Penetrační testy – jaké jsou jejich varianty a výsledky? (2.díl)
Ve druhé části našeho článku o penetračních testech se budeme věnovat možným variantám těchto testů a jejich výsledkům.
Vnější test je možno provádět v několika variantách:
Se znalostí vs. bez znalosti
Test “bez znalosti” předpokládá omezenou, případně žádnou znalost konzultanta o prostředí podniku a tím je velmi blízký reálnému útoku, test “se znalostí” se naopak opírá o detailní informace o testovaném prostředí (např. síťová topologie, detaily o provozovaných aplikacích, popis bezpečnostních mechanizmů apod.).
Skrytý vs. kooperativní
O skrytém testu nejsou informováni řadoví pracovníci systémové podpory podniku, čímž se prováděný test blíží reálnému pokusu o průnik a prověří reakční mechanizmy při skutečném útoku, zatímco kooperativní penetrační test staví na plné informovanosti a spolupráci zainteresovaných pracovníků systémové podpory.
Interní test
Interní test se provádí ve spolupráci s pracovníky systémové podpory podniku a se znalostí jeho prostředí. U vnitřního testu, vzhledem k poměrně velkému počtu zařízení ve vnitřní síti a vysoké pracnosti manuálního testování, se obvykle v prvním kroku provádí automatizovaný test všech zařízení, ale důkladným manuálním testů jsou podrobena pouze vybraná zařízení (obvykle klíčové servery příp. reprezentanti některých pracovních stanic).
Co nám řekne výsledek pentračního testu?
Výsledek penetračního testu Vám poskytne obrázek o tom, čeho by při současné úrovni znalostí mohl dosáhnout útočník při reálném útoku.
Vzhledem k tomu, že konzultant provádějící penetrační test používá velmi podobné nástroje, techniky a postupy jako reální útočníci, je hlavním přínosem penetračního testu praktické prověření bezpečnostních mechanizmů.
Výsledkem testu je poměrně přesný obrázek o tom, čeho by mohl dosáhnout v případě skutečného útoku reálný útočník při aktuální úrovni znalostí o bezpečnostních slabinách a úrovni v současnosti dostupných technických prostředků.
Skutečnosti, které ovlivňují výsledky penetračních testů
Faktor času
Pokud budeme srovnávat konzultanta provádějícího penetrační test a reálného útočníka, je možné předpokládat zhruba stejnou úroveň znalostí, přibližně stejné nástroje, techniky a použité postupy, ovšem zcela zjevnou nevýhodou konzultanta je časové omezení.
V porovnání s konzultantem může reálný útočník přípravě i vlastnímu provedení pokusu o průnik věnovat podstatně více času a tím výrazně zvýšit své šance na “úspěch”.
Aktuálnost testů
Zjištění učiněná v rámci penetračního testu vypovídají o účinnosti bezpečnostních opatření při úrovni znalostí (publikované bezpečnostní slabiny apod.) a úrovni dostupných technických prostředků v době provádění testu, z čehož vyplývá, že vypovídací hodnota výsledku penetračního testu s postupem času klesá (jsou publikovány nové bezpečnostní slabiny, jsou zveřejněny nové techniky průniků apod.).
Negativní výsledek
Ani negativní výsledek penetračního testu neznamená odhalení absolutně všech bezpečnostních slabin testovaných komponent (operačních systémů, aplikací apod.).
Monitorovací mechanismy
V rámci penetračního testu nejsou ovšem podrobena testování pouze technická opatření, v případě skrytého testu to jsou rovněž opatření organizační (zejména kontrolní a monitorovací mechanizmy související s dozorem testovaných zařízení a systémů).
Odpovědět na příspěvek