Penetračné testovanie, často označované ako “pen testing” alebo “ethical hacking”, je kontrolovaný proces identifikovania zraniteľností v systéme, sieti alebo webovej aplikácii. Cieľom je simulovať útok na systém podobným spôsobom, akým by to robil potenciálny útočník, ale v bezpečnom a kontrolovanom prostredí. Tento typ testovania je nevyhnutný pre zabezpečenie, pretože odhaľuje slabiny pred tým, ako ich môžu zneužiť skutoční útočníci.

Aby sme lepšie pochopili význam a proces penetračného testovania, oslovili sme kolegu Vladimíra Frča, SOC bezpečnostného špecialistu z Alanata s viac ako desaťročnými skúsenosťami v oblasti bezpečnosti informačných technológií.

AKO PRISTUPUJEŠ K PENETRAČNÝM TESTOM A AKÚ ÚLOHU ZOHRÁVAJÚ V ZABEZPEČENÍ APLIKÁCIÍ A INFRAŠTRUKTÚRY?

Penetračné testy považujem za kľúčovú súčasť zabezpečenia. Zúčastnil som sa mnohých penetračných testov a zastával rôzne role – od pentestera, cez vlastníka aplikácie a infraštruktúry, až po supervízora a bezpečnostného špecialistu pri projektoch. Výsledky týchto testov boli rôznorodé, často ovplyvnené kvalitou prípravy a realizácie.

Penetračné testy by nemali byť videné ako jednorazová aktivita. S rastúcim počtom zraniteľností a sofistikovanosťou útokov je dôležité testovanie vykonávať periodicky a najmä pred spustením systémov do prevádzky. Samozrejme, ak nejde o až tak “živý” systém alebo aplikáciu.

AKÝ VÝZNAM MÁ SPRÁVNA KOMUNIKÁCIA A PRÍPRAVA PRED ZAČATÍM PENETRAČNÉHO TESTU?

Dôležitým krokom je, samozrejme, príprava a určenie rozsahu penetračného testu. Správna komunikácia s pentesterom môže výrazne ušetriť čas a finančné prostriedky. Napríklad, informovanie o použitých technológiách a existujúcich účtoch môže pentesterovi uľahčiť prácu a môže sa zamerať na špecifické zraniteľnosti.

Efektívna spolupráca a pravidelná komunikácia medzi pentesterom a zadávateľom sú kľúčové. Výmena informácií počas testovania môže prispieť k lepšiemu porozumeniu a včasnému odhaleniu zraniteľností.

Predstavte si, že softvérová developerská spoločnosť pre vás vyvinula webovú aplikáciu. V zmluve ste ale nemali dohodnuté, že súčasťou dodávky má byť aj penetračný test s reportom bez kritických a vážnych zraniteľností od treťostrannej spoločnosti. Preto si pred jej spustením chcete overiť bezpečnostný stav v akom sa nachádza.

AKO MÔŽE WHITEBOX PRÍSTUP ZEFEKTÍVNIŤ PENETRAČNÉ TESTOVANIE?

Ak chcete ušetriť čas, zvolíte whitebox prístup k testovaniu a etickým hackerom poskytnete všetky dostupné informácie o aplikácii. Tie môžu zahŕňať použité technológie, verzie produktov, sieťové diagramy, aplikačné užívateľské účty alebo účty operačných systémov. Vďaka týmto informáciám pentester ušetrí čas ich zisťovaním.

Napríklad, ak je v projekte použitá knižnica určitej verzie so zraniteľnosťou, pentester to bude vedieť na základe verzie knižnice. Nemusí testovať webovú aplikáciu na všetky možné zraniteľnosti, rovno sa zameria na konkrétnu z nich a otestuje ju. Ušetrený čas potom môže investovať do hlbšej investigácie, čím rozhodne zvýšite pokrytie projektu penetračným testovaním.

Súčasťou rozsahu testovania nemusí byť len technická časť, ale napríklad aj biznis logika aplikácie, ktorá môže zahŕňať fraudové scenáre.

AKÝ JE VÝZNAM SPOLUPRÁCE A KOMUNIKÁCIE POČAS SAMOTNÉHO TESTOVANIA?

Dôležitá je spolupráca medzi pentesterom a zadávateľom. Je vhodné, aby pentester viedol harmonogram vykonaných testov, ktorý je neskôr možné porovnať napríklad s logmi z daného systému. Takéto logy môžu neskôr pomôcť pri vytváraní detekčných pravidiel bezpečnostného monitoringu SIEM technológiou. Tiež sa počas testov môže odhaliť, že systém dané pokusy o prelomenie bezpečnosti nezaznamenáva.

Tiež vám odporúčam počas testovania komunikovať s pentesterom a vymieňať si s ním informácie o priebehu. Čakanie na záverečný report, vás zbytočne oberá o dôležité informácie. Po odovzdaní reportu spolupráca často končí a ďalšie informácie už môžu byť nad rámec projektu. Preto je dobré využiť čas počas jeho priebehu.

Rozhovorom s pentesterom môžete získať dôležité informácie o nástrojoch ktoré používa, technikách alebo detailných informáciách, ktoré sa do reportu nemusia dostať.

Mne sa tento prístup osvedčil hlavne pri overovaní detekčných pravidiel SIEM systému. Vedel som navrhnúť zmenu a overiť ju ešte počas prebiehajúceho auditu. V prípade odhalenia kritických zraniteľností v aplikácii, ktorú pre vás niekto vyvíja, viete tieto nálezy skôr komunikovať na developerský tím.

AKO BY MAL VYZERAŤ ZÁVEREČNÝ REPORT PENETRAČNÉHO TESTU?

Závery penetračných testov sú zhrnuté v reporte. Ten by mal byť, čo najdetailnejší, s informáciami, ktoré vám pomôžu pochopiť, čo bolo exploitované, ako to bolo exploitované, s popisom rizika a popisom, ako danú situáciu napraviť. Nesmie chýbať závažnosť danej zraniteľnosti. Myslite na to, že report budú čítať aj ľudia, ktorí sa danej problematike nerozumejú. Preto vyžadujte, aby bol report dostatočne zrozumiteľný. V prípade príliš stručného reportu si už o mesiac nespomeniete na všetky potrebné detaily.

Tak a je tu koniec projektu. V ruke máte report, rozdali ste úlohy na zodpovedné tímy, vykonali ste nápravné opatrenia. Tu by ste však nemali poľaviť a úroveň bezpečnosti udržiavať na želanej úrovni počas celého životného cyklu aplikácie alebo služby.

AKÉ NÁSTROJE A PRÍSTUPY ODPORÚČAŠ PRE UDRŽANIE BEZPEČNOSTI APLIKÁCIÍ A INFRAŠTRUKTÚRY?

V prípade vývoja a prevádzky aplikácií pomôže zákazníkom produkt ako je Snyk a Dynatrace. V prípade sledovania zraniteľností operačných systémov – vulnerability manažment Nessus, Qualys alebo Rapid7. Bezpečnostný monitoring celého prostredia vedia spoločnosti pokryť pomocou SIEM produktu ako je IBM QRadar a dohľad bezpečnostných upozornení zabezpečíte pomocou SOC (Security Operation Center).

ČO BY SI ODPORÚČIL ORGANIZÁCIÁM, KTORÉ SA ZAOBERAJÚ BEZPEČNOSTNÝMI VÝZVAMI?

Penetračné testovanie je neoddeliteľnou súčasťou komplexného prístupu ku kybernetickej bezpečnosti. Poskytuje cenné pohľady do zraniteľnosti systémov a aplikácií, umožňuje organizáciám predchádzať bezpečnostným incidentom. S pravidelným testovaním a odborným poradenstvom môžete výrazne znížiť riziko útokov a ochrániť svoje digitálne aktíva.