PENETRACIJSKI TEST
Kaj je penetracijski test?
Penetracijski test je oblika etičnega hekanja, pri kateri strokovnjak za kibernetsko varnost poskuša najti in izkoristiti ranljivosti v računalniških sistemih, spletnih ali kakšnih drugačnih aplikacijah, osebnih računalnikih ali mobilnih napravah,… Namen takega simuliranega napada je ugotoviti vse šibke točke v obrambi sistema, ki bi jih potencialni napadalci lahko izkoristili za pridobitev zaupnih podatkov ali onemogočitev poslovanja organizacije.
To si najlažje predstavljamo na primeru muzeja, ki najame neko tretjo osebo, da poskusi vdreti v prostore muzeja in poskusi pridobiti dostop do najvrednejših umetnin ter jih odtujiti. Celoten proces vdora v muzej mora biti natančno dokumentiran, saj lahko, v primeru uspešnega vdora, varnostna ekipa muzeja ustrezno popravi in nadgradi varnostne ukrepe in s tem prave kraje v bodoče prepreči.
Penetracijski test odkriva in potrjuje dejanske varnostne ranljivosti – varnostni pregled. V zaključnem poročilu mora biti jasno razvidno kako lahko hekerji najdejo in izkoristijo te ranljivosti. Ko je zaključen, bo lahko ekipa varnostnih inženirjev ustrezno posodobila opremo in postopke, kar zagotavlja, da lahko organizacija doseže ravnovesje med ohranjanjem najboljše možne varnosti in zagotavljanjem stalnega delovanja vseh poslovnih funkcij v podjetju. Tovrsten test lahko vašemu podjetju pomaga tudi pri izboljšanju načrtovanja, ko gre za neprekinjenost poslovanja ali okrevanje po napadu tako, da je kibernetska varnost podjetja lahko izboljšana.
Čeprav penetracijski test simulira metode, ki bi jih hekerji uporabili za napad na omrežje, je razlika v tem, da se penetracijski test izvede brez slabega namena. Iz tega razloga morajo imeti strokovnjaki za kibernetsko varnost ustrezno pooblastilo vodstva organizacije, preden začnejo izvajati penetracijski test v omrežju. Če penetracijski test ni pravilno načrtovan in izveden, je posledica lahko motnja poslovanja in vsakodnevnega poslovnega procesa v organizaciji, zato je pomembno da za penetracijski test izberete izkušenega in zaupanja vrednega izvajalca
Ko so grožnje in ranljivosti ocenjene, se obravnava varnostna tveganja, ugotovljena v celotnem okolju. Penetracijski test mora biti primeren za kompleksnost in velikost organizacije. Vse lokacije občutljivih podatkov; vse ključne aplikacije, ki shranjujejo, obdelujejo ali prenašajo takšne podatke; vse ključne omrežne povezave; in vse ključne dostopne točke bi morale biti vključene. V procesu penetracijskega testa poskušamo izkoristiti varnostne ranljivosti in slabosti v celotnem okolju ter poskušati prodreti tako na ravni omrežja kot v ključne aplikacije. Cilj penetracijskega testiranja je ugotoviti, ali je mogoče doseči nepooblaščen dostop do ključnih sistemov in datotek. V kolikor je penetracijski test uspešen in tester pridobi dostop do želenega omrežja, je potrebno ranljivosti zakrpati in dodatno zavarovato. Nato se penetracijski test ponovno izvede, dokler do sistema ni možno več nepooblaščeno dostopati ali izvajati druge zlonamerne dejavnosti.
Penetracijski test za podjetja
Penetracijski test se običajno izvaja z uporabo ročnih ali avtomatiziranih tehnologij za sistematično preverjanje ranljivosti strežnikov, osebnih računalnikov in mobilnih naprav, spletnih aplikacij, brezžičnih omrežij, omrežnih naprav in drugih izpostavljenih sistemov. Ko so ranljivosti uspešno izkoriščene v določenem sistemu, lahko preizkuševalci poskusijo uporabiti kompromitiran sistem za nadaljnje izkoriščanje pri drugih notranjih virih, zlasti tako, da poskušajo postopno doseči povišanje privilegijev za dostop do informacijskih sistemov. Zato je za podjetja zelo priporočen tudi varnostni pregled, saj je kibernetska varnost dan danes vedno bolj pomembna.
Podatki o vseh varnostnih ranljivostih, ki so bile uspešno izkoriščene s penetracijskim testom, se običajno združijo in posredujejo upravljavcem informacijskih sistemov, da bi le tem pomagali pri strateških sklepih in sanaciji najdenih napak ter nepravilnosti, ki bi jih napadalci lahko izkoristili. Temeljni namen penetracijskega testa je pregledati trenutno stanje ter poiskati nepravilnosti, ki bi jih lahko nepridipravi uporabili kot točko vstopa v sistem organizacije
Test je zasnovan tako, da z izvajanjem simulacije istega scenarija, ki bi ga heker uporabil za prodor v omrežje, globlje analizira ranljivosti sistema kot je to mogoče v samem postopku ocene ranljivosti. Med penetracijskim testom se izvede ocena ranljivosti, vendar je to le ena izmed metodologij, vključenih v celovito operacijo.
Preprosto povedano je test simulacija procesa, ki bi ga heker uporabil za napad na poslovno omrežje, priključene naprave, omrežne aplikacije ali poslovno spletno mesto. Namen simulacije je identificirati varnostne težave, preden jih hekerji lahko najdejo in zlorabijo.
Kdo izvaja penetracijske teste?
Najbolje je, da test izvede nekdo, ki nima dovolj znanja o tem, kako je sistem zavarovan, ker bo morda lahko razkrili slepe točke, ki so jih spregledali razvijalci/inženirji, ki so zgradili sistem. Zaradi tega se za opravljanje penetracijskega testa običajno najame zunanje izvajalce. Ti izvajalci se pogosto imenujejo „etični hekerji“, saj so najeti za vdor v sistem z namenom povečanja varnosti.
Mnogi etični hekerji so izkušeni razvijalci z visoko izobrazbo in certifikati za penetracijsko testiranje ali varnostni pregled. Najboljši kandidati za izvedbo penetracijskega testa se lahko med seboj zelo razlikujejo, odvisno od ciljnega podjetja in vrste penetracijskega testa, ki ga želijo izvesti
Ko je penetracijski test pravilno izveden, rezultati omogočajo strokovnjakom za omrežje in ostalim IT strokovnjakom pripravo priporočila za odpravljanje ranljivosti v omrežju in v aplikacijah, ki so bile odkrite med penetracijskim testom. Glavni namen, ki nam ga zagotovi penetracijski test je izboljšati varnost omrežja ter zagotoviti zaščito celotnega omrežja in povezanih naprav pred prihodnjimi napadi.
Penetracijski test vključuje metode, ki se uporabljajo za izvajanje zakonitih izkoriščanj nepravilnosti v omrežju, da se dokaže, da varnostna težava dejansko obstaja. Ocena tveganja se nanaša na stopnjo tveganja ki jo predstavlja določena nepravilnost najdena v sistemu. Podana ocena tveganja v končnem poročilu je pospremljena tudi s priporočili za odpravo napake ali izboljšanje oslabljenega sistema. na postopek ocenjevanja omrežnih sistemov in storitev, ki jih zagotavljajo, za morebitne varnostne težave.
