Než žáci nastoupí na střední školu, absolvují přijímací test, díky kterému se ověří jejich znalosti. Žáci si mohou test vyzkoušet nanečisto, díky tomu objeví nedostatky ve svých znalostech. Penetrační testy jsou jako přijímací testy nanečisto, akorát místo žáků se testují informační systémy. Zjistěte, jak penetrační testování probíhá.
Co je to penetrační test?
Penetrační test, slangově pentest nebo také etický hacking, je proces prověřování slabin v informačních systémech. Během testování se profesionál z testovací firmy (někdy označovaný jako etický hacker) snaží pomocí různých útoků dostat do firemního informačního systému. Útoky jsou konfigurované tak, aby odpovídaly potenciálním útokům reálného hackera.
Výsledkem penetračního testování je zpráva, v níž se firma dozví o nedostatcích ve svém informačním systému, kvůli kterým by mohlo dojít k neoprávněnému přístupu nebo úniku dat. Zároveň zpráva obsahuje návody, jak objevené slabiny vyřešit.
V případě, že firma chce získat bezpečnostní audit, úspěšně absolvovaný penetrační test je jedním z kritérií. V rámci etického hackingu je možné nejen otestovat počítačové sítě, ale provést například i penetrační testy webových aplikací.
Jaké jsou druhy penetračních testů?
Každý test má svá specifika a probíhá za jiných podmínek. Penetrační testy se dají dělit podle různých kritérií a aspektů. Jeden ze způsobů dělení je podle umístění testera:
Interní penetrační testy
Interní pentesty probíhají s přístupem z vnitřní strany firemní sítě. Etický hacker útočí na síť z pohledu zaměstnance dané firmy, který má vlastní přístup nebo anonymního útočníka, který se dostal k fyzickému přístupu do sítě.
Externí penetrační testy
Scénáře externích testů probíhají bez fyzického přístupu útočníka. Etický hacker napodobuje útok anonymního útočníka na síť skrz internet.
Další možností, jak penetrační testy dělit, je podle znalosti prostředí.
Black box
V případě black boxu útočník nemá žádnou znalost interních systémů. Etický hacker provádí útok bez jakékoliv znalosti firmy jen s veřejně dostupnými informacemi. Z black box penetračních testů může firma získat povědomí o chybách v zabezpečení systému, které lze zneužít mimo síť.
Grey box
V tomhle scénáři má potenciální útočník základní znalost systému, popř. větší oprávnění v samotném systému. V rámci grey box testů může firma vytipovat systémy s největším bezpečnostním rizikem.
White box
White box je přesným opakem black boxu. Útočník (a tedy i tester) v tomto scénáři má přístup ke zdrojovému kódu systému. V rámci white box testování se testeři snaží odhalit zranitelnosti ve všech dostupných datech, které systém obsahuje. Z toho důvodu se jedná o časově nejnáročnější typ penetračního testování.
Jak probíhá penetrační test?
Penetrační testování probíhá ve třech po sobě jdoucích krocích.
1. Naplánování testu
Tato fáze penetračního testu je přípravná. Testovací firma sbírá potřebné informace z veřejně dostupných dat a provádí se pasivní analýza datových toků.
Cílem přípravné fáze je určit, které části systému se budou testovat, a to tak, aby byl penetrační test maximálně efektivní a relevantní. Zároveň testovací firma vybere vhodné nástroje testování.
Před zahájením je důležité prodiskutovat jednotlivé kroky etického hackingu s testovací firmou, která je musí odsouhlasit.
2. Testování
Samotné penetrační testování provádí etický hacker z testovací firmy. Postupně testuje jednotlivé cíle, které byly vytyčené v první fázi. V případě, že objeví nějakou nedokonalost daného subjektu, provede několik dalších testů, kterými ověří potenciální možnost zneužití této nedokonalosti.
Během testování se mohou objevit další aspekty, které nebyly součástí původního testovacího plánu. Tyto aspekty jsou následně zahrnuté do testování, aby se dosáhlo maximální efektivity penetračního testu. Testování je ukončené po prověření a zdokumentování všech původních a nově objevených subjektů.
3. Vytvoření závěrečné zprávy
Testovaná firma obdrží písemnou zprávu, ve které se dozví výsledky penetračního testu. Ve zprávě jsou mimo jiné rozepsané všechny testované subjekty a hodnocení jejich úrovně zabezpečení.
V případě, že bylo v rámci testování objeveno nějaké bezpečnostní riziko, je ve zprávě detailně popsané. K objeveným rizikům jsou navržená opatření, která povedou k jejich snížení, popřípadě úplnému odstranění.
V případě, že se bojíte o svá firemní data a rádi byste vaše systémy nebo webové aplikace podrobili penetračnímu testování, obraťte se na odborníka v oboru. Jedním z nich je i firma TOTAL SERVICE, která poskytuje komplexní služby penetračního testování. Chraňte svá data dřív, než bude pozdě.
Zdroj foto: Bits And Splits / Shutterstock.com