3-6 minut

Czy testy penetracyjne infrastruktury, aplikacji i sieci zapewnią bezpieczeństwo przedsiębiorstwa?

Dzięki pentestom wykrywane są luki w zabezpieczeniach wykorzystywane przez złośliwe oprogramowanie i przestępców. W badaniu „Under the Hoodie”1 przeprowadzonym przez grupę pentesterów Rapid7, obejmującym dane statyczne zebrane ze 180 zleceń od września 2018 do maja 2019 aż w 96 procentach wykryto przynajmniej jedną, narażającą przedsiębiorstwo na atak, lukę w zabezpieczeniach.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

  1. CZYM SĄ PENTESTY I CZYM ZAJMUJĄ SIĘ PENTESTERZY?
  2. CO TO JEST TEST WHITE BOX I BLACK BOX?
  3. NA CZYM POLEGA TEST PODWÓJNIE ŚLEPY?
  4. W JAKI SPOSÓB PRZEPROWADZA SIĘ TEST PENETRACYJNY?
  5. NA ILE TESTY PENETRACYJNE SĄ W STANIE ZABEZPIECZYĆ PRZEDSIĘBIORSTWO PRZED ZAGROŻENIAMI?

Wyzwanie stanowi m.in. zarządzanie hasłami. W prawie trzech czwartych przypadków (72%) testerzy Rapid7 znaleźli co najmniej jedno hasło możliwe do złamania podczas próby. 60% przypadków to hasła łatwe do odgadnięcia, w których pentester używał haseł domyślnych lub specyficznych dla danej organizacji.

Rodzaje testów penetracyjnych

Istnieje kilka rodzajów testów penetracyjnych. W zależności od wyboru wariantu możliwe jest ustalenie z mniejszą lub większa dokładnością , czy system jest podatny na atak oraz czy stosowane zabezpieczenia okazują się wystarczające.

Test białej skrzynki (white box) to rodzaj symulowanego ataku, w którym osoba testująca (haker) otrzymuje przed podjęciem działań pewne informacje dotyczące rozwiązań bezpieczeństwa wykorzystywanych przez firmę będącą celem. W przypadku testu czarnej skrzynki (black box) zwanego również testem „ślepym” hacker nie wie nic na temat systemu docelowego i próbuje używać jedynie własnej wiedzy i doświadczenia w łamaniu zabezpieczeń. Z kolei test penetracyjny szarej skrzynki jest kombinacją dwóch wcześniej wspomnianych rodzajów – white box i black box. W tym wariancie pentester posiada jedynie część informacji o obiekcie – przekazanych mu przez audytora.

Ze względu na sposób dostępu do systemu wyróżnić można zewnętrzne i wewnętrzne testy penetracyjne. W teście zewnętrznym działający na zlecenie klienta haker próbuje z zewnątrz, spoza firmy, przełamać linię obrony i technologię przedsiębiorstwa poddawanego testom. Weryfikacji podlegać mogą zarówno metody ochrony strony internetowej, jak i zewnętrznych serwerów. W takim przypadku ataków dokonuje się nie tyle z wewnątrz budynku biura, ile z odległej lokalizacji. Test zewnętrzny może być przeprowadzony także z samochodu zaparkowanego w pobliżu firmy, by sprawdzić zabezpieczenia sieci bezprzewodowych klienta. W przypadku testów wewnętrznych weryfikowane są systemy wewnątrzfirmowe. W tym przypadku haker wykonuje test bezpośrednio w sieci firmy. Ten rodzaj weryfikacji systemów bezpieczeństwa przydatny jest do ustalenia, ile szkód może spowodować niezadowolony pracownik, działający w organizacji w obrębie systemów chronionych firewallem.

Warto także wspomnieć o metodzie ukrytego testu penetracyjnego – znanego również testem „podwójnie ślepym”. Jest to sytuacja, w której prawie nikt w firmie, w której odbywa się próba odporności na atak, nie wie o tym, że aktualnie ma miejsce test penetracyjny. Organizatorzy testów muszą ukryć informację o testach bezpieczeństwa systemu przed specjalistami IT, a szczególnie przed zespołem odpowiedzialnym za bezpieczeństwo, który powinien podczas próby właściwie, zgodnie z procedurami, zareagować na atak.

Jak przeprowadzany jest test penetracyjny?

Proces testowania penetracyjnego zazwyczaj rozpoczyna się od identyfikacji oraz rozpoznania przez hackera systemu docelowego, a następnie na podstawie dostępnych informacji podejmowane są przez niego działania mające na celu wykrycie podatności. Podczas tej fazy haker testujący zabezpieczenia firmy poświęca czas na zbieranie danych i informacji, które wykorzysta do zaplanowania symulowanego ataku. Następnie, koncentruje się na zdobywaniu i utrzymywaniu dostępu do systemu docelowego, co wymaga wykorzystania szerokiego zestawu narzędzi.

Narzędzia te obejmują oprogramowanie zaprojektowane do przeprowadzania ataków typu brute-force (włamanie do systemu poprzez wielokrotne próby „zgadywania” hasła) lub SQL injection (z wykorzystaniem luk w oprogramowaniu baz danych). Istnieje również sprzęt specjalnie zaprojektowany do pentestów, pozwalający podłączyć się hackerowi do komputera w testowanej sieci i zapewniający do niej dostęp. Testujący obronę hacker może wykorzystać także techniki inżynierii społecznej, aby znaleźć luki w zabezpieczeniach wysyłając wiadomości e-mail do pracowników, mające na celu wyłudzanie informacji i uzyskanie dostępu do sieci, systemu lub dostępu fizycznego do budynku. Wszystkie sukcesy w zdobywaniu informacji i forsowaniu zabezpieczeń są przez hackera skrzętnie dokumentowane.

Po zakończeniu testu haker stara się ukryć ślady po swoich działaniach wewnątrz testowanej organizacji. Oznacza to usunięcie oprogramowania, które zainstalowane zostało przez niego wewnątrz penetrowanej sieci. Jeżeli wszystko pójdzie zgodnie z jego planem, wówczas zacieranie śladów pozwoli mu uniknąć wykrycia i opuścić system docelowy w taki sposób, jakby go tam nigdy nie było.

Czy testy penetracyjne zapewnią bezpieczeństwo przedsiębiorstwa?

W końcowej fazie weryfikacji zabezpieczeń przygotowywany jest przez testującego raport dla zespołu bezpieczeństwa firmy, której systemy IT poddawane były próbom. Informacje te powinny zostać następnie wykorzystane do wdrożenia aktualizacji zabezpieczeń i ewentualnego usunięcia luk wykrytych podczas testu. Odpowiadając na pytanie zawarte w tytule artykułu należy podkreślić, że testy penetracyjne służą jedynie obnażeniu aktualnych słabości w zabezpieczeniach firmowych. To, czy pentesty przyczynią się do poprawy bezpieczeństwa zależy tylko i wyłącznie od samej firmy i decyzji podjętych na podstawie wniosków z przebiegu procesu testowania.

Więcej informacji na temat pentestów znajdziesz tutaj.

Podsumowanie

Przypomnijmy najważniejsze informacje dotyczące testów penetracyjnych:

  • Test białej skrzynki (white box) to rodzaj symulowanego ataku, w którym osoba testująca (haker) otrzymuje przed podjęciem działań pewne informacje dotyczące rozwiązań bezpieczeństwa wykorzystywanych przez firmę będącą celem
  • Test czarnej skrzynki (black box) zwany również testem „ślepym” to taka próba zabezpieczeń przedsiębiorstwa, w której hacker nie wie nic na temat systemu docelowego i próbuje używać jedynie własnej wiedzy i doświadczenia w łamaniu zabezpieczeń
  • Ukryty test penetracyjny, znany również testem „podwójnie ślepym” to sytuacja, w której prawie nikt w firmie, w której odbywa się próba odporności na atak, nie wie o tym, że aktualnie ma miejsce test penetracyjny. Organizatorzy testów muszą ukryć informację o testach bezpieczeństwa systemu przed specjalistami IT, by sprawdzić jak reagują na atak
  • Narzędzia do pentestów obejmują m.in. oprogramowanie zaprojektowane do przeprowadzania ataków typu brute-force lub SQL injection
  • Po zakończeniu testu haker stara się ukryć ślady po swoich działaniach wewnątrz testowanej organizacji. Oznacza to usunięcie oprogramowania, które zainstalowane zostało przez niego wewnątrz penetrowanej sieci. Sporządzany jest także raport końcowy

1https://www.rapid7.com/research/report/under-the-hoodie-2019

Usługi Bezpieczeństwa IT

Ten artykuł dotyczy produktu

Usługi Bezpieczeństwa IT

Przejdź do produktu

Data publikacji: 16.07.2020

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.