Aktéri hrozieb ľahko prekonávajú tradičné bariéry a vyžadujú účinnejšiu obranu proti rozširujúcim sa útočným plochám. Sú neustále v pohybe a skúmajú IT infraštruktúru, aby identifikovali zraniteľné systémy - vrátane neopravených koncových bodov, chybných konfigurácií siete, nezabezpečených rozhraní API a dávno zabudnutých cloudových oprávnení. Držať krok so zmenami v sieti a odstraňovať tieto bezpečnostné medzery, je nekonečná manuálna práca, ktorá vysáva IT zdroje, čas aj morálku. Výsledkom je zbytočné bezpečnostné riziko. Konieckoncov, nemôžete zabezpečiť to, o čom neviete.
Penetračné testovanie sa stalo efektívnym riešením na odhaľovanie bezpečnostných rizík v podnikovom prostredí - pomocou automatizovaných detekčných technológií a manuálneho vyšetrovania sa odhaľujú a riešia zraniteľnosti sietí a systémov. Nie všetky riešenia penetračného testovania sú však rovnaké. Organizácia musí k penetračnému testovaniu pristupovať starostlivo, eticky as pomocou správnych nástrojov, aby zabezpečili, že budú môcť identifikovať a vyriešiť bezpečnostné medzery skôr, ako budú mať aktéri hrozieb možnosť tieto zraniteľnosti využiť. A v dnešnom neustále sa vyvíjajúcom prostredí hrozieb je dôležité predovšetkým načasovanie.
Čo je to penetračné testovanie a ako funguje?
Penetračné testovanie je bezpečnostná metóda, ktorá vyhľadáva zraniteľnosti, zneužiteľné útočníkom, v podnikových systémoch a aplikáciách, a následne predkladá odporúčania na zlepšenie zabezpečenia. V závislosti od povrchu útoku a profilu potenciálneho rizika vašej organizácie, by malo byť testovanie vykonávané pravidelne naprieč celým IT riešením. To zahŕňa webové aplikácie, siete, webové služby, bezdrôtové prístupové body, mobilné aplikácie, zariadenia internetu vecí (IoT) a hrubé klientov, aby sa zabezpečilo kompletné pokrytie oblasti zabezpečenia.
Penetračné testovanie sa vykonáva v rôznych variantoch – testovanie bielej, šedej a čiernej skrinky – každá z nich je určená pre špecifické bezpečnostné kontroly. Testovanie bielej skrinky si predstavte tak, že tester dostane VIP vstupenku do vášho systému. Môže vidieť všetko: zdrojový kód, plány, heslá. Vďaka tomuto detailnému pohľadu môže odhaliť všetky možné slabé miesta a uistiť sa, že mu nič neunikne.
Testovanie šedej skrinky je ako poskytnúť testerom možnosť nahliadnuť pod pokrievku. Dostanú niektoré informácie, ale nie celý obraz, čo im umožní premýšľať ako insideri bez plného prístupu. Týmto spôsobom môžu odhaliť zraniteľnosti, ktoré by nemuseli byť zrejmé. Pri testovaní čiernej skrinky ide predovšetkým o prekvapenie. Testeri idú naslepo, rovnako ako by to urobil skutočný hacker, a napádajú vašu obranu bez akýchkoľvek znalostí získaných zvnútra.
Potom je tu červený tím, ktorý všetko posúva o stupeň vyššie. Je to ako vykonávať plnohodnotné bezpečnostné cvičenia, ktoré sa zameriava na vaše najcennejšie aktíva pomocou sofistikovaných, realistických útokov. Tento prístup preveruje nielen slabé miesta, ale aj to, ako je váš tím pripravený zvládnuť skutočné hrozby. Vďaka prísnym pravidlám pre zaistenie bezpečnosti, posúva red teaming vaše zabezpečenie na samú hranicu, a dáva vám jasný prehľad o tom, ako si stojíte.
Na simuláciu červených tímov je možné spustiť rôzne scenáre, v ktorých sú bezpečnostné tímy na rôznej úrovni porozumenia parametrom testu. Tímy môžu vedieť, že sa chystá útok, ale nevie, akým spôsobom dôjde k počiatočnému prístupu, alebo sú úplne v nevedomosti a musia predpokladať, že prebieha skutočný pokus o útok. V každom prípade je niekto vo vnútri organizácie v obraze a môže minimalizovať prípadné nedorozumenia v priebehu testu.
Ako penetračné testovanie zapadá do celkovej stratégie kybernetickej bezpečnosti?
Penetračné testovanie je dôležitou súčasťou celkovej stratégie kybernetickej bezpečnosti organizácie, ktorej cieľom je identifikovať zraniteľné miesta a posúdiť účinnosť bezpečnostných opatrení. V praktickej rovine pomáha penetračné testovanie bezpečnostným tímom sledovať zmeny v aplikáciách, sieťach a systémoch, aby mohli odstrániť všetky potenciálne zraniteľnosti alebo medzery, ktoré sa objavia. Dnešné bezpečnostné tímy musia počítať s tým, že rozširujúce sa plochy hrozieb a zložitosť cloudu znamenajú, že k narušeniu dôjde. Stratégia, ktorá vrství ochranu na detekciu, je najlepším spôsobom, ako zabrániť väčšine útokov, a zároveň zmierniť ich prípadný vplyv.
Kedy by sa malo vykonávať penetračné testovanie?
Penetračné testy by sa mali vykonávať pred uvedením nových alebo významných zmien existujúcich systémov do prevádzky, pred auditom, pre overenie súladu s predpismi, a ako pravidelná kontrola. Dôležité je mať na pamäti, že aplikácie, siete a systémy sa neustále menia – rovnako ako prostredie hrozieb. To, čo je bezpečné dnes, nemusí byť bezpečné zajtra, a preto je pre organizácie dôležité vykonávať pravidelné penetračné testy naprieč celým IT riešením.
Aký typ penetračného testu je najlepší?
Testovanie bielej skrinky je často najlepšou voľbou pre kontrolu zabezpečenia systému, pretože sa podrobne zaoberá všetkým. Je to, ako by ste testerom poskytli kompletnú mapu systému, takže môžu skontrolovať každý kút, kde sa vyskytujú prípadné problémy. To je užitočné najmä pri veciach, ako je testovanie webových stránok, kde znalosť všetkých rôznych častí a užívateľských rolí pomáha testerom zaistiť, aby nič neprehliadli. Vďaka testovaniu bielych skriniek môžu odhaliť problémy, ktoré by mohli niekomu umožniť získať neoprávnený prístup alebo kontrolu.
Na druhú stranu testovanie šedej a čiernej skrinky neposkytuje úplný obraz. Snaží sa pozrieť na veci z pohľadu nezúčastnenej osoby, čo je dobré na pochopenie toho, ako by sa útočník mohol do systému dostať. Pretože však nemajú k dispozícii všetky informácie, nemusia podchytiť všetko. Tieto metódy sú skvelé pre simuláciu útokov od niekoho, kto ešte nepozná váš systém zvnútra, ale môžu im unikať také problémy, ktoré by mohol nájsť niekto s väčšími znalosťami alebo ukradnutým prístupom.
Jednoducho povedané, testovanie bielej skrinky nám pomáha sa uistiť, že sme skontrolovali všetko a neprehliadli žiadne potenciálne bezpečnostné problémy. Poskytuje testerom všetky informácie, ktoré potrebujú na dôkladnú prácu.
Existujú scenáre, kedy je penetračné testovanie nevhodné?
Rozhodnutie, či a kedy vykonať penetračný test, nie je vždy jednoznačné. Rozhodujúcim faktorom je vplyv na chod firmy. Je dôležité odhaliť zraniteľnosti a včas ich opraviť, ale testovanie musí byť vykonané neinvazívne tak, aby neobmedzovalo schopnosť organizácie vykonávať bežnú prevádzku. Vyhýbajte sa špičkám, obdobia uprostred uvádzania produktov na trh, oznamovania výsledkov hospodárenia a ďalších kritických udalostí.
Penetračné testovanie je dôležité vykonávať predovšetkým vo vývojovom a testovacom prostredí, aby nedošlo k narušeniu ostrej prevádzky jednotlivých systémov. Tento prístup zaistí, že každodenná prevádzka, používatelia, zákazníci a partneri zostanú nedotknutí. Prevádzkové technologické systémy (OT), kde vývojové prostredie nemusí existovať, však vyžadujú osobitnú pozornosť. Testovanie týchto systémov si vyžaduje starostlivý prístup, aby sa predišlo akémukoľvek narušeniu, a to vzhľadom na významný vplyv, ktorý by problémy mohli spôsobiť. Zabezpečenie zodpovedajúceho postupu, stanovenie jasných pravidiel činnosti, a zabezpečenie oprávnenia od príslušných strán, sú v tejto súvislosti zásadnými krokmi.
Kroky k úspešnému penetračnému testu
Penetračné testovanie nemožno brať na ľahkú váhu. Vyžaduje starostlivé plánovanie a prípravu, aby jeho priebeh prebehol hladko a priniesol použiteľné výsledky. Proces začína stanovením rozsahu. Spolupracujte s poskytovateľom služieb penetračného testovania, aby ste plne porozumeli preverovaným systémom, sieťam alebo aplikáciám a ich architektonickému rámcu. Tento krok je kľúčový pre určenie vhodných metód testovania a stanovenia merítok úspešnosti.
Potom sa rozhodnite, aký typ penetračného testu – biely, šedý alebo čierny test – najlepšie zodpovedá vašim cieľom, a to s ohľadom na poznatky z fázy stanovenia rozsahu. Je nevyhnutné definovať pravidlá testovania a vopred stanoviť jasné parametre testov. V priebehu testovania overujte zistené údaje, aby ste odlíšili skutočné zraniteľnosti od falošne pozitívnych, a zaistili, že konečná analýza bude presná a použiteľná.
Výsledkom tohto úsilia je komplexná správa s podrobnými informáciami o všetkých zistených zraniteľnostiach a rizikách, spolu s odporúčaniami na nápravu, ktoré je možné realizovať. Po vykonaní navrhnutých opráv si od poskytovateľa služieb penetračného testovania vyžiadajte následnú správu. Tento dokument by mal potvrdiť vykonanie nápravy a popísať zlepšenie stavu zabezpečenia po vykonaní nápravy.
Záver
Penetračné testovanie je dôležitou súčasťou komplexnej stratégie kybernetickej bezpečnosti, ktorá na seba vrství ochranu a detekciu. Umožňuje tímom kybernetickej bezpečnosti identifikovať a riešiť zraniteľnosti sietí, aplikácií a systémov, a zároveň udržiavať prehľad o aktuálnych bezpečnostných rizikách. Organizácie by však mali k penetračnému testovaniu pristupovať opatrne, eticky as pomocou vhodných nástrojov, aby čo najlepšie identifikovali a vyriešili bezpečnostné medzery skôr, než bude neskoro. Pravidelné testovanie začlenené do podnikových procesov, ako je vývoj aplikácií, poskytovanie cloudových zdrojov a audit súladu s právnymi predpismi, môže zmierniť bezpečnostné riziká. Len sa uistite, že ste každý test riadne špecifikovali, vytýčili parametre a pravidlá prevádzky, a vyhli sa rušivému vplyvu na chod vašej organizácie.
AUTOR
Paul Hadjy Paul Horangi je generálnym riaditeľom a spoluzakladateľom spoločnosti Horangi Cyber Security (ktorá je súčasťou Bitdefender Company), poprednej firmy v oblasti kybernetickej bezpečnosti, ktorú založili bývalí inžinieri spoločnosti Palantir Technologies a ktorá sídli v Singapure. Cloudová bezpečnostná platforma Warden spoločnosti Horangi, ktorá patrí k najlepším vo svojej triede, chráni organizácia vo verejnom cloude a je doplnená elitným tímom odborníkov na kybernetickú bezpečnosť, ktorí poskytujú zákazníkom po celom svete ofenzívne a strategické služby v oblasti kybernetickej bezpečnosti s akreditáciou CREST. Paul Hadjy riadi aktivity, ktoré stoja za vytváraním špičkových riešení kybernetickej bezpečnosti, a zároveň zaisťuje, aby všetci užívatelia z radov vedúcich pracovníkov, až po technických špecialistov, mali k dispozícii správne a použiteľné dáta, na základe ktorých môžu prijímať zásadné kybernetické rozhodnutia. |
Comments