Penetracijski test lahko opredelimo kot legalen in avtoriziran poskus napada na informacijski sistem z namenom odkrivanja ranljivosti, ki bi jih lahko izkoristili hekerji. Sam postopek penetracijskega testiranja vključuje tako iskanje ranljivosti v programski in strojni opremi kot tudi izvedbo napada, s katerim pokažemo, da so ranljivosti realne in da jih je mogoče izkoristiti.

Postopek se zaključi s pregledom odkritih ranljivosti in priporočili, kako le te odpraviti. Penetracijski test nam pomaga pri zaščiti informacijskih sistemov pred napadi v prihodnosti. Penetracijsko testiranje poznamo tudi pod nazivoma »etični heking« in pentest. Penetracijski test je sestavni del celovitega načrta zagotavljanja kibernetske varnosti.

Zakaj penetracijsko testiranje?

Pentest omogoča podjetjem oceniti varnost svojega informacijskega sistema. Tako testiranje pokaže katera področja informacijskega sistema so s stališča varnosti dobro pokrita in katera potrebujejo izboljšave. Uspešen kibernetski napad na podjetje lahko pomeni velike stroške.

Penetracijski test nam omogoča pregled varnosti informacijskega sistema, odkrivanje njegovih ranljivosti, preden jih lahko izkoristijo napadalci, zagotavljanje skladnosti z zakonodajo in regulativami ter izboljšanje informacijske varnosti.

Kako izvedemo penetracijski test?

Pred izvedbo penetracijskega testa morata naočnik in izvajalec uskladiti in potrditi pogoje izvajanja testa. Določiti je potrebno okvir vdora, dovoljene metode testiranja in vdiranja, cilje testiranja in nosilce odgovornosti. Vsi pogoji morajo biti potrjeni s strani naročnika. Prav tako mora naročnik izdati dovoljenje za vdor.

Cilj penetracijskega testa

Cilj vsakega penetracijskega testa je preveriti zaščitne ukrepe in nadzor informacijskega sistema. Kompleksnost današnjih informacijskih sistemov, omrežij, storitev v oblaku in mobilnosti samo povečuje obseg in možne vidike, ki jih je potrebno zajeti v testiranje in ustrezno preveriti. Vendar se da tudi pentest razdeliti na manjše cilje, kot so; zaščita IT sredstev in podatkov, prepoznavanje varnostnih groženj, opredelitev tveganja in ocena morebitnih finančnih izgub.

Zaščita IT sredstev in podatkov

začita informacijskega sistema

Podjetja uporabljajo več vrst varovanja IT sredstev in podatkov. Kljub vsem zaščitam, kot so požarni zidovi, protivirusna programska oprema in šifriranje omrežnih povezav, napadalcem še vedno uspevajo vdori v informacijske sisteme, saj se z vzporedno z razvojem zaščit razvijajo tudi napadi. Dober penetracijski test nas tako bolje pripravi na morebitne napade.

Prepoznavanje varnostnih groženj

Pri pregledu je potrebno opredeliti grožnje, kot so napadi z izsiljevalskimi virusi, kraja podatkov, nedelovanje ali motnje poslovnih procesov. Takšne grožnje lahko vodijo v izgubo strank ali poslov, kar ima tudi finančne posledice.

Opredelitev tveganja

Penetracijski test naj bo del standardna varnostne politike, saj nam pomaga razumeti in opredeliti varnostna tveganja.

Ocena morebitnih finančnih izgub

Rezultat penetracijskega testa nam da tudi vpogled v finančne posledice kibernetskega napada.

Kaj zajema pentest?

Kot vsak kompleksen proces se tudi pentest razdeli v faze. Vse faze skupaj tvorijo celovito metodologijo za izvajanje testiranja. Podroben pregled poročil o izvedenih kibernetskih napadih pokaže, da hekerji uporabljajo enako metodologijo napadov. Uporaba faznega pristopa nam omogoča lažje obvladovanje in pregled nad celotnim procesom, fokusiran napad ter uporabo rezultatov in pridobljenih informacij v vsaki naslednji fazi. Faze sistemskega varnostnega pregleda so prepoznavanje, odkrivanje, analiza, poskus vdora, analiza poskusa vdora in priprava poročila.

Prepoznavanje

Preiskava vključuje analizo predhodno zbranih informacij. Največkrat je naše poznavanje podjetja omejeno in v tej fazi poskusimo zbrati čim več informacij o informacijskem sistemu napadenega podjetja. Pri pentestih se je že velikokrat izkazalo, da so bile majhne in navidezno nepomembne informacije ključnega pomena za uspešen vdor.

Odkrivanje

V tej fazi tester uporabi orodja za skeniranje in odkrivanje ranljivosti. Poskuša pridobiti čim več informacij o potencialnih tarčah in možnih ranljivostih. V tej fazi pridobimo podatke o omrežju, varnostnih napravah, strežnikih in storitvah, ki jih ponujajo strežniki.

Analiza

Tester analizira zbrane informacije in načrtuje vdor v sistem. Ta korak lahko traja dlje časa, odvisno od kompleksnosti informacijskega sistema podjetja. Rezultat te faze je seznam ranljivih sistemov, ki predstavljajo možne tarče za vdor v informacijski sistem.

Poskus vdora

Faza vključuje dejanski napad in možen vdor v predhodno izbrane tarče. Celoten poskus vdora mora potekati skrbno in na način, da se izognemo izgubi podatkov ali nedelovanju sistemov,  prav tako vdor ne sme nikakor vplivati na delovanje podjetja, zaposleni pa verjetno ne bodo niti opazili, da se kar koli dogaja. Izogibati se je potrebno napadom, ki bi bistveno vplivali na hitrost delovanja informacijskega sistema, kot na primer ohromitvenimi DDOS napadi, razen če niso vnaprej dogovorjeni.

Analiza poskusa vdora

Analiza upošteva vse do sedaj zbrane informacije. Tester pripravi spisek izvedenih testov,  uspešnost testov in stopnjo ranljivosti. Ravno tako pripravi priporočila za odpravo odkritih ranljivosti in tveganj.

Faze prepoznavanja, odkrivanja, analize in poskusa vdora si lahko sledijo večkrat, saj lahko po vsakem vdoru odkrijemo nove informacije o sistemih.

Sistemski varnostni pregled – Metode

Metode sistemskih varnostnih pregledov ločimo glede na količino poznanih informacij pred testiranjem. Poznamo testiranje v črni škatli, beli škatli in sivi škatli. Pri testiranju v črni škatli tester ne pozna ničesar o testiranem informacijskem sistemu, pri testiranju v beli škatli tester pozna vse podrobnosti, pri testiranju v sivi škatli pa tester pozna le nekatere podrobnosti.

Testiranje v črni škatli

Sistemski varnostni pregled omrezja

Ta metoda je najbolj podobna napadu zunanjega napadalca. Tester vse informacije pridobi z zbiranjem informacij, odkrivanjem informacijskega sistema in analizo zbranih informacij. Cilj testiranja je odkriti iste ranljivosti informacijskega sistema, kot bi jih odkril zunanji napadalec ter preveriti protiukrepe in postopke ob napadu.

Testiranje v beli škatli

Tester sodeluje z vodstvom, IT in varnostnim oddelkom podjetja in ima neomejen dostop do informacij, ki jih potrebuje med samim testiranjem. Gre za celovito testiranje, saj tester pridobi vrsto informacij o omrežju, napravah, strežnikih in storitvah. Prav tako tester pozna izvorno kodo aplikacij. Tako testiranje je časovno zahtevno, saj mora tester pregledati veliko količino pridobljenih informacij. Pri tej metodi je mogoče, da tester spregleda ranljivosti, saj je zaradi dostopa do vseh informacij lahko pristranski. Cilj testiranja je pridobiti celoten pregled varnosti informacijskega sistema.

Testiranje v sivi škatli

Zunanji napadalci lahko porabijo veliko časa za pridobivanje informacij o informacijskem sistemu. Da bi zmanjšali čas pridobivanja informacij podjetje testerju priskrbi omejene informacije o informacijskem sistemu. S tem se skrajša čas zbiranja informacij. Metoda je enaka testiranju v črni škatli.

Zunanji sistemski varnostni pregled

Kot je razvidno iz imena gre za varnostni pregled pri katerem se preverja možnost vdora v informacijski sistem preko interneta oziroma preko brezžičnega omrežja podjetja, če je dostopno v okolici poslovne stavbe. Pri preverjanju možnosti vdora preko interneta se preveri vse naslove IP in storitve, dostopne preko interneta, pri brezžičnem omrežju pa je cilj pridobiti dostop do notranjega omrežja. Uporabljena metoda testiranja je črna škatla, kar pomeni, da se morebitne ranljivosti informacijskega sistema preveri na načine, kot bi se ga lotili spletni nepridipravi oziroma zunanji napadalci.

Notranji sistemski varnostni pregled

Pri notranjem sistemskem varnostnem pregledu se poustvari situacijo, v kateri bi bil napadalec na omrežje zaposleni, oziroma oseba, ki ima neposreden dostop do omrežja organizacije. Ker so notranja omrežja po naravi bolj odprta in so zaposleni na njih priključeni dalj časa, so napadi na notranja omrežja vedno bolj pogosti. Preverjanje možnosti vdora preko notranjega omrežja nam pokaže varnostne luknje, ki bi jih napadalec lahko izkoristil, ko bi pridobil dostop. Notranji sistemski varnostni pregled največkrat pokaže več varnostnih pomanjkljivosti v primerjavi z zunanjim.

Socialni inženiring

Gre za tako imenovani »Phishing« oziroma po slovensko ribarjenje. Dejansko gre pri napadu s socialnim inženiringom za poskus zunanjega napadalca, da bi s pomočjo prevare ukanil zaposlenega v podjetju in od njega pridobil zaupne podatke oziroma kar dostop do računalnika. Največkrat se socialni inženiring izvaja preko e-poštnega sporočila, ki vsebuje ali povezavo do lažne spletne strani, ki je namenjena prestrezanju določenih podatkov, ali pa ima priloženo datoteko, v kateri se skriva nevarnost za informacijski sistem vašega podjetja. Socialni inženiring lahko dopolni sistemski varnostni pregled. Ker je računalnik napadene osebe največkrat povezan v omrežje podjetja, je rezultat takšnega napada lahko nova vstopna točka za napadalca.

Poročilo

Po končanem napadu tester pripravi poročilo, ki vsebuje povzetek, podrobne postopke izvedenega testiranja, analizo ranljivosti in priporočila za odpravo odkritih ranljivosti.

Povzetek vključuje vse bistvene dele testiranja, kakšno testiranje se je izvajalo, kako se je  izvajalo in katere ranljivosti so bile odkrite. Poročilo vsebuje vse pridobljene informacije, izvedene teste in podroben opis poskusa vdora ter podrobne rezultate analize poskusa vdora. Pomemben del poročila so tudi priporočila, kako odkrite varnostne luknje odpraviti.

Kako poteka varnostno svetovanje?

S penetracijskim testom in varnostnim pregledom omrežja pridobimo podatke o samih strežnikih, aplikacijah in storitvah, ki jih naročnik varnostnega pregleda uporablja. Na ta način nato ugotovimo njihove ranljivosti in varnostne pomanjkljivosti sistema.

Prav tako pa s pregledom pridobimo tudi informacije o tem, do česa lahko nepooblaščena oseba dostopa, bodisi preko interneta bodisi preko notranjega omrežja, in na ta način seveda škoduje podjetju na različne načine. Vsekakor je za naročnika nadvse pomembno, katere so tiste ranljivosti v notranjem omrežju podjetja, ki bi ga lahko spravile v težave.

Varnostno svetovanje vsebuje podrobno predstavitev poročila s strani testerjev naročniku. Pri tem je poseben poudarek namenjen odpravljanju odkritih varnostnih lukenj, nadaljnji zaščiti IT sredstev in podatkov, opredelitvi tveganja in oceni morebitnih finančnih izgub v primeru kibernetskega napada.

Penetracijski test je primeren za vsa podjetja, ki so pred kratkim nadgrajevala ali spreminjala svoj informacijski sistem, dodajala nove storitve za uporabnike, spreminjala poslovne procese ali lokacijo dela. Ob spremembah se lahko hitro pojavijo nove varnostne luknje, ki jih je potrebno odkriti in zaščititi.

Ravno tako je testiranje primerno za podjetja, ki varnostnega testa še niso izvajala. Kljub temu, da vsi informatiki skrbijo za varnost, se ob rasti podjetja in kompleksnosti sistema pojavljajo nove varnostne pomanjkljivosti, ki jih je enostavno prezreti.