Kaj je penetracijski test ali pentest?

Kaj je penetracijski test ali pentest? Kaj je varnostni pregled?

Namen penetracijskega testiranja je določiti stopnjo varnosti sistema oziroma njegove ogroženosti in šibkih točk, ki omogočajo morebitna nepooblaščena dejanja tretjih oseb, ki vplivajo na zaupnost, celovitost in razpoložljivost.

Penetracijski test je odvisen od hitrosti razvoja sodobnih programskih aplikacij. Glede na to, da se v današnjem času aplikacije hitro razvijajo, z razvojem novih aplikacij pa je napadov več, varnosti ni več smiselno preverjati enkrat letno ali čakati dva meseca na začetek pregleda.

Zakaj je naš pristop »nova generacija penetracijskega testiranj«:

• V primerjavi s tradicionalnimi penetracijskimi testi prinašamo nov način nenehnega obvladovanja kibernetskih tveganj. Nova generacija penetracijskega testa je sestavljena iz posameznih storitev, ki so zasnovane za zagotavljanje stroškovno učinkovite proaktivne zaščite;
• razširi zaščito in zapolni vrzeli med periodičnimi pentest pregledi;
• hitra omilitev in sanacija že odkritih šibkih točk ali novih funkcij. Prihranite čas z optimizacijo interakcij s stranko preko opredelitve minimalnih komunikacijskih potreb;

Penetracijske teste morajo izvajati samo zaupanja vredni in potrjeni strokovnjaki, da bi zagotovili:

• Sistemsko stabilnost vašega obstoječega sistema;
• Preprečevanje kakršnekoli okvare podatkov ali nepooblaščenega dostopa do podatkov;
• Zagotavljanje metodološke ocene varnostnega tveganja.

Ocena varnostnega tveganja temelji na prepoznavanju in količinski opredelitvi informacijskih tveganj po vnaprej določenih merilih podjetja glede stopnje sprejemljivega informacijskega tveganja skupaj z vključevanjem drugih ciljev, pomembnih za podjetje. Rezultati vodijo do določitve prednostnih nalog in ustreznih ukrepov za upravljanje tveganj v povezavi z informacijsko varnostjo, ter za izvajanje potrebnega nadzora za zaščito pred temi tveganji.

Ocenjevanje informacijskih tveganj in izvajanje potrebnega nadzora je morda potrebno opraviti večkrat in v različnih delih informacijskega sistema, ter se nato odzvati na vse morebitne spremembe. Kot del penetracijskega testa prejmete:

• Povzetek s strateškimi priporočili za dolgoročne izboljšave
• Tehnične podrobnosti z načrtom omilitve odkritih šibkih točk za takojšnje izboljšave;
• Podrobnosti o poustvarjenih napadih;
• Pomoč pri odpravljanju težav.

Zakaj potrebujemo penetracijski test?

Pentest je namenjen analizi dejanske vzdržljivosti vaše obstoječe sistemske varnosti, pri čemer poskuša usposobljen preizkuševalec aktivno vdreti v vaš sistem. Medtem ko standardni avtomatizirani varnostni pregled odkrije le nekatere najpogostejše težave v povezavi z kibernetsko in informacijsko varnostjo, pravi penetracijski test upošteva tudi ranljivost vašega podjetja za t. i. ročne napade.

Četudi standardni avtomatizirani test ne odkrije šibkih točk, to v realnosti ne pomeni, da je sistem zaščiten pred hekerji. Dobro organizirano in kombinirano avtomatsko in ročno testiranje lahko:

• Določi šibke točke v infrastrukturi in programski opremi, ter fizične in celo kadrovske šibke točke;
• Pomaga vašemu podjetju razviti močnejši nadzor.

Iz istega razloga, kot greste k zdravniku na letni zdravniški pregled, je smiselno, da se obrnete na visoko usposobljene varnostne svetovalce, ki bodo za vas opravili penetracijski test. Četudi sami verjamete, da ste popolnoma zdravi, lahko zdravnik opravi več različnih preiskav, da odkrije nevarnosti, ki se jih morda še niti ne zavedate.

Tako tudi ljudje, ki so odgovorni za varnost vašega podjetja in za dnevno vzdrževanje in spremljanje vaše infrastrukture, morda nimajo objektivnosti, potrebne za prepoznavanje varnostnih pomanjkljivosti, ali pa razumevanja stopnje tveganja za vašo organizacijo oziroma znanja za pomoč pri odpravljanju in odpravljanju kritičnih težav.

Z drugimi besedami, penetracijsko testiranje bo v igri mačke proti miši v igro vneslo še eno mačko.

Kakšne so prednosti penetracijskega testa?

• Prepričali se boste, če je vaše podjetje res varno
• Odkrili boste nevarnosti, preden bi jih lahko izkoristili napadalci.
• Ekipa Solwalla posnema prave hekerje.
• Našega ročnega in personaliziranega pristopa ni mogoče ponoviti z avtomatiziranimi orodji.

Katere so vrste pentestov?

Razredi storitev ofenzivne kibernetske varnosti
Storitev	Cilj	Korist
Zunanji pentest	Ugotovitev in ocena varnostno šibkih točk infrastrukture podjetja in priporočila glede strategije za zmanjšanje tveganj	Razumevanje internetnega odtisa in s tem povezanih tveganj za vaše poslovno okolje
Notranji pentest	Simulacija napada iz notranjega omrežja za dostop do sistemov končnih uporabnikov, vključno s stopnjevanjem pooblastil in dostopom do kritičnih podatkov	Razumevanje učinkovitosti vaše notranje varnosti in kaj lahko predstavlja tveganje za vaše podjetje zaradi morebitnih vdorov
Red teaming	Simulacija vedenja pravega hekerja in poskus ogrozitve vašega poslovnega okolja preko interneta	Preizkus zmožnosti odkrivanja napadov in odzivnih zmogljivosti vaše varnostne ekipe - brez resničnega tveganja
Pentest mobilnih aplikacij	Prepoznavanje in definiranje varnostnih groženj, ki lahko privedejo do izpostavljenosti podatkov tretjim osebam ali nepooblaščenega dostopa	Razumevanje in izboljšanje varnosti mobilne aplikacije
Pentest aplikacije	Prepoznavanje in definiranje varnostnih groženj, ki lahko privedejo do izpostavljenosti podatkov tretjim osebam ali nepooblaščenega dostopa	Razumevanje in izboljšanje varnosti spletne aplikacije
Pregled konfiguracije	Primerjava vaše sistemske konfiguracije z najboljšimi praksami, ki jih je določila svetovna skupnost strokovnjakov za varnost	Izboljšanje varnosti preko zaostrovanja pravil operacijskega sistema in preverjanja različic programske opreme
Socialni inženiring	Določanje zanesljivosti in zvestobe zaposlenih do podjetja in njegovih varnostnih politik	Priprava podjetja in zaposlenih pred napadi socialnega inženiringa
Pregled izvorne kode	Pregled izvornih kod aplikacij z namenom ugotavljanja napak, spregledanih v začetni fazi razvoja.	Prepoznavanje ranljivosti na osnovni ravni

Kakšna je metodologija penetracijskega testa?

Obstajajo številne metodologije varnostnih pregledov, pri katerih sta najpogosteje uporabljeni OWASP in OSSTM. Ostale metodologije v večini pokrivajo enake zahteve, v nekaterih posebnostih pa se razlikujejo. Z nami lahko izpolnite zahteve po skladnosti varnosti vašega sistema z:

• OWASP
• Mitre Att&ck
• PSD2
• NIS direktiva
• PCI-DSS
• SOC2 Type II
• HITRUST
• in drugimi.

Uporaba preizkušenih metodologij priskrbi tudi dosledne rezultate in izključuje možnost lažnega občutka varnosti.

Pristop penetracijskega testa

Med izvajanjem penetracijskega testa se uporabljajo različne metodologije za zagotovitev ustreznih rezultatov. Za ocenjevanje varnosti izvajamo celovito testiranje po OWASP ali drugi ustrezni metodologiji.

V fazi zbiranja informacij preverimo pregled varnostne arhitekture sistema, komponente in sam postopek uporabe. Zaznavanje napačnih konfiguracij aplikacij in šibkih točk informacijskih sistemov z javno dostopnimi storitvami izvajamo v naslednji fazi penetracijskega testa.

Pri pentestu uporabljamo enake tehnike in orodja kot hekerji, s čimer poskušamo izkoristiti prej odkrite šibke točke.

Nudimo izdelavo priporočil in rešitev, ki ustrezajo vašim aplikacijam, tehnologiji ter postavljenim kriterijem uspešnosti, proračunom ali obstoječi infrastrukturi.

Penetracijski test se zaključi brez namestitve zlonamerne programske opreme, prav tako ne dostopa do podatkov v sistemih strank in jih ne spreminja, kot bi to sicer storili pravi napadalci.

FAZE PENETRACIJSKEGA TESTA

• Zbiranje informacij – razumevanje delovanja sistema pred načrtovanjem pravih poskusnih napadov.
• Identifikacija ranljivosti – Odkrivanje šibkih točk v ciljnem okolju.
• Izkoriščanje šibkih točk – poskus dostopa preko odkritih šibkih točk z interno razvitimi orodji.
• Naloga opravljena – poročanje o podrobnih ugotovitvah z načrtom za odpravljanje težav..

Ali pentest vključuje programiranje?

Seveda mora imeti izvajalec penetracijskega testa znanje s področja programiranja, saj se le tako zagotovi ustrezna storitev. To je ključnega pomena za ročni pregled, saj uporabljena orodja običajno potrebujejo prilagoditve. Izvajalcu z znanjem programiranja je notranje delovanje aplikacije bolj razumljivo, prav tako pa je nemogoče odpravljati napake brez znanja programiranja in razvoja programske opreme.

Ročni pristop je poglavitna razlika pentesta. Z avtomatičnim skeniranjem ranljivosti se večina dela opravi avtomatično in bi ga lahko opravil skoraj vsakdo. Izkušeni pentester s potrebnim znanjem uporablja avtomatizirano skeniranje ranljivosti v okviru penetracijskega testa samo v začetni fazi.

Cena penetracijskega testa

Cena pentesta je odvisna od izvedenega obsega, povprečni stroški pa znašajo od 2.000 EUR dalje. V kolikor je penetracijski test pravilno izveden, je vreden vsakega centa, predvsem zato, ker s tem pridobite strokovnjaka ali skupino strokovnjakov, ki bo našla vse možne pristope in točke, ki so škodljivi za delovanje vašega sistema. Po opravljenem pregledu prejmete podrobno poročilo s priporočili glede odkritih groženj in, če je potrebno, tudi stalno podporo sistemu.

Dodatni element, ki vpliva na strošek penetracijskega testa, je pogostost izvajanja le-tega. Kot številne druge ocene stanja je tudi penteste potrebno opravljati redno, z namenom zagotovite izpolnjevanja vseh standardov in preprečitve pojavljanja novih težav. Pogostost izvajanja pregledov je odvisna od kompleksnosti vaše infrastrukture in pogostosti posodobitev. Penetracijske teste je priporočeno izvajati enkrat ali dvakrat letno.

Zgodovina penetracijskih testov

Sredi 60. let prejšnjega stoletja je priljubljenost uporabe računalnikov, povezanih preko spleta, ustvarila nove pomisleke glede varnosti. Izkazalo se je, da lahko zaposleni zlahka zaobidejo vse zaščitne ukrepe sistema. Konec desetletja je varnost računalnikov postala poglavitno vprašanje in ameriško ministrstvo za obrambo je izdalo podrobno poročilo o navedenih težavah.

Nato se je ministrstvo za obrambo Združenih držav Amerike obrnilo na ameriškega računalniškega pionirja Willisa Warea, da bi oblikovalo delovno skupino, ki bi jo sestavljali strokovnjaki iz Nacionalne varnostne agencije NSA, Centralne obveščevalne agencije CIA, Obrambnega oddelka Združenih držav DoD, univerz in industrije, da bi skupaj ocenili varnostna tveganja zaradi vdorov v računalnike.

V 70. letih so se na področju varnosti pojavile prve ekipe za penetracijske teste, tako imenovane »Tiger ekipe«. Te ekipe so uporabile penetracijsko testiranje kot sredstvo za preizkušanje varnosti računalniških sistemov. S prizadevanji teh skupin v sodelovanju z RAND je bila razvita metodologija varnostnega pregleda kot orodja za oceno varnosti računalniških sistemov.

V naslednjih desetletjih, ko so računalniki postali hrbtenica sveta in se je pomembnost interneta povečala, je uporaba penetracijskega testa kot orodja za pregled in oceno varnosti postala veliko bolj izpopolnjena in razširjena.

Danes je penetracijski test bistveni del tako ocenjevanja varnosti podjetja kot tudi zmožnosti, da se podjetje zaščiti pred morebitnimi napadi hekerjev.

Sčasoma bosta ocena varnosti in pentest postala le še pomembnejša, saj bodo hekerji le še bolj izpopolnjeni in bodo lahko poiskali nova skrita vrata in dostopne točke tako v poslovnih omrežjih kot tudi na fizičnih lokacijah.