Testy penetracyjne – po co w ogóle coś sprawdzać?
Testy penetracyjne systemów IT pozwalają skutecznie bronić się przed cyberatakiem, dlatego warto wcześniej „zaatakować” własny system. Atak należy przeprowadzić na zasadzie symulacji, w kontrolowanym środowisku, aby znaleźć wszelkie słabe punkty systemu lub błędy konfiguracyjne. Na tym właśnie polegają testy penetracyjne.
Podsumowując, wykonanie testu potwierdza nam, iż system jest sprawdzony, nie ma w nim luk i haker nie będzie miał do niego dostępu. Dzięki temu klient może spokojnie zająć się biznesem nie martwiąc się o ewentualny atak.
DARMOWY WEBINAR
Raport Bezpieczeństwa OSINT, testy podatności czy testy penetracyjne – sprawdź czy Twoja sieć i systemy IT są bezpieczne!
12 kwietnia 2022r. godz. 13:00
Jeśli chcesz dowiedzieć się więcej o sposobach kontrolowania swojej sieci.
W zależności od potrzeb dostępne są zewnętrzne (external) i wewnętrzne (internal) testy penetracyjne.
Czym są wewnętrzne testy penetracyjne?
Wewnętrzny test penetracyjny symuluje atak przeprowadzany z wnętrza firmy. Jego celem jest ocena wpływu ataku przeprowadzonego przez złośliwego insidera, takiego jak np. niezadowolony pracownik. Proces jest zawsze dostosowywany do potrzeb klienta, ale zwykle obejmuje identyfikację wrażliwych instancji i wydobycie krytycznych informacji do firmy.
Na czym polegają zewnętrzne testy penetracyjne?
Celem zewnętrznego testu penetracyjnego w przeciwieństwie do wewnętrznego, jest symulacja ataku pochodzącego z publicznego Internetu. Ma to na celu zidentyfikowanie i ocenę wszystkich zasobów dostępnych w Internecie, które przeciwnik może wykorzystać jako punkt wejścia do sieci korporacyjnej. Odbywa się to dzięki automatycznych i ręcznych narzędzi w celu sprawdzenia skuteczności mechanizmów bezpieczeństwa, takich jak zapory i systemy zapobiegania włamaniom.
Zewnętrzny test penetracyjny koncentruje się przede wszystkim na zdalnie dostępnych urządzeniach należących do organizacji docelowej. Celem jest zidentyfikowanie podatności systemów, poufnych informacji, takich jak ujawnione klucze dostępu do chmury, ujawnienie informacji z publicznych repozytoriów i wiele innych, które można wykorzystać do ataku.
Zobacz przykładowy raport testów podatności
Nasza metodologia opiera się na standardach branżowych takich jak:
- NIST 800-115
- Penetration Testing Execution Standard (PTES)
- Open Web Application Security Project (OWASP) Testing Guide
- Payment Card Industry (PCI) Penetration Testing Guidance
- Open-Source Security Testing Methodology Manual (OSSTMM)
Jak przebiega proces planowania testów penetracyjnych?
Testy penetracyjne należy traktować jak każdy inny projekt, z planem zarządzania projektem uwzględniającym cele, zakres, wymagania, role i obowiązki w zespole, ograniczenia, czynniki sukcesu, założenia, zasoby, terminy i wyniki.
- Po rozpoczęciu projektu, zbierane są wymagania klienta w celu pomyślnego sporządzenia zestawienia prac (SoW – Statement of Work).
- Po osiągnięciu obopólnego porozumienia w sprawie warunków SoW ustala się szczegóły i specyfika zakresu działań. Obejmuje to przygotowanie i podpisanie listu upoważniającego do przeprowadzenia badań (TAL – Test Authorization Letter) przez obie strony oraz krótkie spotkanie w celu ostatecznego potwierdzenia dat i szczegółów komunikacji.
Faza planowania ma najważniejsze znaczenie dla udanego projektu i służy do zbierania informacji potrzebnych do przeprowadzenia oceny. Gromadzone informacje mogą obejmować szczegóły, takie jak aktywa, które mają być testowane, zagrożenia dla interesów w stosunku do aktywów oraz środki kontroli bezpieczeństwa, które mają być stosowane w celu złagodzenia tych zagrożeń podczas opracowywania podejścia do oceny.
Jaka jest metodologia i jakie narzędzia wykorzystujemy podczas wykonywania testów penetracyjnych?
Konsultanci przeprowadzają testy bez szczegółowych diagramów sieci lub infrastruktury. Robią to bez żadnych kont ani dodatkowych informacji o użytkownikach (chyba iż jest to wymagane w ramach zakresu). Nasza metodologia usług testów penetracyjnych obejmuje:
Rekonesans
- Gromadzenie danych wywiadowczych z publicznie dostępnymi informacjami
- Zbieranie śladów
- Analiza DNS i DNS bruteforcing
Modelowanie zagrożeń
- Skanowanie portów
- Fingerprinting
- Sprawdzanie usług
Analizę podatności
- Wyszukiwanie występujących podatności i określonych exploitów
Atak
- Ręczne testowanie podatności i weryfikacja zidentyfikowanych podatności
- Testowanie zapór sieciowych i systemów wykrywania/zapobiegania włamaniom
- Testowanie haseł
- Identyfikacja wrażliwych danych
- Eksfiltracja