Penetrační testy, označované také jako pen testy, používají bezpečnostní a IT odborníci k posouzení zabezpečení hardwarového nebo softwarového systému, aby zjistili, zda v něm existují slabiny nebo zranitelnosti.

Existuje několik typů penetračních testů, které lze použít k posouzení a určení těchto zranitelností. V tomto příspěvku probereme pět z nich a také tři různé přístupy k jejich provádění.

Penetrační testy přirovnáváme k tomu, když se ujistíte, že máte zamčená okna a dveře a že máte zavřená vrata od garáže. Pokud byste nechali svůj dům odemčený a otevřený pro vetřelce, existuje možnost, že se někdo vloupe dovnitř a způsobí spoušť.

Stejné je to s hardwarovými a softwarovými systémy. Pokud nezamknete své virtuální dveře, mohli by k nim získat přístup neoprávnění uživatelé, například kybernetičtí zločinci, což by vedlo k úniku dat, krádeži informací a celé řadě dalších problémů.

V březnu 2020 společnost Fortunly uvedla, že „Spojené státy za poslední rok utrpěly 1 473 kybernetických útoků, což vedlo k 164,6 milionům úspěšných narušení dat“. Dále uvedli, že „náklady na kybernetické útoky v bankovním sektoru dosáhly 18,3 milionu dolarů ročně na jednu společnost“. Jednoduše řečeno, vaše finanční instituce si nemůže dovolit nechat své citlivé informace a systémy v ohrožení.

Rozhodování o typu potřebného penetračního testování

Důvodem číslo jedna, proč vaše společnost potřebuje provádět penetrační testování, je možnost simulovat reálný útok, aniž by skutečně došlo ke zničení. Existuje mnoho zranitelností, které se mohou vyskytnout, a jejich příčinu lze přičíst například chybám v kódování, nezáplatovanému softwaru nebo dokonce použití slabého hesla.

Náš tým certifikovaných etických hackerů může provést penetrační testy, odhalit vaše zranitelnosti a poté najít nápravná opatření, aby bylo zabezpečení vaší organizace v pořádku. Otázkou je, jaké jsou různé typy penetračních testů a který z nich je vhodný pro vaši firmu.

3 přístupy používané pro penetrační testy

Než se dostaneme k existujícím typům testů, probereme tři přístupy používané pro penetrační testy. Jsou to testování černé skříňky, testování bílé skříňky a testování šedé skříňky.

Testování černé skříňky: Při penetračním testu černé skříňky, označovaném také jako externí penetrační testování, má tester jen málo informací o IT infrastruktuře podniku nebo jeho systémech, pokud vůbec nějaké. Jedná se o testování, které je nejblíže reálnému útoku, protože většina hackerů by ve skutečnosti neznala vnitřní fungování vašeho síťového ekosystému.

Testování bílé skříňky: Naproti tomu při testování bílé skříňky má penetrační tester plnou znalost vašeho síťového ekosystému. Cílem tohoto testu není posoudit, zda vnější útočník může proniknout do vašich systémů a infrastruktury. Cílem je spíše provést hloubkový audit kódu a celkového zabezpečení mimo uživatelské rozhraní a do back-endových částí systému.

Testování bílé skříňky se také nazývá interní penetrační testování, testování skleněné skříňky, testování otevřené skříňky, testování transparentní skříňky nebo testování čisté skříňky. Mezi tři typy testování bílého boxu patří testování podmínek, testování cest a testování smyček.

Testování šedého boxu: Tento typ testování kombinuje aspekty testování černé i bílé skříňky do jednoho. Při tomto testování bude mít tester průniku určité znalosti o síťovém ekosystému a/nebo bude mít přístup k webové aplikaci nebo interní síti.

Například autorizovaný uživatel, který má přihlašovací jméno a heslo. Poté může být proveden test šedé skříňky, aby se zjistilo, zda se dokáže nabourat do jeho účtu a získat přístup na úrovni administrátora nebo se nabourat do kódu interního softwaru.

Vaše firma může vyžadovat jeden nebo všechny tyto typy testů pro adekvátní audit zabezpečení.

5 Typů penetračního testování

Existuje několik podkategorií a variant, pokud jde o typy penetračního testování, které může firma použít k auditu zabezpečení firemní infrastruktury. Mezi pět nejčastějších patří testy síťových služeb, testy webových aplikací, testy na straně klienta, testy bezdrátových sítí a testy sociálního inženýrství.

1. Testy penetračního průniku. Testy síťových služeb: Jedná se o testování zabezpečení proti útokům založeným na síti, jako jsou útoky na firewally, směrovače, proxy servery atd.

2. Testy webových aplikací: Jedná se o cílené testy auditující webové aplikace na zranitelnosti zabezpečení.

3. Testy na straně klienta: Tyto testy jsou zaměřeny na audit zabezpečení lokálních zranitelností, například pracovní stanice, které lze snadno zneužít, nebo slabin v programech, které mohou klienti používat, jako je Microsoft Word nebo Adobe Acrobat Reader.

4. Testy bezdrátových sítí: Posouzení bezdrátové sítě analyzuje zabezpečení spojení mezi zařízeními připojenými k podnikové wifi včetně chytrých telefonů, notebooků, tabletů a jakýchkoli jiných zařízení, která se mohou připojit k internetu.

5. Testy sociálního inženýrství: Testy sociálního inženýrství mohou zahrnovat jak vzdálené, tak fyzické testy.

Vzdálené útoky se snaží uživatele přimět k tomu, aby poskytl citlivé informace, například své přihlašovací údaje.

Fyzické penetrační testy analyzují způsoby, jakými může někdo fyzicky získat přístup k citlivým údajům, například dveře, které jsou ponechány odemčené, dokumenty, které nejsou před likvidací skartovány, a dokonce i soubory, které jsou ponechány otevřené na stole zaměstnanců ve finanční instituci.

Co se děje po dokončení penetračního testování?“

Nezávisle na typech penetračního testování, které se pro firmu provádí, by měli být testeři po ukončení testování schopni poskytnout opravy zranitelností, zmírnit hrozby a odstranit nedostatky. Poté, co poskytnou nápravu potenciálních oblastí narušení bezpečnosti, nabídne dobrá společnost provádějící penetrační testování opakované testování, aby se ujistila, že všechny problematické oblasti byly vyřešeny. A právě zde přichází na řadu společnost Rivial Security.

Rivial Security disponuje armádou certifikovaných etických hackerů, kteří nabízejí několik metod testování vaší jedinečné podnikové infrastruktury, aby posoudili vaše rizika a následně je odstranili.

Naše audity a hodnocení byly označeny za „cenné a akční“. Děláme vše pro to, abychom zaručili vaši spokojenost. Kontaktujte společnost Rivial Security a ještě dnes se dozvíte více informací o našem síťovém penetračním testování.