W poniższym artykule dowiesz się na czym polega wykonanie pentestów, dla kogo je robimy i w jaki sposób. Również do czego służy wykorzystanie pentestów podczas audytu.
Po co i do czego wykonuje się pentesty?
Pentesty, inaczej zwane testy penetracyjne, służą do sprawdzenia poziomu bezpieczeństwa danego zasobu, m.in. systemów teleinformatycznych, aplikacji, stron internetowych, sieci bezprzewodowych. Jest to symulacja ataku hakerskiego, który sprawdza zabezpieczenia zasobów i wskazuje, gdzie powstały luki w zabezpieczeniach sieci.
Audyt i wykonanie pentestów
Jeśli chce się sprawdzić funkcjonowanie zabezpieczeń w organizacjach czy też w firmach, zaleca się podczas wykonywania audytu zrobienia pentestów systemów teleinformatycznych. Te działanie jest wykonywane w ramach sprawdzenia systemu zarządzania bezpieczeństwem informacji, które jest uregulowane prawnie m.in. w Krajowych Ramach Interoperacyjności.
Chcąc przeprowadzić audyt, czyli ocenę sprawności systemów pod względem przepisów i procedur, zalecane jest wykonanie takiego testu, aby do uwag dorzucić wyniki przeprowadzonych analiz praktycznych w systemach. Jeśli planuje się przeprowadzić w niedalekiej przyszłości audyt, to warto uwzględnić w nim wykonanie pentestu systemów teleinformatycznych.
Pamiętaj! Pentest jest elementem wykonywanym podczas audytu, który na celu ma wskazać faktyczny stan zabezpieczenia sieci teleinformatycznych. Wszelkie wnioski i uwagi mogą być później zawarte w raporcie, który będzie wskazywał miejsca błędów i możliwe do podjęcia kolejne działania.
Pentesty. Co sprawdzają?
Sprawdzenie wyznaczonych przez klienta zasobów może zająć pentesterowi nieco czasu, lecz jest to spowodowane ilością rzeczy, która jest poddawana analizie. Ze względu na to, że ma to przypominać rzeczywisty cyberatak, pentesterzy mają za zadanie jak najwierniej odwzorować atak hakerski na wyznaczone obszary. Elementy, które powinny być zweryfikowane, to:
- funkcjonowanie sieci;
- konfiguracja firewalla;
- konfiguracja baz MYSQL/SQL;
- konfiguracja serwerów poczty SMTP;
- ustawienia FTP;
- aplikacje sieciowe;
- oprogramowanie używane po stronie klienta;
- przeglądarki internetowe;
- odtwarzacze multimediów;
- pakiety biurowe;
- struktura sieci bezprzewodowej.
Warto też jest sprawdzić elementy socjotechniki, aby sprawdzić cały personel, czy będą w stanie oprzeć się próbom manipulacji pod kątem przekazywania istotnych informacji pentesterowi. Wszystkie wyniki będą później odnotowane w końcowym raporcie, który udostępni pentester.
Przykład. Wykonaliśmy zlecone przez kierownictwo działania w oparciu o socjotechnikę na wskazane osoby i ich wyposażenie IT. Po co? W celu potwierdzenia wykonywania zadań zgodnie z Polityką Bezpieczeństwa Informacji danej organizacji. Robimy to dla podmiotów prywatnych i JST.
Rodzaje pentestów
Tak jak cyberataki, tak pentesty można wykonać na kilka sposobów. Obecnie znane są trzy rodzaje wykonywanych pentestów. Są to Black Box Pentest, White Box Pentest i Grey Box Pentest.
Black Box Pentest (atak z zewnątrz)
Test czarnej skrzynki to która jest wykonywana najczęściej z minimalną wiedzą o badanych zasobach u klienta Pentester posiada wiedzę podobną do zwykłego włamywacza, czyli np. adres strony internetowej firmy, adresy mailowe firmy, itp. Brak ma natomiast informacji do całej architektury systemów, czy też nie posiada wiedzy odnośnie sprawdzanego obszaru.
Black Box charakteryzuje się tym, że wpierw zbiera wszystkie możliwe informacje. Potem pentester wykorzystuje samodzielnie znalezione błędy do sprawdzenia systemu. Cały ten test może zająć sporą ilość czasu ze względu na to, że pentester będzie próbować np. samodzielnie łamać hasła, kiedy to cyberprzestępcy zazwyczaj wykorzystują do tego narzędzia typu phishing, malware, spam.
Przykłady. Wykonaliśmy m.in. pentesty oprogramowania GEOPORTAL dla starostw powiatowych czy AMMS dla szpitali.
White Box Pentest (atak z wewnątrz)
Test białej skrzynki opiera się na tym, że pentester posiada całą wiedzę dotyczącą badanych obszarów oraz dostępy do wszystkich planów lub architektury systemów. Wykonuje się analizę kodu źródłowego, gdzie skupia się na wykrywaniu możliwych ataków z zewnątrz i wewnątrz sieci.
Ten typ testu wskazuje występowanie błędów, które powstały na etapie projektowania. Jednakże może wystąpić problem, że istnieje opcja pominięcia rozbieżności między stanem udokumentowanym, a stanem faktycznym.
Przykład. Wymagany z UoKSC dla szpitali i innym podmiotów publicznych. Dotychczas m.in. wykonaliśmy dla 9 szpitali.
Grey Box Pentest (atak z zewnątrz i wewnątrz)
Test szarej skrzynki wynika z kompromisu złączonym z elementami zawartymi w Black Box Pentest a White Box Pentest. Pentester otrzymuje część danych związanych z obszarem, które będzie badał, z czego pentester nie powinien mieć dostępu do kodu źródłowego.
Te testy mają na celu przypominać atak hakera, który zdołał już pozyskać jakąś cześć informacji związaną z zasobem. Nie będzie ono jednak przypominać pełnych testów czarnej i białej skrzynki, o czym warto pamiętać.
Przykład. Cykliczne pentesty i audyty zgodnie z KRI i KSC dla podmiotów /operatorów kluczowych (np. szpitali, wodociągów, dostawców energii).
Kto może / powinien przeprowadzić pentesty?
Najlepiej jest wziąć osoby spoza firmy, czy też spoza organizacji, które posiadają nikłą wiedzę odnośnie posiadanych zabezpieczeń klienta. Osoba ta powinna mieć wiedzę i umiejętności hakerskie, posiadać doświadczenie w programowaniu bądź w zarządzaniu strukturami IT oraz zdobyte uprawnienia i certyfikaty.
Nasz zespół Doering & Partnerzy posiada współpracowników z odpowiednimi certyfikatami i przede wszystkim umiejętnościami.
Ważne jest to, żeby osoba przeprowadzająca testy mogła być jak najbardziej obiektywna w swojej ocenie. Takim osobom jest łatwiej wskazać błędy, które mogły zostać pominięte przez twórców systemu.
Można tez poprosić o wykonanie takich testów osobę z organizacji. Jednakże wtedy należy wykonywać te testy ze specjalnym oprogramowaniem, a same testy dodatkowo mają narzucane ograniczenia, które mogą w pełni nie wykazać zdolności zabezpieczeń.
Zobacz więcej:
Cyberbezpieczny Samorząd. Jak zrealizować grant?
Jak zapewnić bezpieczeństwo informacji? Krok po kroku.
Jak przeprowadzić szkolenie z cyberbezpieczeństwa w urzędzie? Zakres i program
Szkolenie w zakresie ochrony danych na przykładzie szpitala
Bezpieczeństwo kanałów zgłoszeniowych dla sygnalisty
