bo sprá­va­nie ľu­dí? (Áno, tes­to­va­nie sa mô­že tý­kať aj reál­nych osôb, za­mes­tnan­cov.) Ale­bo je ne­vyh­nut­né pre­ve­riť bez­peč­nosť na všet­kých jej úrov­niach?

Je vhod­né na tes­to­va­nie zvo­liť me­tó­du blac­kbox, keď o sys­té­me nie sú zná­me žiad­ne in­for­má­cie? Ale­bo me­tó­du whi­te­box, keď sú k dis­po­zí­cii inter­né in­for­má­cie o sys­té­me? Kto­ré čas­ti sys­té­mu sa bu­dú tes­to­vať? Bu­de sa sieť tes­to­vať iba zvon­ku ale­bo aj zvnút­ra? Pri hľa­da­ní od­po­ve­dí na tie­to otáz­ky sa vy­jas­ní roz­sah, hĺbka a for­ma tes­tu. Nás­led­ne mož­no pris­tú­piť k tes­to­va­niu.

Exis­tu­je veľ­ké množ­stvo špe­cia­li­zo­va­ných bez­peč­nos­tných nás­tro­jov. Tie sú veľ­mi dob­rý­mi po­moc­ník­mi, ale svo­ju si­lu zís­ka­va­jú až v ru­kách skú­se­ných pen­tes­te­rov. Hlav­ná časť tes­to­va­nia je de­tail­né ma­nuál­ne tes­to­va­nie vy­ko­ná­va­né ľuď­mi, kto­rí poz­na­jú út­ro­by sys­té­mov a ve­dia, ako sa sprá­va­jú v neš­tan­dar­dných si­tuáciách.

Na vy­ko­na­nie kva­lit­né­ho pe­net­rač­né­ho tes­tu tre­ba mať vždy preh­ľad v sú­čas­ných tren­doch úto­kov a proti­opat­re­ní. Tes­te­ri mu­sia sle­do­vať bez­peč­nost­ný vý­skum a poz­nať všet­ky no­vé hroz­by, aby ich ve­de­li od­ha­liť a do­ká­za­li na ne rea­go­vať. To pla­tí pre všet­ky dru­hy bez­peč­nos­tných tes­tov.

V sú­čas­nos­ti sú naj­bež­nej­šie pe­net­rač­né tes­ty webo­vých ap­li­ká­cií. Exis­tu­jú rôz­ne ty­py tes­tov, kto­ré mô­že­me zo­ra­diť pod­ľa hĺbky, do kto­rej idú, a te­da aj kva­li­ty vý­stu­pu, kto­rý po­nú­ka­jú.

Naj­jed­no­duch­ší je auto­ma­ti­zo­va­ný test. Ten je vy­ko­na­ný špe­cia­li­zo­va­ným bez­peč­nos­tným nás­tro­jom, kto­rý auto­ma­ti­zo­va­ne tes­tu­je webo­vú strán­ku na zra­ni­teľ­nos­ti. Ide o zá­klad­ný test, kto­rý má svo­je li­mi­ty. Mô­že ob­sa­ho­vať tzv. fal­se po­si­ti­ves, te­da chyb­né in­for­má­cie o zra­ni­teľ­nos­tiach. Vzhľa­dom na je­ho níz­ku ce­nu ho vo­lia men­šie pod­ni­ky s níz­kym roz­poč­tom na bez­peč­nosť. Je­ho umies­tne­nie na naj­niž­šom mies­te reb­ríč­ka ho však ne­dis­kva­li­fi­ku­je. Väč­ši­na bež­ných úto­kov sa to­tiž vy­ko­ná­va prá­ve po­mo­cou nás­tro­jov toh­to ty­pu. Tre­ba ho po­va­žo­vať za spod­nú lat­ku, pod kto­rú by ste ne­ma­li ísť, ak si ce­ní­te in­for­má­cie, kto­ré má­te chrá­niť. V ro­ku 2009 sa sta­la spo­loč­nosť Oran­ge obe­ťou me­dia­li­zo­va­né­ho úto­ku, kto­rý mal nep­rí­jem­ný do­sah na re­pu­tá­ciu spo­loč­nos­ti. Ana­lý­za uká­za­la, že zneu­ži­tú zra­ni­teľ­nosť od­ha­lil aj auto­ma­ti­zo­va­ný test.

Do väč­šej hĺbky idú ma­nuál­ne tes­ty. Pri nich sa ta­kis­to pou­ží­va­jú auto­ma­tic­ké nás­tro­je, ale pod­sta­tu tvo­rí prá­ve ma­nuál­na prá­ca tes­te­ra. Jed­no­duch­ší z nich je test, kto­rý sa za­me­ria­va na naj­zná­mej­šie a naj­viac zneu­ží­va­né zra­ni­teľ­nos­ti, zve­rej­ňo­va­né kaž­do­roč­ne v „hit­pa­rá­de chýb" OWASP Top 10. Or­ga­ni­zá­cia OWASP, kto­rá prip­ra­vu­je ten­to reb­rí­ček, pub­li­ku­je aj prí­ruč­ku pre pen­tes­te­rov OWASP Tes­ting Gui­de. Tá ob­sa­hu­je kom­plet­nú zbier­ku všet­kých zná­mych ty­pov zra­ni­teľ­nos­tí. Test pod­ľa tej­to prí­ruč­ky je naj­hl­bší a naj­de­tail­nej­ší štan­dar­di­zo­va­ný test webo­vých ap­li­ká­cií. V zá­vis­los­ti od veľ­kos­ti tes­to­va­né­ho sys­té­mu mô­že tr­vať nie­koľ­ko dní až týž­dňov.

Tes­ty sie­ťo­vej infra­štruk­tú­ry sa za­me­ria­va­jú na kon­fi­gu­rá­ciu sie­tí a za­ria­de­ní v nich. Po­su­dzo­va­né sú jed­not­li­vé služ­by, ich účel, kon­fi­gu­rá­cie, ver­zie. Roz­sah tes­tu zá­vi­sí hlav­ne od to­ho, či sa vy­ko­ná­va vzdia­le­ne z inter­ne­tu ale­bo z lo­kál­nej sie­te. Tes­ty z von­kaj­šej sie­te bý­va­jú ča­so­vo krat­šie, pre­to­že z inter­ne­tu je vi­di­teľ­né men­šie množ­stvo za­ria­de­ní. Tes­ty z vnú­tor­nej pod­ni­ko­vej sie­te tr­va­jú dlh­šie a spra­vid­la uka­zu­jú viac zra­ni­teľ­nos­tí. Správ­co­via to­tiž dá­va­jú men­ší dô­raz na úto­ky zvnút­ra, spo­lie­ha­jú sa na pe­ri­met­ro­vú ochra­nu a dô­ve­ru­jú čes­tnos­ti pou­ží­va­te­ľov. Pre­to na inter­né sys­té­my čas­to ne­na­sa­dzu­jú ani len bez­peč­nos­tné zá­pla­ty. Vzhľa­dom na šta­tis­ti­ky úto­kov z mi­nu­los­ti to po­va­žu­je­me za chy­bu, pre­to­že väč­ši­na úto­kov pri­chá­dza prá­ve z vnú­tor­nej sie­te.

Úpl­ne iný typ tes­tov tvo­ria pe­net­rač­né tes­ty me­tó­da­mi so­ciál­ne­ho in­ži­nier­stva. Pri nich sa neú­to­čí na tech­nic­ké chy­by, ale na ľud­ské. Ta­ké­to úto­ky ne­raz vy­ko­ná­va kon­ku­ren­cia v rám­ci prie­my­sel­nej špio­ná­že. Po­čas tes­tu sa kon­tro­lo­va­ným spô­so­bom vy­ko­ná­va­jú úto­ky v rôz­nych ob­las­tiach pod­ľa do­ho­dy so zá­kaz­ní­kom. V príp­rav­nej fá­ze tre­ba zoz­bie­rať dos­tup­né in­for­má­cie o spo­loč­nos­ti, jej pro­duk­toch, za­mes­tnan­coch a zá­kaz­ní­koch. Na ich zá­kla­de sa vy­tvo­ria jed­not­li­vé sce­ná­re úto­kov. Tie pre­bie­ha­jú cez jed­not­li­vé ka­ná­ly (te­le­fo­nát, e-mail, kla­sic­ká ko­reš­pon­den­cia, so­ciál­ne sie­te, osob­ný kon­takt) ale­bo cez ich kom­bi­ná­cie. Tes­te­ri sa útok­mi na ľud­skú sla­bosť do­ká­žu dos­tať k cit­li­vým úda­jom. Pr­vý test toh­to ty­pu bý­va spra­vid­la ús­peš­ný. Po ňom nas­le­du­je tré­ning za­mes­tnan­cov, po­čas kto­ré­ho si väč­ši­na z nich uve­do­mí, aké reál­ne sú da­né hroz­by.

Pe­net­rač­né tes­to­va­nie je dô­le­ži­tá sú­časť sta­ros­tli­vos­ti o bez­peč­nosť váš­ho biz­ni­su. Vďa­ka ne­mu od­ha­lí­te chy­by skôr ako útoč­ník a zís­ka­te čas na ich op­ra­vu. Bez­peč­nosť je však dy­na­mic­ká a vo sve­te sa neus­tá­le ob­ja­vu­jú no­vé hroz­by. Na udr­ža­nie ro­zum­nej mie­ry bez­peč­nos­ti je pre­to vhod­né pe­net­rač­né tes­ty opa­ko­vať. Štan­dar­dne kaž­dý rok ale­bo pri kaž­dej veľ­kej zme­ne v sys­té­me. Naj­is­tej­ší spô­sob, ako sa za­bez­pe­čiť, je ten, že tzv. dob­rí ale­bo whi­te-hat hac­ke­ri pra­cu­jú pre vás...

To­máš Za­ťko, ci­ta­de­lo.com

Zdroj: IW 10/2013


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

In­for­mač­ná bez­peč­nosť: Geog­ra­fic­ky dis­tri­buo­va­ná ochra­na dát
Ako minimalizovať výpadok IT služieb a stratu dát v dôsledku nepriaznivých udalostí. Zatiaľ čo v predošlej dekáde stačilo chrániť pred výpadkom niektoré aplikácie.  čítať »
 
Pla­te­ná rek­la­ma vs. op­ti­ma­li­zá­cia SEO – vý­ho­dy, ne­ga­tí­va, mož­nos­ti
Špecialisti na SEO tvrdia, že správnou optimalizáciou webu máte šancu získať oveľa viac ako platenou reklamou. Naproti tomu experti na platenú reklamu argumentujú dosahovaním rýchlych a merateľných výsledkov. čítať »
 
Ar­chi­tekt vs Pro­jek­to­vý ma­na­žér - spo­jen­ci, či ne­pria­te­lia?
Tieto roly existujú v každom väčšom projekte, ale napriek tomu ich spolupráca často neprebieha tak hladko ako by sa očakávalo. Je dôvod v samotných rolách, alebo leží úplne inde? čítať »
 
Ap­pli­ca­tion De­li­ve­ry – efek­tív­na ochra­na pro­ti hac­ke­rom a op­ti­ma­li­zá­cia vý­ko­nu slu­žieb
Sú vaše webové služby chránené proti hackerom? Programátori často urobia chyby, ktoré dokážu útočníci zneužiť.   čítať »
 
Cloud com­pu­ting: Oča­ká­va­nia a reali­ta, preh­ľad pos­ky­to­va­te­ľov (Ama­zon, Goog­le, IBM, Mic­ro­soft)
Cloud computing, technológia predstavujúca model zdieľania hardvérových zdrojov pomocou virtualizácie a automatizácie, v súčasnosti naberá rýchlosť pri globálnom rozširovaní sa do celého spektra sektorov poskytujúcich obrovské množstvo služieb. čítať »
 
Dá­ta nie sú len ved­ľaj­ším pro­duk­tom pre­vádz­ky IS
Na otázku, ako stručne hodnotíte informačný systém vašej organizácie, by sme dostali mnoho rôznych odpovedí. čítať »
 
BYOD pod­po­ru­je ino­vač­né ini­cia­tí­vy ta­len­to­va­ných za­mes­tnan­cov
Jeden z charakteristických atribútov trendu BYOD je možnosť vynútenia technologického pokroku v IT podpore biznisu „zdola", najčastejšie zo strany mladších používateľov. čítať »
 
Li­cen­čnú čis­to­tu je ťaž­ké us­trá­žiť
Pre licenčného manažéra je znalosť aktuálnych licenčných podmienok od dvoch až troch výrobcov softvéru na všetok využívaný softvér v spoločnosti nedosiahnuteľná méta. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter