Penetrační testování ověřuje schopnost chránit infrastrukturu, aplikace, systémy a uživatele před interními a externími hrozbami.
- Proaktivní ochrana a ověření skutečného stavu
- Efektivní zvýšení úrovně zabezpečení (návrhy opatření na základě reálných dat a výsledků získaných z testů – žádné domněnky)
- Postup při testu simuluje průběh skutečného útok
- Návrhy opatření – doporučení – pro zmírnění nebo úplné odstranění nalezených rizik
Testovací a realizační scénáře
- OSINT – pasivní test, informace z veřejně dostupných zdrojů
- Externí penetrační testy – testování veřejně dostupných služeb
- Penetrační testy Web aplikací – testy web aplikací podle OWASP
- Penetrační testy API – specializované testy zaměřené na API
- Interní penetrační testy – testování na interních síti, simulace Insider
- Skany zranitelností – automatizované hledání zranitelností
- Infrastruktura – testy infrastruktury, aktivních prvků, serverů
- Analýza Black Hat – anonymní test z internetu Black Box
- Testy tlustých klientů – penetrační test aplikace
- Wifi – audit security nastavení wifi on site
- Mobilní zařízení – penetrační testy Android APK
Strategie testování
Penetrační testy se často rozdělují podle množství informací, které zadavatel testu poskytne před zahájením testu.
- Black Box – minimální množství informací např. doména, IP rozsah
- Gray Box – obvykle zadavatel poskytuje uživatelský přístup a dokumentaci
- White Box – tester získá administrátorský přístup a často i zdrojové kódy
Black Box
Testy se výborně hodí pro simulaci útoku anonymního útočníka z internetu Blind Testing. Tester dostane pouze minimální množství informací o cíli testu – většinou pouze scope (rozsah testu). Typickým cílem jsou veřejně dostupné služby, infrastruktura, web aplikace. Double-blind Testing, pouze vybraní lidé jsou informování.
Gray Box
Webové aplikace, interní testy, testy těžkých klientů většinou probíhají jako Gray Box. Tester dostane základní uživatelská oprávnění a uživatelskou dokumentaci. Testuje se dynamicky DAST (např. OWASP Web Security Testing Guide).
White Box
Detailní testy. Tester má plný přístup k cíli testu. Provádí se jak dynamické testování DAST, tak i revize zdrojového kódu SAST (např. OWASP Application Security Verification Standard).
Penetrační testy webových aplikací
Penetrační testy webových aplikací prováděné podle metodiky OWASP. Test provádíme pomocí security testeru Burp Suite Profesional. Cílem testu je identifikovat problematická, slabá a zranitelná místa v aplikaci a nalézt způsob jak je odstranit. Na základě výsledků testů vytvoříme závěrečnou zprávu, kde jsou jednotlivá zjištění zpracována do nálezů. U každého nálezu uvádíme doporučení pro efektivní odstranění slabých míst a zmírnění příslušných rizik. Po realizaci navržených opatření bude aplikace velmi dobře odolávat útokům a stane se obtížným cílem.
Externí penetrační testy
Externí penetrační test prováděný z internetu na zadaný cíl – nejčastěji část externího perimetru. Provedeme mapování a identifikaci / fingerprinting všech nalezených veřejně dostupných služeb. U nalezených služeb provedeme komplexní bezpečnostní testy s cílem nalézt problematická, slabá a zranitelná místa. Postupujeme podle metodik ofensive security (Kill Chain, MITTRE ATT&CK) a testovacích scénářů sestavených na základě rozborů skutečných úspěšných útoků a pozorování chování útočníků. Ze získaných výsledků zpracujeme report, kde jsou jednotlivá zjištění zpracována do nálezů. U každého nálezu uvádíme doporučení pro efektivní odstranění slabých míst a zmírnění příslušných rizik. Aplikace navržených doporučení vám pomůže nastavit efektivní obraná opatření a zabránit případnému úspěšnému provedení útoku.
Analýza Black Hat
Varianta externího penetračního testu, která reálně napodobuje pokus o průnik do systému Double Blind. Anonymní penetrační test prováděný z Internetu vám ukáže pohled z perspektivy útočníka na vaše systémy dostupné z internetu. Nejprve pomocí OSINT (Open Source Inteligence) nástrojů získáme co nejvíce informaci z veřejně dostupných zdrojů. Tyto informace následně ověříme. Provedeme mapování a identifikaci / fingerprinting všech nalezených veřejně dostupných služeb. U nalezených služeb provedeme základní bezpečnostní testy s cílem nalézt zranitelná a slabá místa. Postup a metodika použitá při testu vychází z chování reálných útočníků. Získané informace zpracujeme do závěrečného reportu, kde uvedeme doporučení pro efektivní odstranění slabých míst a zmírnění příslušných rizik.
Interní penetrační testy
Penetrační testy prováděné na interní síti s cílem prověřit její zabezpečení . Při testu nejprve tester otestuje zabezpečení interní sítě a pokusí se prolomit bezpečnostní opatření. V případě, že je úspěšný snaží se eskalovat svoje práva na administrátorskou úroveň. Dále tester simuluje chování tzv. Insidera – škodícího zaměstnance – snaží se získat přístup k síti, systému nebo informacím ke kterým by neměl mít přístup. Test zároveň pomůže ověřit reakci SOC teamů a defensivních technologii (SIEM, IPS). Ze získaných výsledků zpracujeme report, kde jsou jednotlivá zjištění zpracována do nálezů. U každého nálezu uvádíme doporučení pro efektivní odstranění slabých míst a zmírnění příslušných rizik. Tento test pomůže učinit interní síť odolnější nejen oproti útoku vlastních zaměstnanců – insider attack, ale také vás naučí rozpoznat interní útok.
