Penetracijski test (pentest)
za neprebojno varnost

Penetracijski test lahko opredelimo kot legalen in avtoriziran poskus napada na informacijski sistem z namenom odkrivanja ranljivosti, ki bi jih lahko izkoristili hekerji. Sam postopek penetracijskega testiranja vključuje tako iskanje ranljivosti v programski in strojni opremi kot tudi izvedbo napada, s katerim pokažemo, da so ranljivosti realne in da jih je mogoče izkoristiti.

Postopek se zaključi s pregledom odkritih ranljivosti in priporočili, kako le te odpraviti. Penetracijski test nam pomaga pri zaščiti informacijskih sistemov pred napadi v prihodnosti. Penetracijsko testiranje poznamo tudi pod nazivoma »etični heking« in pentest. Penetracijski test je sestavni del celovitega načrta zagotavljanja kibernetske varnosti.

Kibernetska ključavnica

Zakaj penetracijsko testiranje?

Pentest omogoča podjetjem oceniti varnost svojega informacijskega sistema. Tako testiranje pokaže, katera področja informacijskega sistema so s stališča varnosti dobro pokrita in katera potrebujejo izboljšave. Uspešen kibernetski napad na podjetje lahko pomeni velike stroške.

Penetracijski test nam omogoča pregled varnosti informacijskega sistema, odkrivanje njegovih ranljivosti, preden jih lahko izkoristijo napadalci, zagotavljanje skladnosti z zakonodajo in regulativami ter izboljšanje informacijske varnosti.

Kako izvedemo penetracijski test?

Pred izvedbo penetracijskega testa morata naočnik in izvajalec uskladiti in potrditi pogoje izvajanja testa. Določiti je potrebno okvir vdora, dovoljene metode testiranja in vdiranja, cilje testiranja in nosilce odgovornosti. Vsi pogoji morajo biti potrjeni s strani naročnika. Prav tako mora naročnik izdati dovoljenje za vdor.

Kaj je sistemski varnostni
pregled omrežja?
Poznamo dva načina kako opraviti uspešen strokovni pregled.

Cilj penetracijskega testa

Cilj vsakega penetracijskega testa je preveriti zaščitne ukrepe in nadzor informacijskega sistema. Kompleksnost današnjih informacijskih sistemov, omrežij, storitev v oblaku in mobilnosti samo povečuje obseg ter možne vidike, ki jih je potrebno zajeti v testiranje in ustrezno preveriti. Vendar se da tudi pentest razdeliti na manjše cilje, kot so; zaščita IT sredstev in podatkov, prepoznavanje varnostnih groženj, opredelitev tveganja in ocena morebitnih finančnih izgub.

Zaščita IT sredstev in podatkov

Podjetja uporabljajo več vrst varovanja IT sredstev in podatkov. Kljub vsem zaščitam, kot so požarni zidovi, protivirusna zaščita in šifriranje omrežnih povezav, napadalcem še vedno uspevajo vdori v informacijske sisteme, saj se vzporedno z razvojem zaščite razvijajo tudi napadi.

Opredelitev tveganja

Penetracijski test mora biti del standardne varnostne politike, saj nam pomaga razumeti in opredeliti varnostna tveganja. Dober penetracijski test, ki je kontinuirani proces, nas tako bolje pripravi na morebitne napade.

Ocena morebitnih finančnih izgub

Rezultat penetracijskega testa nam da tudi vpogled v finančne posledice kibernetskega napada, ki bi lahko nastali, v primeru, da bi se nepridipravi dokopali do osebnih podatkov strank ali do IT omrežja.

Prepoznavanje varnostnih groženj

Pri pregledu je potrebno opredeliti grožnje, kot so napadi z izsiljevalskimi virusi, kraja podatkov in nedelovanje ali motnje poslovnih procesov. Takšne grožnje lahko vodijo v izgubo strank ali poslov, kar ima tudi finančne posledice.

Kaj zajema pentest?

Kot vsak kompleksen proces se tudi pentest razdeli v faze. Vse faze skupaj tvorijo celovito metodologijo za izvajanje testiranja. Podroben pregled poročil o izvedenih kibernetskih napadih pokaže, da hekerji uporabljajo enako metodologijo napadov.

Uporaba faznega pristopa nam omogoča lažje obvladovanje in pregled nad celotnim procesom, fokusiran napad ter uporabo rezultatov in pridobljenih informacij v vsaki naslednji fazi. Faze sistemskega varnostnega pregleda so prepoznavanje, odkrivanje, analiza, poskus vdora, analiza poskusa vdora in priprava poročila.

Digitalna ključavnica

Prepoznavanje

Preiskava vključuje analizo predhodno zbranih informacij. Največkrat je naše poznavanje podjetja omejeno in v tej fazi poskušamo zbrati čim več informacij o informacijskem sistemu napadenega podjetja. Pri pentestih se je že velikokrat izkazalo, da so bile majhne in navidezno nepomembne informacije ključnega pomena za uspešen vdor.

Odkrivanje

V tej fazi tester uporabi orodja za skeniranje in odkrivanje ranljivosti. Poskuša pridobiti čim več informacij o potencialnih tarčah in možnih ranljivostih. V tej fazi pridobimo podatke o omrežju, varnostnih napravah, strežnikih in storitvah, ki jih ponujajo strežniki.

Analiza

Tester analizira zbrane informacije in načrtuje vdor v sistem. Ta korak lahko traja dlje časa, odvisno od kompleksnosti informacijskega sistema podjetja. Rezultat te faze je seznam ranljivih sistemov, ki predstavljajo možne tarče za vdor v informacijski sistem.

Poskus vdora

Faza vključuje dejanski napad in možen vdor v predhodno izbrane tarče. Celoten poskus vdora mora potekati skrbno in na način, da se izognemo izgubi podatkov ali nedelovanju sistemov, prav tako vdor ne sme nikakor vplivati na delovanje podjetja, zaposleni pa verjetno ne bodo niti opazili, da se kar koli dogaja.

Analiza poskusa vdora

Analiza upošteva vse do sedaj zbrane informacije. Tester pripravi spisek izvedenih testov, uspešnost testov in stopnjo ranljivosti. Ravno tako pripravi priporočila za odpravo odkritih ranljivosti in tveganj. Ta priporočila se potem predstavijo vodstvu podjetja oz. odgovornim za IT v podjetju. Faze prepoznavanja, odkrivanja, analize in poskusa vdora si lahko sledijo večkrat, saj lahko po vsakem vdoru odkrijemo nove informacije o sistemih.

Sistemski varnostni pregled – Metode

Testiranje v beli ali sivi škatli

Pri testiranju v beli škatli, tester sodeluje z vodstvom, IT in varnostnim oddelkom podjetja ter ima neomejen dostop do vseh informacij, ki jih potrebuje med samim testiranjem. Gre za celovito testiranje, saj tester pridobi vrsto informacij o omrežju, napravah, strežnikih in storitvah. Prav tako tester pozna izvorno kodo aplikacij. Zunanji napadalci lahko porabijo veliko časa za pridobivanje informacij o informacijskem sistemu podjetja. Da bi zmanjšali čas pridobivanja informacij, podjetje lahko testerju priskrbi samo omejene informacije o informacijskem sistemu, tukaj pa govorimo o testiranju v sivi škatli.

Zunanji sistemski varnostni pregled

Kot je razvidno iz imena, gre za varnostni pregled, pri katerem se preverja možnost vdora v informacijski sistem prek interneta oziroma prek brezžičnega omrežja podjetja, če je dostopno v okolici poslovne stavbe. Pri preverjanju možnosti vdora prek interneta se preveri vse IP naslove in storitve, dostopne prek interneta, pri brezžičnem omrežju pa je cilj pridobiti dostop do notranjega omrežja. Uporabljena metoda testiranja je črna škatla, kar pomeni, da se morebitne ranljivosti informacijskega sistema preveri na načine, kot bi se napada lotili spletni nepridipravi oziroma zunanji napadalci.

Notranji sistemski varnostni pregled

Pri notranjem sistemskem varnostnem pregledu se poustvari situacijo, v kateri bi bil napadalec na omrežje zaposleni, oziroma oseba, ki ima neposreden dostop do omrežja organizacije. Ker so notranja omrežja po naravi bolj odprta in so zaposleni na njih priključeni dalj časa, so napadi na notranja omrežja vedno bolj pogosti. Preverjanje možnosti vdora preko notranjega omrežja nam pokaže varnostne luknje, ki bi jih napadalec lahko izkoristil, ko bi pridobil dostop. Notranji sistemski varnostni pregled največkrat pokaže več varnostnih pomanjkljivosti v primerjavi z zunanjim.

Socialni inženiring

Dejansko gre pri napadu s socialnim inženiringom za poskus zunanjega napadalca, da bi s pomočjo prevare ukanil zaposlenega v podjetju in od njega pridobil zaupne podatke oziroma kar dostop do računalnika. Največkrat se socialni inženiring izvaja prek e-poštnega sporočila, ki vsebuje ali povezavo do lažne spletne strani, ki je namenjena prestrezanju določenih podatkov, ali pa ima priloženo datoteko, v kateri se skriva nevarnost za informacijski sistem vašega podjetja. Ker je računalnik napadene osebe največkrat povezan v omrežje podjetja, je rezultat takšnega napada lahko nova vstopna točka za napadalca.

Poročilo

Po končanem napadu naš strokovnjak pripravi poročilo, ki vsebuje povzetek, podrobne postopke izvedenega testiranja, analizo ranljivosti in priporočila za odpravo odkritih ranljivosti. Povzetek vključuje vse bistvene dele testiranja: kakšno testiranje se je izvajalo, kako se je izvajalo in katere ranljivosti so bile odkrite. Poročilo vsebuje vse pridobljene informacije, izvedene teste in podroben opis poskusa vdora ter podrobne rezultate analize poskusa vdora. Pomemben del poročila so tudi priporočila, kako odpraviti odkrite varnostne luknje.

Kako poteka varnostno svetovanje?

S penetracijskim testom in varnostnim pregledom omrežja pridobimo podatke o samih strežnikih, aplikacijah in storitvah, ki jih uporablja naročnik varnostnega pregleda. Na ta način nato ugotovimo varnostne pomanjkljivosti in ranljivosti sistema.

S pregledom pa pridobimo tudi informacije o tem, do česa lahko nepooblaščena oseba dostopa – bodisi prek interneta bodisi prek notranjega omrežja – in na ta način škoduje podjetju na različne načine. Vsekakor je za naročnika nadvse pomembno, da pozna potencialne ranljivosti v notranjem omrežju podjetja, ki bi ga lahko spravile v težave.

Varnostno svetovanje zajema podrobno predstavitev poročila. Pri tem je poseben poudarek namenjen odpravljanju odkritih varnostnih lukenj, nadaljnji zaščiti IT sredstev in podatkov, opredelitvi tveganja in oceni morebitnih finančnih izgub v primeru kibernetskega napada.

Penetracijski test je primeren za vsa podjetja, ki so pred kratkim nadgrajevala ali spreminjala svoj informacijski sistem, dodajala nove storitve za uporabnike spreminjala poslovne procese ali lokacijo dela. Ob spremembah se lahko hitro pojavijo nove varnostne luknje, ki jih je potrebno odkriti in zaščititi.

Ravno tako je testiranje primerno za podjetja, ki varnostnega testa še niso izvajala. Kljub temu, da vsi informatiki skrbijo za varnost, se ob rasti podjetja in kompleksnosti sistema pojavljajo nove varnostne pomanjkljivosti, ki jih je enostavno prezreti.

Naročite se na
brezplačni posvet ali stopite v stik