Test penetracyjny to kontrolowany atak na wskazany system informatyczny celem poznania jego słabych punktów i luk w zabezpieczeniach oraz w podatności na incydenty bezpieczeństwa. Testy penetracyjne przeprowadzane są przez wykwalifikowanych specjalistów z wykorzystaniem bezpiecznego środowiska, aby nie stanowiły zagrożenia dla firmowych zasobów. Takim testom poddaje się całą infrastrukturę sieciową, aplikacje mobilne, webowe i desktopowe. Pentesty pozwalają dowiedzieć się, czy istnieje ryzyko, aby nieuprawnione osoby uzyskały nieautoryzowany dostęp do poufnych zasobów. Co to oznacza? Pentester sprawdzi na przykład, czy przez ogólnodostępną sieć Wi-Fi w hotelu włamywacz może przedostać się do sieci korporacyjnej lub czy końcowy użytkownik aplikacji mobilnej może zyskać dostęp do danych innych użytkowników sieci. Sprawdzana może być także świadomość bezpieczeństwa oraz sposób działania pracowników organizacji w kryzysowych sytuacjach.

Testy penetracyjne przeprowadza się według zdefiniowanej metodyki. W przypadku testów infrastruktury sieciowej wykorzystuje się standard PTES (The Penetration Testing Execution Standard), stanowiący listę wskazówek dla 7 obszarów wykonywania testów. W testowaniu aplikacji wykorzystywana jest zazwyczaj metodyka OWASP (The Open Web Application Security Project). Stanowi ona najpopularniejszą i powszechnie uznaną przez pentesterów metodykę.

Pentester – kto to jest?

Pentester to specjalista ds. cyberbezpieczeństwa, który z wykorzystaniem swoich kwalifikacji i doświadczenia przeprowadza testy penetracyjne i przygotowuje z nich raport, zawierający listę obszarów do poprawy. Doświadczeni pentesterzy legitymują się zazwyczaj wieloma certyfikatami poświadczającymi ich kompetencje. Do najpopularniejszych z nich należą m.in. certyfikaty OSCP, OSWP, CEH, eWPT czy CISSP. Co istotne, wiedza osób przeprowadzających testy penetracyjne wykracza nierzadko poza ramy akademickie. Są to w dużej mierze praktycy, którzy doświadczenie i informacje o rodzajach zabezpieczeń oraz ich słabościach zdobywali, testując na własną rękę różne rozwiązania.

Pentesterzy stosują własne lub ogólnodostępne algorytmy penetracyjne, wykorzystując je w zautomatyzowanych platformach, a następnie weryfikują każdy niepokojący sygnał, próbując sforsować ustanowione zabezpieczenia.

Testy penetracyjne i audyt bezpieczeństwa – czym się różnią?

Audyt bezpieczeństwa polega na skanowaniu systemu i wyszukiwaniu podatności. Szacuje on możliwość wystąpienia ataku i określa jego możliwy przebieg. Ma charakter ogólny – przeprowadzając audyt bezpieczeństwa, organizacja chce poznać słabe strony firmowej sieci i infrastruktury. Audyty bezpieczeństwa mogą też służyć otrzymaniu lub przedłużeniu konkretnej certyfikacji (np. ISO 27001). Są wówczas przeprowadzane według wytycznych ustalanych przez oficjalne normy.

Testy penetracyjne to z kolei symulowane ataki na określoną część infrastruktury, aplikację czy produkt, przeprowadzane z perspektywy potencjalnego włamywacza. Mają ustalony zakres i cel oraz wyznaczony czas, w którym pentester powinien złamać zabezpieczenia.

Testy penetracyjne można podzielić na trzy rodzaje, w zależności od ilości informacji o systemie zabezpieczeń, którymi dysponuje pentester:

• Black Box – pentester nie otrzymuje żadnych informacji na temat sytemu i sieci, nie zna haseł, struktury systemu ani innych szczegółów. Jego wiedza ogranicza się do ogólnodostępnych informacji (na przykład adresu aplikacji webowej). Jest to najbardziej czasochłonny rodzaj testów, jednak w najlepszy sposób odwzorowuje realia i punkt widzenia użytkownika czy hakera.

• Grey Box – pentester otrzymuje od klienta część informacji o systemie zabezpieczeń, które oszust mógłby zdobyć na przykład za pomocą phishingu.

• White Box – pentester ma nieograniczony dostęp do informacji, a sam test penetracyjny jest najbardziej zbliżony do audytu. Wyraźną zaletą tego rodzaju testu jest możliwość dokładnego zbadania przyczyn wystąpienia błędów i podatności.

Po przybliżeniu tego, czym jest spear phishing i w kogo jest wycelowany, przedstawiamy kilka przykładów zastosowania tego rodzaju oszustwa.

W każdym teście penetracyjnym, niezależnie od jego rodzaju, można wyróżnić 4 zasadnicze etapy. Ich krótką charakterystykę przedstawiamy poniżej.

Testy penetracyjne – etapy:

1. W pierwszym etapie pentesterzy poznają oczekiwania klienta, ustalają zakres testów, ich cel i metodę, która ma zostać wykorzystana. Ta faza to także kwestie formalne wynikające z konieczności uzyskania zgody klienta na przeprowadzenie testów penetracyjnych, a także podpisanie finalnej umowy.

2. Wywiad i przygotowanie środowiska. Ten etap testów penetracyjnych jest uważany za kluczowy. Pentesterzy gromadzą zarówno jawne dane dotyczące testowanej sieci lub aplikacji (biały wywiad – tzw. OSINT), jak i informacje udostępnione przez firmę zlecającą pentesty. Zakres informacji udostępnionych specjaliście zależy od badanego obszaru i ustalonego zakresu prac.

3. Skanowanie sieci i mapowanie zagrożeń. Na podstawie zebranych informacji pentester, w zależności od rodzaju zamówionego testu penetracyjnego, skanuje dostępnymi narzędziami elementy infrastruktury teleinformatycznej, systemy bądź aplikacje w poszukiwaniu potencjalnych podatności, przygotowując grunt do właściwego ataku.

4. Próba sforsowania zabezpieczeń i uzyskania dostępu do zasobów, czyli wykorzystanie zgromadzonych informacji do przeprowadzenia ataków socjotechnicznych, ataków siłowych na zabezpieczenie i wszelkich hybryd, które mają doprowadzić do osiągnięcia przez pentestera ustalonego celu w jak najkrótszym czasie i przy wykorzystaniu jak najmniejszych środków.  Doprowadzenie przez testera do sytuacji uzyskania dostępu bez autoryzacji – oznacza realizację zamierzonego celu.

5. Raport z działań wraz z listą rekomendacji. Pentester sporządza dokładne sprawozdanie ze swoich działań oraz wskazuje firmie zamawiającej testy penetracyjne krytyczne podatności i konieczne do poprawy obszary bezpieczeństwa. Zazwyczaj raport składa się z 2 części: krótszej (streszczenia) i w przystępnej formie dla kierownictwa oraz technicznej (bardziej szczegółowej) – dla zespołów security, sieci i IT.

Testy penetracyjne to jeden z elementów obszaru dotyczącego zarządzania podatnościami. W połączeniu z audytami systemu bezpieczeństwa stanowią podstawę działań prewencyjnych i pozwalają wykryć podatności zanim zrobią to cyberprzestępcy. Ich regularne przeprowadzanie jest pożądane, szczególnie, że udany atak cybernetyczny może narazić firmę na poważne straty wizerunkowe i finansowe.

Firmy szukające skutecznego zespołu pentesterów mogą zwrócić się do Netii. Jej specjaliści ds. cyberbezpieczeństwa przeprowadzą testy penetracyjne według metodyki zgodnej z obowiązującymi normami i zapewniając pełne bezpieczeństwo dla infrastruktury IT klientów.

Dla klientów biznesowych, którzy potrzebują kompleksowej ochrony wraz z 24-godzinnym aktywnym monitoringiem sieci pod kątem występowania cyberzagrożeń i reagowania na incydenty, Netia oferuje usługę Security Operations Center.