Co je to penetrační test (pen test)?

Pomocí penetračních testů (často označovaných jako pen testy) je možné určit pravděpodobnost útoku na vaši síť, včetně jednotlivých systémů v síti i konkrétních aplikací. Zjistěte, jak se takové testy provádějí a co znamenají pro síť, která je již v provozu.

Co je penetrační testování?

V oblasti IT je penetrační test plánovaný útok na síť jakékoli velikosti nebo jednotlivé počítače, jehož cílem je odhalit zranitelná místa. K tomu se používají různé nástroje, které simulují různé vzorce útoků, které jsou modelovány podle běžných metod útoku. Typickými komponenty, které procházejí penetračním testem, jsou:

• Síťové propojovací prvky, jako jsou směrovače, přepínače a brány
• Bezpečnostní brány, jako jsou softwarové a hardwarové firewally, filtry paketů, antivirové skenery, vyvažovače zatížení, IDS a IPS atd.
• Servery, jako jsou webové servery, databázové servery, souborové servery atd.
• Telekomunikační systémy
• Všechny typy webových aplikací
• Infrastrukturní instalace, např. mechanismy řízení přístupu
• Bezdrátové sítě, které jsou součástí systému, jako je WiFi nebo Bluetooth

Testování se obvykle dělí na testování černé skříňky, bílé skříňky a šedé skříňky: při testování černé skříňky dostávají penetrační testery pouze informace o adrese cílové sítě nebo systému. Při testování bílé skříňky mají testeři rozsáhlé znalosti o systémech, které budou testovat. Kromě IP adresy dostávají také informace o používaných softwarových a hardwarových komponentách. Testování šedé skříňky, které je nejběžnější formou penetračního testování, kombinuje metody testování černé skříňky a bílé skříňky. K dispozici jsou základní informace o IT infrastruktuře, například k čemu se systémy používají a jaká je jejich obecná struktura.

Co potřebuji pro penetrační test?

Jak můžete vytvořit vlastní penetrační test pro svou síť? Níže naleznete základní informace o tom, co je třeba vzít v úvahu při provádění penetračního testu.

Jak se mohu připravit na penetrační test?

Pro úspěšné provedení penetračního testu je důležité nejprve vytvořit jasný plán. Určete, které komponenty je třeba otestovat, zda máte k dispozici všechny potřebné nástroje a časový rámec pro každý jednotlivý test i pro celkové hodnocení vaší sítě.

Fáze přípravy je ještě důležitější, pokud najímáte externí testery a chcete použít metodu testování typu white box. Pokud se rozhodnete pro tuto metodu, budete muset testovacímu týmu poskytnout všechny informace o vaší síti a jejích systémech, stejně jako dokumentaci, kterou o svém systému máte. U testování typu black box je postup odlišný. U této metody budete muset sdělit pouze cílové adresy komponent, které mají být testovány.

Jaké jsou nejlepší nástroje pro penetrační testování?

Vzhledem k tomu, že existuje tolik různých druhů útoků, je logické mít k dispozici mnoho různých nástrojů pro penetrační testování. Mezi nejdůležitější patří:

• Skenery portů: skenery portů používají specializované nástroje k identifikaci otevřených portů v systému.
• Skenery zranitelnosti: skenery zranitelnosti zkoumají systémy, aby zjistily existující bezpečnostní zranitelnosti, chybné konfigurace a nedostatečné zásady pro hesla a uživatele.
• Sniffery: sniffer se používá k analýze síťového provozu. Čím silnější je šifrování, tím méně informací bude schopen shromáždit.
• Generátory paketů: generátory paketů jsou nástroje používané k generování nebo simulaci dat síťového provozu. To umožňuje napodobit síťový provoz během penetračního testu.
• Crackery hesel: penetrační testery používají crackery hesel jako způsob, jak získat hesla, která nejsou bezpečná.

Mnohé z výše uvedených nástrojů byly výslovně vyvinuty pro testování bezpečnosti sítí, a proto jsou přizpůsobeny konkrétním oblastem testování. Ačkoli drtivá většina těchto programů pochází z open-source sektoru, existují i některé komerční bezpečnostní aplikace, které jsou obecně lépe zdokumentovány a jsou dodávány s komplexní IT podporou.

Jaké jsou jednotlivé kroky penetračního testu?

Postup testování pomocí pera lze rozdělit do následujících čtyř kroků:

Přezkoumat koncepci sítě

Penetrační test může odhalit nesrovnalosti nebo slabiny v návrhu sítě nebo jednotlivých komponent již ve fázi přípravy. Například pokud je více aplikací nakonfigurováno s různými přístupovými skupinami, může to rychle vést ke komplikacím a představovat bezpečnostní riziko pro celou síť, i když jsou síť a jednotlivé hostované programy dostatečně chráněny. Některé z těchto případů lze vyřešit již během předběžné diskuse, zatímco jiné lze potvrdit pouze provedením praktického testu.

Opatření pro posílení testování

Zajištění co největšího zabezpečení systémů používaných v síti je základem bezpečnosti podnikové sítě. Během penetračního testu je důležité zkontrolovat již přijatá ochranná opatření. To zahrnuje kontrolu nainstalovaného softwaru, jako jsou operační systémy, systémové služby a aplikace, které by měly být vždy aktuální. Pokud se používají starší verze, protože jsou kompatibilní s jinými aplikacemi, je třeba přijmout alternativní opatření k ochraně systému. Důležitou roli hrají také požadavky na přístup a autentizaci pro jednotlivé systémy a programy. Penetrací test se zde zabývá například následujícími otázkami:

• Přístupová práva
• Používání hesel a šifrování
• Používání existujících rozhraní a otevřených portů
• Definovaná pravidla (např. pravidla brány firewall)

Vyhledávání známých zranitelností

Obvykle netrvá dlouho, než se odhalí bezpečnostní zranitelnosti, a proto jsou testeři penetrace obecně obeznámeni s útočnými body testovaných objektů, které zkoumají. Díky informacím, které testeři shromáždili o stavu verzí a úrovni oprav během svého výzkumu zabezpečení síťových komponent, mohou rychle identifikovat, které aplikace představují bezpečnostní riziko. Pokud je třeba analyzovat mnoho systémů v krátkém čase, může být užitečné použít skenery zranitelnosti, i když ne vždy poskytují přesné výsledky.

Cílené využití exploitů

Tester může zjistit, zda lze objevené zranitelnosti zneužít, pouze jejich skutečným zneužitím. Sekvence příkazů používané pro takové zneužití jsou obvykle skripty získané z různých internetových zdrojů. Ty však nejsou vždy bezpečně naprogramovány. Pokud je proveden nezabezpečený exploit, existuje riziko, že testovaná aplikace nebo systém selže a v nejhorším případě mohou být přepsána důležitá data. Proto by penetrační testeři měli být opatrní a používat pouze spolehlivé skripty z renomovaných zdrojů, nebo se testování zranitelnosti úplně zdržet.

Jaké jsou výhody a nevýhody penetračního testování?

Homogenní počítačové struktury jsou již minulostí. Dnešní decentralizované IT struktury mohou každý den způsobovat nové zranitelnosti a chyby. Někdy mohou tvůrci softwaru tyto chyby rychle opravit, jindy však může náprava takových problémů trvat o něco déle.

Právě zde se projevují silné stránky penetračního testování, které nabízí následující výhody:

• Penetrační testy zkoumají systémy mnohem podrobněji než běžná bezpečnostní kontrola.
• Základním cílem penetračního testování je zkontrolovat, jak dobře jednotlivé komponenty spolupracují.
• S externím testerem získáte další názor a také jiný pohled na váš základní bezpečnostní koncept.
• Profesionální penetrační testery jsou speciálně vyškoleni a přistupují k vašemu systému stejně jako hacker.

Penetrační testování, a zejména spolupráce s externími testery, má však také své nevýhody:

• Během provádění penetračního testu má testovací tým přístup k interním informacím a procesům.
• U penetračních testů vždy existuje možnost, že test může způsobit nenapravitelné škody.
• Penetrační testy poskytují pouze momentální snímek vašich síťových systémů, a proto by nikdy neměly být důvodem k upuštění od běžných bezpečnostních opatření.

Je také důležité mít na paměti, že tradiční penetrační testy neposuzují rizika spojená se sociálním inženýrstvím. Mnoho společností nabízí služby zaměřené na identifikaci těchto zranitelností a poskytuje také speciální školení o tom, jak předcházet útokům sociálního inženýrství.