Test penetracije (pentesting): šta je i kada ga raditi

Najbolji način da saznaš da li tvoja odbrana izdržava jeste da neko pokuša da je probije pod kontrolisanim uslovima, pre nego što to uradi pravi napadač. To je test penetracije ili pentest: ovlašćena i profesionalna simulacija napada koja aktivno traži ranjivosti tvojih sistema kako bi mogao da ih ispraviš. Za razliku od automatskog skeniranja, pentest kombinuje alate i ljudsku kreativnost da poveže propuste kao što bi to uradio pravi napadač, pronalazeći ono što alati sami po sebi ne vide.

U ovom članku objašnjavamo šta je pentest, koje vrste postoje, kako izgleda proces i kada ga je preporučljivo sprovesti.

Šta jeste, a šta nije pentest

Test penetracije je ofanzivna bezbednosna procena: ovlašćeni stručnjaci (često nazvani etički hakeri) pokušavaju da kompromituju tvoje sisteme uz tvoju dozvolu, u okviru dogovorenih pravila, i dokumentuju kako su to postigli. To nije običan skener ranjivosti, koji samo nabraja potencijalne propuste; pentest ih stvarno proverava, dokazuje njihov realni uticaj i odbacuje lažno pozitivne rezultate. Rezultat je iskrena slika koliko daleko bi napadač mogao da stigne.

Vrste pentesta

U zavisnosti od obima i početnih informacija, pentestovi se klasifikuju na više načina:

• Crna kutija: tim počinje bez informacija, kao pravi spoljni napadač.
• Siva kutija: počinje sa određenim informacijama ili ograničenim pristupnim podacima.
• Bela kutija: potpun pristup kodu i arhitekturi radi temeljne analize.
• Spoljni: protiv sistema izloženih internetu.
• Interni: simulira napadača koji je već unutar mreže.
• Veb, mobilne aplikacije ili infrastrukture, u zavisnosti od cilja.

Kako izgleda proces

Profesionalni pentest prati jasno definisane faze: prvo se dogovaraju obim i pravila angažovanja (šta sme da se dira, a šta ne), zatim sledi izviđanje i identifikacija ranjivosti, kontrolisana eksploatacija radi dokazivanja uticaja, i konačno izrada izveštaja. Taj izveštaj je pravi rezultat: detaljno opisuje svaki nalaz, njegovu ozbiljnost, kako je reprodukovan i, pre svega, kako da se ispravi, prioritetizovano tako da tim zna odakle da krene.

Zašto skeniranje nije dovoljno

Mnoga preduzeća veruju da su pokrivena automatskim skenerom, ali postoji ogromna razlika. Skener pronalazi poznate ranjivosti jednu po jednu; pentester ih povezuje, kombinuje male propuste da bi ostvario veliki pristup i razmišlja kao napadač. Pored toga, skener generiše mnogo lažno pozitivnih rezultata i ne razume kontekst tvog poslovanja. Pentest donosi ljudski sud koji razlikuje teorijski propust od onog koji zaista ugrožava tvoje podatke.

Šta se dešava posle pentesta

Pentest se ne završava predajom izveštaja: tu počinje deo koji zaista smanjuje rizik. Sa prioritetizovanim nalazima, tim prvo treba da ispravi kritične i visoko uticajne ranjivosti, a zatim one manje ozbiljne, planirajući svaku ispravku. Dobra praksa je sprovesti ponovnu procenu (retest) kada se ispravke primene, kako bi se potvrdilo da su propusti zaista zatvoreni i da rešenja nisu uvela nove probleme. Bez te faze ispravke i provere, pentest ostaje dijagnoza bez lečenja, a uloženi novac se ne pretvara u stvarnu bezbednost.

Kada i koliko često ga raditi

Postoje ključni trenuci za pentest: pre lansiranja novog proizvoda ili aplikacije, nakon značajne promene u infrastrukturi, radi usklađivanja sa propisom ili sertifikatom, i periodično (barem jednom godišnje) jer se pretnje i sistemi menjaju. Bezbednost nije stanje, već proces: pentest je snimak u vremenu, i preporučljivo je ponavljati ga redovno kako bi snimak ostao veran.

U AxiomTech-u sprovodimo profesionalne testove penetracije nad aplikacijama, infrastrukturom i mrežama, sa jasnim i prioritetizovanim izveštajima da bi tačno znao šta da ispraviš. Ako želiš da saznaš koliko daleko bi napadač mogao da stigne, hajde da razgovaramo i definišemo obim.