Penetrační testy a bezpečnostní audity

G+
linkedin

Co je penetrační testování

  • Penetrační test je cvičení pro identifikaci zranitelností, které by mohly být přítomny v informačním systému, síti, aplikaci nebo v organizaci (osoby, fyzické zabezpečení)
  • Penetrační testy jsou prováděny kvalifikovanými experty za použití technik, které by mohly použít skuteční hackeři
  • Penetrační testy odhalují slabiny i způsoby, jakými by mohly být zneužity a poskytují návod, jak snížit existující riziko
  • Penetrační testy také mohou identifikovat schopnost organizace reagovat na incident bezpečnosti informací

Jaký je účel penetračního testování

  • Identifikace rizik nebo potvrzení rizikových scénářů
  • Získání jistoty úrovně zabezpečení před uvedením do provozu nového systému nebo služby
  • Poskytnutí jistoty o úrovni zabezpečení systému nebo služby zákazníkům a/nebo partnerům
  • Prokázání náležité péče ve vztahu k rizikům bezpečnosti informací
  • Zajištění shody se zákonnými, předpisovými nebo smluvními požadavky

Externí a interní testy

Externí test

Tester provádí test z externí sítě a testuje, čeho by externí útočník mohl dosáhnout, aniž by měl k dispozici přihlašovací údaje. Primárním účelem externího testu je:

  • Identifikace zranitelností, které by mohly umožnit externímu útočníkovi kompromitovat systém nebo síť
  • Testování odolnosti perimetru vaší sítě
  • Ověření, zda jsou externí útoky identifikovány
  • Ověření, zda je možné proniknout do vnitřní sítě

Interní test

Tester provádí test jako interní zaměstnanec v vnitřní sítě organizace, obvykle má standardní přihlašovací údaje k testovanému systému/aplikaci. Primárním účelem interního testu je:

  • Identifikace zranitelností, které by mohly internímu uživateli umožnit zvýšení úrovně oprávnění
  • Identifikace, co by útočník dělat, když získá přístup k systému / do budovy
  • Identifikace, zda a do jaké míry mohou být systémy uživatelem zneužity
  • Identifikace rizika útoků na jiné systémy

White, black a gray box testování

White box test

Test, kdy má tester k dispozici veškeré údaje o systému, vč. přihlašovacích údajů.

  • Primárním účelem whitebox testu je umožnit testerovi provedení podrobné a hloubkové bezpečnostní zkoušky všech prvků testovaného systému.

Black box test  

Test, kdy má tester bez dalších informací pouze časový rámec na kompromitaci testovaného systému.

  • Primárním účelem blackbox testu je ověřit, co by útočník bez dřívějšího kontaktu s organizací mohl docílit. Součástí je mapování a shromažďování informací.

Gray box test je kombinací obou přístupů.

Oznámené a neoznámené (skryté) testování

Oznámené testování

Oznámené testování znamená, že všechny strany jsou informovány o provedení testu v daném čase.

Administrátoři vědí, že budou generovány záznamy v logu, a že může dojít k aktivaci systému detekce narušení IDS.

Neoznámené (skryté) testování

Neoznámené (skryté) testování znamená, že test je proveden, aniž jsou administrátoři systémů informováni.

Účelem je otestovat zda administrátoři zaznamenali události v logu nebo varování IDS, stejně jako proces odezvy na incidenty.

Techniky testování

  • Test automatickými nástroji – vhodné pro běžné a opakované testování
  • Ruční testování – vhodné pro prověřování velmi konkrétních problémů / rizik, případně pro skryté testování
  • Sociální inženýrství – přímá i nepřímá komunikace s osobami za pomoci metod manipulace a typických rysů lidské povahy za současného využití technických prostředků
  • Kombinace uvedených přístupů
Zdroj: Technical Report No. UCB/EECS-2013-49

Kybernetická bezpečnost je odpovědností každého z nás. Chraňme náš společný kyberprostor.

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*