Testy podatności – Vulnerability Assessment

ochronasieci.pl 2 lat temu

Czym są testy podatności, jakie są ich rodzaje i jaki jest ich cel?

Testy podatności to przegląd słabych punktów bezpieczeństwa w systemie informatycznym organizacji oraz dobrze znanych błędów w oprogramowaniu. Ocenia się podatność systemu na jakiekolwiek znane luki w oprogramowaniu. Przypisuje się im poziomy ważności, a w razie potrzeby zaleca naprawę lub łagodzenie skutków.

DARMOWY WEBINAR

Raport Bezpieczeństwa OSINT, testy podatności czy testy penetracyjnesprawdź czy Twoja sieć i systemy IT są bezpieczne!

12 kwietnia 2022r. godz. 13:00

Jeśli chcesz dowiedzieć się więcej o sposobach kontrolowania swojej sieci.

Przykłady zagrożeń, którym można zapobiec poprzez ocenę podatności, obejmują:
  • eskalacje uprawnień z powodu wadliwych mechanizmów uwierzytelniania lub błędów oprogramowania,
  • SQL Injection i inne ataki polegające na wstrzykiwaniu kodu,
  • wyłączenie usługi lub utrata danych poprzez ataki typu buffer overflow,
  • niebezpieczne ustawienia domyślne, czyli oprogramowanie dostarczane z niezabezpieczonymi ustawieniami, takimi jak możliwe do odgadnięcia hasła administratora.
Istnieje kilka rodzajów ocen podatności:
  • hosta — ocena krytycznych serwerów i komputerów, które mogą być podatne na ataki
  • sieci i sieci bezprzewodowych – ocena zasad i praktyk mających na celu zapobieganie nieautoryzowanemu dostępowi do sieci prywatnych lub publicznych oraz zasobów dostępnych w sieci
  • bazy danych — ocena baz danych lub systemów big data pod kątem luk w zabezpieczeniach i błędnych konfiguracji, a także identyfikacja nieuczciwych baz danych lub niezabezpieczonych środowisk deweloperskich/testowych oraz klasyfikowanie wrażliwych danych w infrastrukturze organizacji
  • skanowanie aplikacji — identyfikacja luk w zabezpieczeniach aplikacji internetowych i ich kodu źródłowego

Dlaczego testy podatności są ważne ?

Testy podatności umożliwiają zespołom ds. bezpieczeństwa stosowanie spójnego, kompleksowego i jasnego podejścia do identyfikowania i rozwiązywania zagrożeń i ryzyka dla bezpieczeństwa. W rezultacie ma to kilka korzyści dla organizacji:

  • Wczesna i spójna identyfikacja zagrożeń i słabych punktów bezpieczeństwa IT.
  • Działania naprawcze mające na celu wypełnienie wszelkich luk i ochronę wrażliwych systemów i informacji.
  • Spełnienie wymagań w zakresie bezpieczeństwa cybernetycznego i wymagań regulacyjnych.
  • Ochrona przed naruszeniami danych i innym nieuprawnionym dostępem.

Dzięki zebranym informacjom, luki w zabezpieczeniach podlegają klasyfikacji zgodnie z kontekstem. W oparciu o najlepsze praktyki branżowe w zakresie zarządzania ryzykiem ustala się także ich priorytet.

Czym różnią się testy podatności od testów penetracyjnych?

Ocena podatności ma na celu zidentyfikowanie i udokumentowanie podatności bez ich aktywnego wykorzystywania. Zamiast tego zaangażowanie koncentruje się na pasywnych i aktywnych metodach skanowania w celu wykrycia luk w docelowych sieciach i systemach. Natomiast aktywna eksploatacja to dziedzina testów penetracyjnych. jeżeli Twoje wymagania obejmują walidację wykrytych podatności, zapoznaj się z usługami testów penetracyjnych.

Jak przebiega proces planowania testów podatności?

Ocenę bezpieczeństwa należy traktować jak każdy inny projekt, z planem zarządzania projektem uwzględniającym cele, zakres, wymagania, role i obowiązki w zespole, ograniczenia, czynniki sukcesu, założenia, zasoby, terminy i wyniki.

  1. Po rozpoczęciu projektu, zbierane są wymagania klienta w celu pomyślnego sporządzenia zestawienia prac (SoW – Statement of Work).
  2. Po osiągnięciu obopólnego porozumienia w sprawie warunków SoW ustalane są szczegóły i specyfika zakresu działań. Obejmuje to przygotowanie i podpisanie listu upoważniającego do przeprowadzenia badań (TAL – Test Authorization Letter) przez obie strony oraz krótkie spotkanie w celu ostatecznego potwierdzenia dat i szczegółów komunikacji.

Faza planowania ma najważniejsze znaczenie dla udanego projektu i służy do zbierania informacji potrzebnych do przeprowadzenia oceny. Gromadzone informacje mogą obejmować szczegóły, takie jak aktywa, które mają być testowane, zagrożenia dla interesów w stosunku do aktywów oraz środki kontroli bezpieczeństwa, które mają być stosowane w celu złagodzenia tych zagrożeń podczas opracowywania podejścia do oceny.

Jaka jest metodologia i jakie narzędzia wykorzystujemy podczas wykonywania oceny podatności?

Konsultanci przeprowadzają testy bez szczegółowych diagramów sieci lub infrastruktury oraz bez żadnych kont i dodatkowych informacji o użytkownikach (chyba iż jest to wymagane w ramach projektu). Jednak w razie potrzeby klient może również przeprowadzić skanowanie uwierzytelnione.

Nasza metodologia obejmuje:

  • Automatyczne skanowanie – Skanowanie dzięki zestawu narzędzi
  • Walidacja ręczna – Weryfikacja dzięki kontroli ręcznych w celu zmniejszenia liczby fałszywych alarmów
  • Ocena ryzyka i priorytetyzacja – Dokumentacja wykrytych problemów z bezpieczeństwem

Wykorzystujemy standardowe w branży narzędzia i frameworki, a także opracowane przez siebie skrypty, aby przeprowadzić najbardziej kompletne i wszechstronne skanowanie podatności na zagrożenia.

Niektóre z narzędzi używanych przez naszych testerów penetracyjnych obejmują:

  • Nessus Professional
  • Netsparker
  • Testssl.sh
  • Burp Suite Pro
  • Nikto
  • Sqlmap
  • Metasploit Framework
  • Skrypty niestandardowe

Co finalnie otrzymuje Klient?

Po zakończeniu fazy wykonawczej formalnie dokumentujemy wszystkie ustalenia. Następnie raport przechodzi wewnętrzną kontrolę jakości, a raport końcowy dostarczany jest klientowi w ciągu dwóch tygodni po zakończeniu zlecenia.

Ostateczny wynik to raport zawierający obszerną listę ze zidentyfikowanymi podatnościami oraz zaleceniami naprawczymi.

Zobacz przykładowy raport testów podatności

Kto przeprowadza testy podatności i przygotowuje raport?

Raport bezpieczeństwa przygotowywany jest przez inżynierów zajmujących się cyberbezpieczeństwem z międzynarodowego Center of Excellence Cyber Security Ingram Micro oraz certyfikowanych ekspertów bezpieczeństwa z firmy NetFormers.

Czy można przeprowadzić ponowny test naprawczy?

Oczywiście. jeżeli Firma chce przeprowadzić ponowny test po wdrożeniu zaleceń naprawczych należy skontaktować się z Nami. Można w ten sposób uzyskać więcej informacji i ustalić harmonogram działań. Usługa ta jest dodatkowo płatna.

Jakie są obowiązki po stronie Klienta?

Klient wyraża zgodę na wykonywanie swoich zobowiązań oraz przyjmuje do wiadomości i zgadza się, iż zdolność do wykonywania ustalonych w ramach projektu zobowiązań jest współzależna od przestrzegania przez Firmę następujących warunków:

  • Zasoby klienta są zaplanowane i dostępne dla testerów.
  • Wszystkie serwery i urządzenia sieciowe podlegające ocenie powinny być włączone i sprawne podczas przeprowadzania oceny.
  • Klient odpowiada na wszystkie prośby o dokumenty i inne informacje terminowo i zgodnie z terminami dostaw ustalonymi w fazie planowania.
  • Na potrzeby testowania każdy adres IP w projekcie jest uważany za oddzielny host, niezależnie od potencjalnego równoważenia obciążenia, zapory itp.
  • Wszystkie testy i wszystkie prace związane z oceną będą miały miejsce w ciągu 24 godzin. Chyba, iż zostaną wynegocjowane inne warunki.
  • Okna testowania klienta muszą zapewniać odpowiedni czas na wykonanie pracy.
Idź do oryginalnego materiału