Aktéři hrozeb snadno překonávají tradiční bariéry a vyžadují účinnější obranu proti rozšiřujícím se útočným plochám. Jsou neustále v pohybu a zkoumají IT infrastrukturu, aby identifikovali zranitelné systémy - včetně neopravených koncových bodů, chybných konfigurací sítě, nezabezpečených rozhraní API a dávno zapomenutých cloudových oprávnění. Držet krok se změnami v síti a odstraňovat tyto bezpečnostní mezery, je nekonečná manuální práce, která vysává IT zdroje, čas i morálku. Výsledkem je zbytečné bezpečnostní riziko. Koneckonců, nemůžete zabezpečit to, o čem nevíte.
Penetrační testování se stalo efektivním řešením pro odhalování bezpečnostních rizik v podnikovém prostředí - pomocí automatizovaných detekčních technologií a manuálního vyšetřování se odhalují a řeší zranitelnosti sítí a systémů. Ne všechna řešení penetračního testování jsou však stejná. Organizace musí k penetračnímu testování přistupovat pečlivě, eticky a s pomocí správných nástrojů, aby zajistily, že budou moci identifikovat a vyřešit bezpečnostní mezery dříve, než budou mít aktéři hrozeb možnost tyto zranitelnosti využít. A v dnešním neustále se vyvíjejícím prostředí hrozeb je důležité především načasování.
Co je to penetrační testování a jak funguje?
Penetrační testování je bezpečnostní metoda, která vyhledává zranitelnosti, zneužitelné útočníkem, v podnikových systémech a aplikacích, a následně předkládá doporučení ke zlepšení zabezpečení. V závislosti na povrchu útoku a profilu potenciálního rizika vaší organizace, by mělo být testování prováděno pravidelně napříč celým IT řešením. To zahrnuje webové aplikace, sítě, webové služby, bezdrátové přístupové body, mobilní aplikace, zařízení internetu věcí (IoT) a tlusté klienty, aby bylo zajištěno kompletní pokrytí oblasti zabezpečení.
Penetrační testování se provádí v různých variantách - testování bílé, šedé a černé skříňky - každá z nich je určena pro specifické bezpečnostní kontroly. Testování bílé skříňky si představte tak, že tester dostane VIP vstupenku do vašeho systému. Může vidět všechno: zdrojový kód, plány, hesla. Díky tomuto detailnímu pohledu může odhalit všechna možná slabá místa a ujistit se, že mu nic neunikne.
Testování šedé skříňky je jako poskytnout testerům možnost nahlédnout pod pokličku. Dostanou některé informace, ale ne celý obraz, což jim umožní přemýšlet jako insideři bez plného přístupu. Tímto způsobem mohou odhalit zranitelnosti, které by nemusely být zřejmé. Při testování černé skříňky jde především o překvapení. Testeři jdou naslepo, stejně jako by to udělal skutečný hacker, a napadají vaši obranu bez jakýchkoli znalostí získaných zevnitř.
Pak je tu červený tým, který vše posouvá o stupeň výš. Je to jako provádět plnohodnotné bezpečnostní cvičení, které se zaměřuje na vaše nejcennější aktiva pomocí sofistikovaných, realistických útoků. Tento přístup prověřuje nejen slabá místa, ale také to, jak je váš tým připraven zvládnout skutečné hrozby. Díky přísným pravidlům pro zajištění bezpečnosti, posouvá red teaming vaše zabezpečení na samou hranici, a dává vám jasný přehled o tom, jak si stojíte.
Pro simulace červených týmů lze spustit různé scénáře, ve kterých jsou bezpečnostní týmy na různé úrovni porozumění parametrům testu. Týmy mohou vědět, že se chystá útok, ale neví, jakým způsobem dojde k počátečnímu přístupu, nebo jsou zcela v nevědomosti a musí předpokládat, že probíhá skutečný pokus o útok. V každém případě je někdo uvnitř organizace v obraze a může minimalizovat případná nedorozumění v průběhu testu.
Jak penetrační testování zapadá do celkové strategie kybernetické bezpečnosti?
Penetrační testování je důležitou součástí celkové strategie kybernetické bezpečnosti organizace, jejímž cílem je identifikovat zranitelná místa a posoudit účinnost bezpečnostních opatření. V praktické rovině pomáhá penetrační testování bezpečnostním týmům sledovat změny v aplikacích, sítích a systémech, aby mohly odstranit všechny potenciální zranitelnosti nebo mezery, které se objeví. Dnešní bezpečnostní týmy musí počítat s tím, že rozšiřující se plochy hrozeb a složitost cloudu znamenají, že k narušení dojde. Strategie, která vrství ochranu na detekci, je nejlepším způsobem, jak zabránit většině útoků, a zároveň zmírnit jejich případný dopad.
Kdy by se mělo provádět penetrační testování?
Penetrační testy by měly být prováděny před uvedením nových nebo významných změn stávajících systémů do provozu, před auditem, pro ověření souladu s předpisy, a jako pravidelná kontrola. Důležité je mít na paměti, že aplikace, sítě a systémy se neustále mění - stejně jako prostředí hrozeb. To, co je bezpečné dnes, nemusí být bezpečné zítra, a proto je pro organizace důležité provádět pravidelné penetrační testy napříč celým IT řešením.
Jaký typ penetračního testu je nejlepší?
Testování bílé skříňky je často nejlepší volbou pro kontrolu zabezpečení systému, protože se podrobně zabývá vším. Je to, jako byste testerům poskytli kompletní mapu systému, takže mohou zkontrolovat každý kout, kde se vyskytují případné problémy. To je užitečné zejména u věcí, jako je testování webových stránek, kde znalost všech různých částí a uživatelských rolí pomáhá testerům zajistit, aby nic nepřehlédli. Díky testování bílých skříněk mohou odhalit problémy, které by mohly někomu umožnit získat neoprávněný přístup nebo kontrolu.
Na druhou stranu testování šedé a černé skříňky neposkytuje úplný obraz. Snaží se podívat na věci z pohledu nezúčastněné osoby, což je dobré pro pochopení toho, jak by se útočník mohl do systému dostat. Protože však nemají k dispozici všechny informace, nemusí podchytit vše. Tyto metody jsou skvělé pro simulaci útoků od někoho, kdo ještě nezná váš systém zevnitř, ale mohou jim unikat takové problémy, které by mohl najít někdo s většími znalostmi nebo ukradeným přístupem.
Jednoduše řečeno, testování bílé skříňky nám pomáhá se ujistit, že jsme zkontrolovali vše a nepřehlédli žádné potenciální bezpečnostní problémy. Poskytuje testerům všechny informace, které potřebují k důkladné práci.
Existují scénáře, kdy je penetrační testování nevhodné?
Rozhodnutí, zda a kdy provést penetrační test, není vždy jednoznačné. Rozhodujícím faktorem je dopad na chod firmy. Je důležité odhalit zranitelnosti a včas je opravit, ale testování musí být provedeno neinvazivně tak, aby neomezovalo schopnost organizace provádět běžný provoz. Vyhýbejte se špičkám, období uprostřed uvádění produktů na trh, oznamování výsledků hospodaření a dalších kritických událostí.
Penetrační testování je důležité provádět především ve vývojovém a testovacím prostředí, aby nedošlo k narušení ostrého provozu jednotlivých systémů. Tento přístup zajistí, že každodenní provoz, uživatelé, zákazníci a partneři zůstanou nedotčeni. Provozní technologické systémy (OT), kde vývojová prostředí nemusí existovat, však vyžadují zvláštní pozornost. Testování těchto systémů vyžaduje pečlivý přístup, aby se předešlo jakémukoli narušení, a to vzhledem k významnému dopadu, který by problémy mohly způsobit. Zajištění odpovídajícího postupu, stanovení jasných pravidel činnosti, a zajištění oprávnění od příslušných stran, jsou v této souvislosti zásadními kroky.
Kroky k úspěšnému penetračnímu testu
Penetrační testování nelze brát na lehkou váhu. Vyžaduje pečlivé plánování a přípravu, aby jeho průběh proběhl hladce a přinesl použitelné výsledky. Proces začíná stanovením rozsahu. Spolupracujte s poskytovatelem služeb penetračního testování, abyste plně porozuměli prověřovaným systémům, sítím nebo aplikacím a jejich architektonickému rámci. Tento krok je klíčový pro určení vhodných metod testování a stanovení měřítek úspěšnosti.
Poté se rozhodněte, jaký typ penetračního testu - bílý, šedý nebo černý test - nejlépe odpovídá vašim cílům, a to s ohledem na poznatky z fáze stanovení rozsahu. Je nezbytné definovat pravidla testování a předem stanovit jasné parametry testů. V průběhu testování ověřujte zjištěné údaje, abyste odlišili skutečné zranitelnosti od falešně pozitivních, a zajistili, že konečná analýza bude přesná a použitelná.
Výsledkem tohoto úsilí je komplexní zpráva s podrobnými informacemi o všech zjištěných zranitelnostech a rizicích, spolu s doporučeními k nápravě, která je možné realizovat. Po provedení navržených oprav si od poskytovatele služeb penetračního testování vyžádejte následnou zprávu. Tento dokument by měl potvrdit provedení nápravy a popsat zlepšení stavu zabezpečení po provedení nápravy.
Závěr
Penetrační testování je důležitou součástí komplexní strategie kybernetické bezpečnosti, která na sebe vrství ochranu a detekci. Umožňuje týmům kybernetické bezpečnosti identifikovat a řešit zranitelnosti sítí, aplikací a systémů, a zároveň udržovat přehled o aktuálních bezpečnostních rizicích. Organizace by však měly k penetračnímu testování přistupovat opatrně, eticky a s pomocí vhodných nástrojů, aby co nejlépe identifikovaly a vyřešily bezpečnostní mezery dříve, než bude pozdě. Pravidelné testování začleněné do podnikových procesů, jako je vývoj aplikací, poskytování cloudových zdrojů a audit souladu s právními předpisy, může zmírnit bezpečnostní rizika. Jen se ujistěte, že jste každý test řádně specifikovali, vytyčili parametry a pravidla provozu, a vyhnuli se rušivému vlivu na chod vaší organizace.
AUTOR
 | Paul Hadjy Paul Horangi je generálním ředitelem a spoluzakladatelem společnosti Horangi Cyber Security (která je součástí Bitdefender Company), přední firmy v oblasti kybernetické bezpečnosti, kterou založili bývalí inženýři společnosti Palantir Technologies a která sídlí v Singapuru. Cloudová bezpečnostní platforma Warden společnosti Horangi, která patří k nejlepším ve své třídě, chrání organizace ve veřejném cloudu a je doplněna elitním týmem odborníků na kybernetickou bezpečnost, kteří poskytují zákazníkům po celém světě ofenzivní a strategické služby v oblasti kybernetické bezpečnosti s akreditací CREST. Paul Hadjy řídí aktivity, které stojí za vytvářením špičkových řešení kybernetické bezpečnosti, a zároveň zajišťuje, aby všichni uživatelé z řad vedoucích pracovníků, až po technické specialisty, měli k dispozici správná a použitelná data, na jejichž základě mohou přijímat zásadní kybernetická rozhodnutí. |