Získejte hackery na svoji stranu pomocí penetračních testů

Víte, že k hackerským útokům dochází v průměru dvakrát za minutu? Frekvence a sofistikovanost těchto útoků navíc každým rokem prudce vzrůstá. Totéž bohužel neplatí pro posilování kybernetické bezpečnosti IT systémů. Je vaše ochrana vůči kybernetickým útokům dostatečná? Jedním ze způsobů, jak efektivně odhalíte slabá místa v zabezpečení počítačů, jsou penetrační testy. Přečtěte si, jak vám mohou pomoci zamezit ztrátě dat.
Kybernetická bezpečnost
Získejte hackery na svoji stranu pomocí penetračních testů

Penetrační testy (někdy zkráceně uváděné jako pentesty), známé také jako „etické hackování“, jsou technikou testování zabezpečení IT systémů. Tyto testy se provádějí na systémech firem nebo organizací za účelem odhalení potenciálních zranitelností a ověření kybernetické bezpečnosti IT systémů i infrastruktury

Tip: Mohlo by váz zajímat, jak pandemie koronaviru ovlivnila hackerské útoky

Co je (a co není) penetrační test 

Pentesty slouží jako účinný nástroj pro identifikaci možných slabých míst v systémech a sítích. Provedené útočné postupy jsou simulační (simulují hackerský útok) a provádějí je zvenčí i zevnitř organizace důvěryhodní odborníci, kteří se podobně jako kybernetičtí útočníci či hackeři snaží proniknout do IT aktiva (počítač, server, informační systém, síť nebo aplikace). Výsledkem těchto testů je analýza bezpečnosti IT systémů a sada opatření k odstranění odhalených zranitelností, a to po technické i organizační stránce. 

Proces provádění penetračních testů zahrnuje pečlivou analýzu systému, zaměřenou na odhalení případných bezpečnostních nedostatků nejrůznějších typů. Například: 

  • chybné nastavení či konfigurace IT systémů, 
  • známé i neznámé hardwarové a softwarové problémy, 
  • nedostatečná protiopatření.  

Cílem a účelem pentestů je: 

  • Definujete reálnou zneužitelnost určité skupiny vektorů útoku. 
  • Identifikujete rizika a potvrdíte (či vyvrátíte) průběh rizikových scénářů. 
  • Ujistíte se o úrovni zabezpečení před předáním systému, aplikace nebo služby do provozu. 
  • Zajistíte shodu se zákonem, předpisy nebo smluvními požadavky. Jde o splnění povinností vyplývajících z vyhlášky č. 82/2018 Sb. (o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat), konkrétně lze tuto povinnost najít v § 11 odst. 3 a § 25 odst. 1 této vyhlášky. 
  • Odhalíte i rozsáhlé bezpečnostní nedostatky vznikající akumulací a agregací menších nedostatků. 
  • Zjistíte nedostatky nezjistitelné při automatické detekci systémových chyb. 
  • Posoudíte možné dopady na organizaci jako takovou i na její vnitřní hospodářství v případě, že by došlo k hackerskému útoku a následnému prolomení. 
  • Určíte míru obranyschopnosti bezpečnostních prvků IT systémů a jejich schopnosti odhalovat aktuální útoky a náležitě na ně reagovat. 
  • Doplníte své firemní know-how o zajímavé zkušenosti a poučení. Zvýšení povědomí o kybernetické bezpečnosti v top-managementu firmy může podnítit navýšení rozpočtu na kybernetickou bezpečnost. 

Kompletní pentesty by měly obsahovat i podrobné informace o nalezených bezpečnostních rizicích – včetně určení jejich priorit, a také o reálných důsledcích jednotlivých nalezených nedostatků. 

Penetrační testy jsou obvykle součástí kompletního bezpečnostního auditu. Některé společnosti vyžadují pravidelné každoroční opakování penetračních testů nebo vždy, když dojde ke změně nebo rekonfiguraci IT systémů. 

Tip: Přečtěte si, jak penetrační testy pomáhají chránit vaše podnikání

Co není penetrační testování – skenování zranitelností a redteaming 

Penetrační testy se často zaměňují s tzv. skenováním zranitelností (vulnerability scan). Jedná se ale o rozdílné postupy s odlišnými metodami i cíli – smyslem skenování zranitelností je identifikace systémů, které mohou být potenciálně zranitelné. Jeho výsledkem je tedy report potenciálních zranitelností. Důležité je ono slůvko „potenciálních“ – nemusí jít o reálnou zranitelnost i z toho důvodu, že skenování zranitelností probíhá automatizovaně a může obsahovat falešně pozitivní nálezy (tj. nálezy, které sice vykazují znaky zranitelností, ale ve skutečnosti se o žádné zranitelnosti nejedná). Proto se skenování zranitelností používá jako součást procesu penetračního testování, kdy podezřelé nálezy pak ještě prochází manuální kontrolou a analýzou. 

Oproti tomu tzv. redteaming je proces výrazně komplexnější a penetrační testy jsou pouze jednou z jeho mnoha součástí. Namísto jednoho testera s o průnik pokouší celý tým etických hackerů, který využívá prostředky sociálního inženýrství, těžení informací z otevřených zdrojů, fyzický průnik a další metody.  Podrobněji se redteamingu budeme věnovat v jednom z následujících článků. 

Typy a druhy penetračních testů 

K dispozici máte celou škálu pentestů. Dle několika základních kritérií je můžeme rozdělit podle: 

  • lokality a role penetračního testera,
  • použité metodologie,
  • množství informací o testovaném systému či aktivu,
  • informovanosti zaměstnanců testované organizace,
  • cíle a zaměření testu.

Penetrační testy dle lokality a role testera 

Základní rozdělení pentestů vychází z rozsahu přístupu, který má tester k dispozici.  

Externí penetrační testy – reprezentují snahu anonymního kybernetického útočníka o narušení firemní sítě z externího prostředí internetu. Útočník tedy nemá přehled o síťové infrastruktuře společnosti a disponuje pouze takovými informacemi, které jsou volně dostupné. Cílem takovéhoto simulovaného hackerského útoku je překonání bezpečnostních kontrol, využití zranitelností a získání neoprávněného přístupu do sítě. Alternativním cílem může být znepřístupnění poskytovaných služeb. 

Interní penetrační testy – realizují se nejčastěji z role anonymního útočníka s fyzickým přístupem do vnitřní sítě, ovšem bez přístupu k adresářovým službám. Provádějí se ale i z role zaměstnance s přístupem k adresářovým službám. Jejich cílem je ověření odolnosti firemní sítě z vnitřní strany, dále k nalezení zranitelností v této síti, k prověření bezpečnostních mechanismů sloužících před neoprávněným přístupem a případným zneužitím ze strany uživatelů ve vnitřní síti. Těmi mohou být i partneři nebo vlastní dodavatelé. 

Typy penetračních testů dle informací dostupných testerovi 

Nejběžnější rozdělení pentesů vycházející z míry a specifikace informací, které má tester k dispozici: 

Black-box – tester simuluje hackerských útok z pozice anonymního útočníka, který nezná interní skutečnosti o cílových systémech, nezná ani rozsah firemního IT zabezpečení a nemá žádné podrobné informace o vnitřní struktuře aplikací, systémů či sítě. Jejich funkčnost je pro testera jakousi černou skříňkou (anglicky black-boxem, odtud název). Tento typ pentestu nejlépe odpovídá realitě, tedy skutečnému hackerskému útoku.  

Výhodou tohoto přístupu je, že při testování aplikací a IT systémů není zapotřebí znalost použitého programovacího jazyka a ani zpřístupnění zdrojového kódu. Tyto pentesty se dále vyznačují vysokou mírou přizpůsobení na míru požadavkům zadavatele. Mezi nevýhody black-box přístupu patří potřeba skutečně širokých znalostí testera. Dalším problémem je situace, kdy testeři neprolomí ochranný perimetr – zranitelná místa interních služeb tak zůstanou neobjevená, a tím pádem i neopravená. Také se v průběhu testování nemusí podařit objevit chyby a zranitelnosti, které vyžadují sofistikovanější přístupy. 

White-box je zcela opačným přístupem, kdy testerovi poskytnete všechny potřebné informace o vašem IT zabezpečení, infrastruktuře a architektuře vašich IT systémů, typu a počtu přítomných zařízení a firemních politikách. Tento přístup sice neodpovídá reálnému hackerskému útoku, ale na druhou stranu je obvykle poněkud efektivnější a jde více do hloubky – probíhá analýza zdrojového kódu, ve kterém se hledají chyby.  

Tento přístup tedy vyžaduje jednak znalost použitého programovacího jazyka, jednak dobře napsaný a okomentovaný kód. I když je tento přístup poměrně důkladný – a velmi účinný pro předcházení vnitřním hrozbám – nemusí rozpoznat zranitelnosti, které by mohl útočník zneužít zvenčí pomocí nekonvenčních taktik, případně minout zranitelnosti, které by méně informovaný útočník nalezl a zneužil. Mezi další slabé stránky patří vyšší cena i časová náročnost a relativně úzké zaměření na kód a architekturu. 

Grey-box – jde se o kombinaci výše uvedených přístupů. To znamená, že testerovi poskytnete pouze částečné informace a o další vás požádá, pokud během testování najde podezření na zranitelnost bezpečnosti systému. Grey-box přístup může rovněž zahrnovat metody reverzního inženýrství pro určení limitních hodnot vstupních údajů nebo chybových hlášení. 

Typy pentestů dle informovanosti zaměstnanců testované organizace 

  • Se spoluprací organizace (ohlášené) – o testování jsou informovaní relevantní zaměstnanci organizace, tj. kromě osob, které penetrační testy objednávali, i manažer kybernetické bezpečnosti a případně administrátoři jednotlivých systémů. 
  • Bez spolupráce organizace (neohlášené) – administrátoři jednotlivých systémů o penetračních testech informování nejsou. Testuje se tedy také jejich schopnost reakce a zvolená metoda detekce nežádoucích procesů. 

Rozdělení penetračních testů dle konkrétního zaměření a cíle   

  • Standardní – testuje se externí perimetr. 
  • Interní – testuje se interní síť organizace. 
  • Webové aplikace – pentest je detailně zaměřený pouze na konkrétní aplikaci. 
  • Mobilní aplikace, Wi-Fi sítě, autentizační mechanismy – opět konkrétní zaměření pentestů na daný úsek ICT. 
  • Oddělené sítě – testování technických sítí. 
  • IDS/IPS mechanizmy – pentesty nastavení a konfigurace. 
  • Specifická zařízení (IP telefonie, průmyslové řízení, prototypy atp.) – průběh, metoda a rozsah těchto testů závisí na požadavcích objednatele a na jeho domluvě s dodavatelem penetračního testu. 
  • Sociální inženýrství – jejich cílem je ověřit chování zaměstnanců a určit jejich odolnost vůči praktikám sociálního inženýrství a schopnost dodržování zásad kybernetické bezpečnosti. Je důležité, aby uživatelé byli na tyto testy připraveni prostřednictvím programů budování bezpečnostního povědomí. 

Tip: Přečtěte si o penetračních testech metodou sociálního inženýrství

Průběh penetračních testů 

Průběhy jednotlivých testů se v praxi odlišují dle zvoleného typu testování, které jsme si popsali výše. V obecné rovině se pentesty skládají z následujících fází a kroků:   

Příprava 

  • Definice rozsahu – stanovení typu testu a cílů útoku na základě požadavků klienta i expertního odhadu. Nezapomeňte si i specifikovat, co předmětem penetračních testů není. 
  • Výběr poskytovatele – měli byste vždy zohlednit praxi poskytovatele, jeho pověst a ověřené reference (u kterých je zapotřebí pečlivě posoudit, zda jsou skutečně důvěryhodné a prověřené). Při vyhodnocování ceny se nespoléhejte pouze na udávané man-days (člověkodny) – některé firmy mohou velmi tvůrčím způsobem účtovat jednotlivé položky a skutečná cena za penetrační testování se tak může výrazně lišit. Zaměřte se také na certifikace jednotlivých testerů – zajímají vás následující certifikáty: 
    • CEH (potvrzuje základní znalosti penetračního testování), 
    • CISA (spíše auditorská certifikace, pro penetrační testování méně vhodná), 
    • ECSA (certifikace potvrzující teoretické znalosti), 
    • GIAC (certifikace vyžadující vyšší nároky na znalosti testera), 
    • GPEN (certifikace potvrzující mírně pokročilé znalosti, zkouška vyžaduje i praktické znalosti), 
    • OSCP (certifikace potvrzující hluboké znalosti), 
    • OSWE nebo OSWP (certifikace potvrzující teoretické i praktické znalosti na vysoké úrovni). 
  • Sběr informací – základní průzkum systémů, detekce otevřených síťových portů, vstupní body a kritické funkcionality systémů a aplikací. Patří sem i úkony předcházející testování: vytvoření příslušných účtů, informování příslušných osob apod. 
  • Sestavení modelu – sestavení modelu simulovaného hackerského útoku dle stanovených kritérií a vybraných vektorů na základě cílů a informací o systémech. 

Testování 

  • Průzkum – pasivního i aktivního získávání informací o objednateli. Zjišťují se všechna relevantní data, např. rozsahy IP adres, telefonní čísla a e-mailové adresy zaměstnanců apod.
  • Skenování – testování cíle se záměrem získání užitečných dat, která by se dala potenciálně využít v dalších fázích testování. 
  • Enumerace – extrahování informací za účelem získání bližších specifikací systému. Výstupem této fáze mohou být uživatelé a skupiny, sdílené složky, jména konkrétních počítačů atd. 
  • Exploatace, zisk přístupu – komplexní proces zahrnující více činností, např. jako lámání hesel ke kompromitaci účtu, změnu privilegií z běžného uživatele na administrátora nebo provedení útoku s využitím dosud extrahovaných informací. 
  • Post-exploatační fáze – prověření získaných dat a možností exploatace. 

Reporting 

  • Sestavení reportu – podrobná zpráva o nalezených zranitelnostech spolu s doporučeními k jejich nápravě. Závěrečná zpráva by měla obsahovat zadání, harmonogram a omezení penetračního testu i manažerské shrnutí.  
  • Opravy na straně klienta – dle zjištěných zranitelností proběhnou úpravy systémů, aplikací a procesů na straně klienta. 
  • Retest – po úpravách zjištěných a reportovaných zranitelností se může provést ještě dodatečné následné otestování implementovaných oprav – nejedná se ale o opakování pentestu v plném rozsahu. 

Příklad z praxe 

Při provádění penetračních testů pro jednoho z našich klientů náš tester nepozorovaně překonal fyzickou ostrahu objektu. Dostal se tak až před kanceláře klienta, kde se mu podařilo získat přístup do interní firemní Wi-Fi sítě. Díky tomu se nám podařilo určit hned několik problémů, které jsme vyřešili povýšením systému interních hesel a zabezpečením připojení do Wi-Fi sítě. 

Tip: Podívejte se na případovou studii, kde podrobně popisujeme výše uvedený příklad. 

Nejběžnější problémy provázející penetrační testování 

Pentesty sice výrazně přispívají k posílení kybernetické bezpečnosti celé organizace, nemá ale smysl zastírat, že jsou zcela bezproblematické. Zde je ukázka nejčastějších potíží, které mohou nastat: 

  • Spolupráce s nekompetentním poskytovatelem (nebo testerem), 
  • zaměňování skenů zranitelností za penetrační testy, 
  • chybná analýza nálezů – nadhodnocování nebo podhodnocování zjištěných skutečností, 
  • nedodržení stanovených termínů nebo špatně zvolený termín pro testování, 
  • nedokončení práce nebo nedostatečně provedený pentest, 
  • zásahy administrátorů nebo dalších zaměstnanců do průběhu testování, 
  • nesprávný odhad rozsahu testu, 
  • neposkytnutí nezávislosti testerům, 
  • vyjmutí důležitých prvků z testování, 
  • nedostatečná komunikace v rámci organizace nebo s testery. 

Tipy pro penetrační testování  

  • Zde je několik doporučení, která zatím nezazněla. 
  • Pentesty vykonávejte pokud možno pravidelně (tím navíc v průběhu času získáte možnost sledovat efektivitu přijímaných opatření na základě reportů). 
  • Využívejte doporučení a zkušenosti expertů na danou problematiku. 
  • Implementujte doporučená nápravná opatření v co nejkratším možném čase. 
  • Snažte se o pozitivní přijetí penetračního testování u administrátorů systémů (tj. zdůrazněte, že cílem není kontrolovat nebo nějak postihovat daného administrátora). 
  • Zajistěte nezávislé provedení penetračního testování (tzn. že by testeři neměli být přímo či potenciálně závislí na dodavateli nebo provozovateli testovaného systému). 

A pro úplnost i několik tipů, čemu byste se rozhodně měli vyhnout. 

  • Nepreferujte „univerzální konzultanty“ – patrně nebudou těmi nejlepšími odborníky. 
  • Nevybírejte dodavatele (jen) podle nejnižší ceny. 
  • Nespoléhejte na tvrzení dodavatelů, že provádí vlastní způsob testování. 
  • Neměňte skutečnosti a nálezy uvedené v závěrečné zprávě. 
  • Nečekejte s penetračním testováním na nejzazší možný termín. 

Shrnutí 

I pokud vám to vysloveně neukládá zákon o kybernetické bezpečnosti, měli byste provedení penetračních testů alespoň zvážit. S největší pravděpodobností nebudete šetřit firemní finanční prostředky vynecháním povinných revizí elektrických spotřebičů nebo hasicích přístrojů. Doslova to nestojí za možné riziko.  

K pentestům zkuste přistupovat stejně. Není náhodou, že na firemní data někteří kybernetičtí útočníci nahlížejí jako na ropu 21. století. Odhalte pomocí penetračních testů, kde váš „ropný vrt“ snadno napíchnou útočníci, než to dříve či později sami skutečně učiní. Kontaktujte nás – testování v TOTAL SERVICE zaštiťujeme partnerstvím se společností Tenable, jejíž technologie patří ke špičce v oblasti testování zranitelností, analýzy síťového provozu a penetračních testů včetně interpretace a scoringu výsledků testování. 

Řešení pro veřejný i komerční sektor

-
S námi už vám nikdo neohrozí data
-
S námi máte vždy IT náklady pod kontrolou
-
Dostupnost 24/7 a 100% zastupitelnost
-
Vstupní audit zdarma

Máte zájem o vyzkoušení nebo dotaz?

Máte-li nějaké dotazy, nechte nám na sebe kontakt. V pracovní době se vám nejpozději do 24 hodin ozveme. Pokud nemáte kontaktní formuláře rádi, kontaktujte nás na telefonním čísle: (+420) 270 002 811 nebo e-mailu: poptavky@totalservice.cz.
- Vaše data jsou chráněna.
Zaujal vás článek?
Sdílejte ho na sociálních sítích
<-- Zpět na blog
Nástup metaverse: Co to znamená pro budoucnost podnikání a jak se připravit?
<--
Předchozí článek
Nástup metaverse: Co to znamená pro budoucnost podnikání a jak se připravit?
Změna pracovních návyků zaměstnanců a přechod k hybridní práci
-->
Další článek
Změna pracovních návyků zaměstnanců a přechod k hybridní práci

Buďte s námi ve spojení

-
TOTAL SERVICE a.s.

Metropolitan Building
U Uranie 954/18
170 00 Praha 7
-

Obchodní divize

Technická divize
-

Help Desk:

helpdesk.totalservice.cz
-

Vzdálená podpora:

get.teamviewer.com/
totalservice
-

Recepce:
(+420) 270 002 811

-

Facebook
TOTAL SERVICE

Linkedin
TOTAL SERVICE

Užitečné stránky
Služby
O nás
Kontakt