5 hlavních typů penetračního testování

Stupňující se hrozba hackerů je každým dnem závažnější. Průzkum společnosti TechRepublic mezi více než 400 odborníky na bezpečnost IT zjistil, že 71 % z nich zaznamenalo od začátku epidemie COVID-19 nárůst bezpečnostních hrozeb nebo útoků. Pokud by hacker úspěšně prolomil vaši obranu, škody – na vaší pověsti, výsledcích a provozních schopnostech – by mohly být katastrofální. abyste mohli posoudit svou obranu kybernetického zabezpečení a odhalit zranitelná místa ve svých kritických IT systémech, musíte zvážit různé typy penetračních testů.

Co jsou penetrační testy? A který z nich je pro vaši společnost potřebný?

Představíme si je.

Co je penetrační test?

Penetrační test, označovaný také jako pen test, obvykle zahrnuje tým bezpečnostních odborníků, kteří se snaží proniknout do sítí nebo serverů vaší společnosti. Toho dosáhnou tak, že identifikují zranitelná místa a následně je využijí. Z tohoto důvodu jsou pen testy často označovány jako druh etického hackingu.

Pen testy jsou účinným obranným mechanismem, protože napodobují reálné útoky. Umožňují odhalit slabá místa v perimetru kybernetické bezpečnosti – ať už se jedná o zadní vrátka v operačním systému, neúmyslné chyby v návrhu kódu nebo nesprávné konfigurace softwaru.

Mezi výhody pravidelného provádění testů patří:

  • Odhalí rizika v konfiguracích vašich aplikací a síťové infrastruktury
  • Ochrání IP i citlivá a soukromá data
  • Zvýrazní reálná rizika, že skutečný hacker úspěšně prolomí vaši obranu
  • Změří vaše schopnosti kybernetické obrany – vaši schopnost odhalit útoky a následně na ně včas reagovat
  • Zajišťuje, aby vaše síť a provoz fungovaly bez problémů 24 hodin denně, 7 dní v týdnu a netrpěly neočekávanými výpadky
  • Udržuje soulad s předpisy a certifikacemi, jako je PCI nebo ISO
  • Poskytuje objektivní názor třetí strany na účinnost vašeho úsilí v oblasti kybernetické bezpečnosti

Penetrační testy jsou navrženy tak, aby byly intenzivní a invazivní. Cílem je otestovat celý váš perimetr, abyste získali co nejvíce použitelných informací. Podle SC Magazine

Penetrační testování může být prováděno na hardwarových, softwarových nebo firmwarových komponentách a může uplatňovat fyzické a technické bezpečnostní kontroly. Často následuje sekvence předběžné analýzy na základě cílového systému a poté předběžné identifikace potenciálních zranitelností na základě předchozích analýz. Po jejím dokončení může předběžný test pomoci určit využití identifikovaných zranitelností.

Obě strany musí před zahájením testů souhlasit se souborem pravidel. Poté je třeba testy aplikovat na celou síť.

Potřebujete penetrační test? Přečtěte si další informace.

Tři formy penetračních testů

Existují tři základní způsoby provedení penetračního testu:

  • Test černé skříňky
  • Test bílé skříňky
  • Test šedé skříňky

Test černé skříňky

Test černé skříňky, známý také jako externí penetrační test, simuluje útok zvenčí vaší organizace.

Pen tester začíná na stejných základech jako skutečný hacker. To znamená, že začíná s malým nebo žádným množstvím informací o IT infrastruktuře a bezpečnostní ochraně. Nezná vnitřní fungování:

  • Webových aplikací
  • Softwarové architektury
  • Zdrojového kódu

Tato forma testování vám dá představu o tom, co by musel udělat člověk zvenčí, aby prolomil vaši ochranu. Test však nekončí pouze v tomto bodě. Je toho ještě více, co se můžete dozvědět. Tester chce také zjistit, jak velké škody by mohl případně způsobit, jakmile se dostane do systému. Podle Infosec Institute:

Black-box penetrační testování spočívá v dynamické analýze aktuálně spuštěných programů a systémů v cílové síti. Pracovník provádějící penetrační testování typu black-box musí být obeznámen s automatizovanými skenovacími nástroji a metodikami pro manuální penetrační testování. Tester průniku typu black-box musí být také schopen vytvořit si vlastní mapu cílové sítě na základě svých pozorování, protože žádné takové schéma mu není poskytnuto.

Typicky tester přechází z internetu do směrovače a snaží se obejít obranné brány firewall. Toho dosáhne tak, že provede totální útok hrubou silou na IT infrastrukturu. Provádí jakousi metodu pokus-omyl, při níž automatizované procesy nevybíravě hledají zneužitelné zranitelnosti.

Důkladné provedení testu černé skříňky může trvat až šest týdnů, i když v závislosti na rozsahu projektu a přísnosti testování může trvat i déle.

Test bílé skříňky

Tento typ pen testu, někdy označovaný jako testování čisté skříňky nebo interní testování, poskytuje testerovi od počátku přístup ke zdrojovému kódu a softwarové architektuře. Napodobuje útok zaměstnance nebo hackera, který již získal přístup do systému.

Pen tester začíná se stejnými právy, jaká by měl oprávněný uživatel. Odtud se snaží využít slabých míst v zabezpečení a konfiguraci na úrovni systému. Cílem tohoto testu je provést hloubkový audit různých systémů a odpovědět na dvě klíčové otázky:

  1. Jak hluboko by se mohl útočník dostat prostřednictvím eskalace oprávnění?
  2. Jak velké škody by mohl útok způsobit?

Vnitřní test může trvat dva až tři týdny.

Gray-Box Penetration Testing

Jak již název napovídá, gray-box testování je mezistupněm mezi interním a externím testem. Tester simuluje útok zvenčí, jenže v tomto případě má hacker částečnou úroveň znalostí uživatele.

Jeho účelem je hledat chyby ve struktuře kódu nebo aplikace, a to pomocí kombinace metodik white-box a black-box. Hybridní test měří uživatelské vstupy a zjišťuje, jaké výstupy software v reakci na ně vytváří. Zpravidla se test provede kombinací manuálních postupů a automatizovaných programů.

Mezi běžné scénáře, pro které je určen test šedé skříňky, patří např:

  • Hacker má uživatelské nebo administrátorské účty, kterými se může přihlásit
  • Hacker má hluboké znalosti o toku dat a architektuře aplikace
  • Hacker má přístup k částem zdrojového kódu

Protože využívá kombinaci obou metodik, někteří ji považují za nejlepší návratnost vašeho času a zdrojů. Přináší mnoho výhod interního i externího testu. Přesto test šedé skříňky poskytuje pouze omezené pokrytí aplikace a zdrojového kódu. Aby to bylo ještě složitější, není snadné tyto testy navrhnout.

5 typů penetračního testování

Teď, když jsme probrali základní způsoby, jakými lze penetrační test provést, je možné se ponořit do nejběžnějších typů testů. Většina z nich bude využívat kombinaci metodik white-box a black-box testování. Patří mezi ně:

Penetrační testování síťových služeb

Síťový penetrační test se používá k identifikaci zneužitelných slabých míst ve vašem:

  • Sítě
  • Systémy
  • Hosty
  • Síťová zařízení

Vaším úkolem je najít je a následně odstranit dříve, než je hacker využije. Při správném provedení může ukázat skutečné zranitelnosti, které by hacker mohl využít k získání přístupu k citlivým datům nebo k převzetí kontroly nad systémem. Proces odhalování umožňuje vašemu týmu najít lepší způsoby ochrany soukromých dat a zabránit převzetí systému.

Co to obnáší?

Většina penetračních testů bude probíhat podle 7 kroků standardu PTES (Penetration Testing Execution Standard):

  • Interakce před zapojením – Interní tým a bezpečnostní partner se sejdou, aby prodiskutovali a definovali rozsah zapojení.
  • Shromažďování informací – Testeři se snaží odhalit všechny dostupné systémy a jejich různé služby, aby získali co nejvíce informací.
  • Modelování hrozeb – Tester identifikuje zneužitelné zranitelnosti v systému, a to prostřednictvím manuálního testování a automatizovaného skenování.
  • Analýza zranitelností – Tester dokumentuje a analyzuje nejkřiklavější zranitelnosti, aby mohl formulovat plán útoku.
  • Využití – Tester skutečně provádí testy ve snaze využít zranitelnosti.
  • Následné využití – Tester se snaží určit hodnotu napadeného stroje a udržet nad ním kontrolu, aby mohl být později využit.
  • Zpracování zprávy – Tester sestavuje zjištění, sestavuje pořadí a prioritu zranitelností, předkládá důkazy a doporučuje opatření k reakci.

Penetrační testování webových aplikací

Rozšíření webových aplikací způsobilo, že je nutné vynakládat větší internetové prostředky na vývoj softwaru a konfiguraci aplikací tak, aby správně fungovaly. To však také představuje pro hackery nový významný vektor útoku, zejména proto, že některé webové aplikace mohou obsahovat citlivá data.

Penetrační testování webových aplikací se snaží shromáždit informace o cílovém systému, najít zranitelnosti a následně je využít. Konečným cílem je kompletní kompromitace webové aplikace.

Tato metoda je také známá jako penetrační testování webových aplikací (WAPT). Je schopen testovat následující scénáře:

  • Cross Site Scripting
  • SQL Injection
  • Porušené ověřování a správa relací
  • Chyby při nahrávání souborů
  • Útoky na servery ukládání do mezipaměti
  • Chybná konfigurace zabezpečení
  • Křížový útok
  • .Site Request Forgery
  • Prolamování hesel

Často vnímáno jako test „hlubšího ponoru“, WAPT je mnohem důkladnější a podrobnější, zejména pokud jde o identifikaci zranitelností nebo slabých míst ve webových aplikacích. V důsledku toho je třeba věnovat značné množství času a zdrojů, aby bylo možné adekvátně otestovat celou webovou aplikaci.

Bezdrátové penetrační testování

Bezdrátové penetrační testování má za cíl identifikovat a následně posoudit spojení mezi všemi zařízeními připojenými k podnikové síti wifi, včetně:

  • Laptopů
  • Tabletů
  • Mobilních zařízení
  • Zařízení IoT

Test se provádí na místě, protože pen tester musí být v dosahu bezdrátové sítě, aby k ní mohl přistupovat. A cíl testu je poměrně přímočarý: najít zranitelnosti v přístupových bodech wifi.

Jaké jsou příslušné kroky?

  • Bezdrátový průzkum – Informace se shromažďují pomocí wardrivingu – což zahrnuje jízdu kolem fyzického místa, aby se zjistilo, zda se objeví signály wifi.
  • Identifikace bezdrátových sítí – Tester skenuje a identifikuje bezdrátové sítě pomocí zachytávání paketů a monitorování bezdrátových karet.
  • Výzkum zranitelností – Poté, co tester najde přístupové body wifi, snaží se identifikovat zranitelnosti daného přístupového bodu.
  • Zneužití – Tester se pokusí zneužít zranitelnosti jedním ze tří způsobů:
    • Deautentizace legitimního klienta
    • Zachycení počátečního čtyřcestného handshake
    • Provedení offline slovníkového útoku na zachycený klíč
  • Podávání zpráv – Tester dokumentuje každý krok procesu, včetně podrobných zjištění a doporučení pro zmírnění.

Penetrační testování pomocí sociálního inženýrství

Nejvýznamnějším bezpečnostním rizikem pro vaši organizaci – bez výjimky – jsou vaši zaměstnanci. Podle časopisu Security Magazine:

Kyberzločinci se agresivně zaměřují na lidi, protože posílat podvodné e-maily, krást přihlašovací údaje a nahrávat škodlivé přílohy do cloudových aplikací je jednodušší a mnohem výnosnější než vytvořit drahý a časově náročný exploit, který má vysokou pravděpodobnost selhání. Více než 99 % kybernetických útoků je závislých na interakci s lidmi, což z jednotlivých uživatelů činí poslední linii obrany.

Pokud vaše snaha o zlepšení zabezpečení nezahrnuje zaměstnance, pak bude veškeré vaše úsilí marné. Ti by měli být vaším hlavním zájmem.

Při penetračním testu pomocí sociálního inženýrství se tester pokouší přesvědčit nebo oklamat zaměstnance, aby poskytli citlivé informace, například uživatelské jméno nebo heslo.

Existuje celá řada penetračních útoků sociálního inženýrství, např:

  • Phishing
  • Vishing
  • Smishing
  • Impersonation
  • Tailgating
  • .

  • Vysazení USB
  • Zavlažovací díra
  • Útok typu Whaling
  • Pretexting
  • Útok Quid pro quo
  • Baiting
  • Dumperster diving

Zlepšení informovanosti zaměstnanců a zajištění školení o běžných útocích sociálního inženýrství je jedním z nejlepších způsobů, jak můžete zabránit vzniku útoku nebo jeho úspěchu.

Fyzické penetrační testování

Fyzický penetrační test simuluje staronový způsob prolomení zabezpečení.

Pen-tester se pokouší překonat fyzické bezpečnostní bariéry a získat přístup do bezpečnostní infrastruktury, budov nebo systémů vaší firmy. Testuje různé fyzické kontroly, které máte zavedeny, včetně:

  • Bariéry
  • Kamery
  • Senzory
  • Zámky
  • Alarmy
  • Ochranka

Ačkoli je to často považováno za dodatečné řešení, pokud je hacker schopen fyzicky obejít vaše zabezpečení a následně získat přístup do serverovny, může snadno získat kontrolu nad vaší sítí. Je tedy velmi důležité, aby vaše fyzické zabezpečení bylo stejně důsledně chráněno jako perimetr kybernetického zabezpečení.

RSI Security – The Pen Testing Experts

Pen testování je jedním z nejlepších způsobů, jak můžete měřit účinnost kybernetického a fyzického zabezpečení. Ať už používáte metodiku white-box, black-box nebo gray-box, každý pen test se snaží simulovat reálný útok – jen bez následků.

Dnes existuje pět základních typů penetračních testů, mezi které patří např:

  1. Síťové služby
  2. Webové aplikace
  3. Bezdrátové
  4. Sociální inženýrství
  5. Fyzické

Prováděním všech těchto testů v pravidelných intervalech můžete zajistit, že vaše kybernetická obrana je spolehlivá.

Ale na koho se můžete při adekvátním provádění těchto různých testů spolehnout?

RSI Security je odborníkem na služby penetračního testování. Díky našim dlouholetým zkušenostem přesně víme, co je třeba udělat, abychom vyhodnotili vaši kybernetickou obranu a následně odstranili její zjevné nedostatky.

Jste připraveni začít? My také.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.