Penetrační testy

Při penetračním testu, se za předem dohodnutých podmínek otestuje odolnost testovaného cíle odolat kybernetickým útokům. Výsledkem testu je závěrečná zpráva, kde jsou popsány nalezená zjištění s doporučením jak nalezené slabiny a zranitelnosti odstranit.

Nejčastější typy testů

  • Externí Black box testy – infrastruktura, aktivní prvky, servery, služby, API a pod dosažitelné anonymně z internetu
  • Interní Gray box testy – interní infrastruktura, aktivní prvky, LAN, zabezpečení pracovních stanic, zabezpečení interních aplikací a pod
  • Black nebo Gray box testy web aplikací – specializované testy web aplikací podle OWASP

Externí penetrační testy

Testy se většinou provádějí Black box, bez přístupových práv a informací o cíli testu. Při testu se hledají testu slabá místa na které je nejpravděpodobnější útok, tak jak je může objevit anonymní útočník na internetu. Provádějí se skany pro sestavení katalogu služeb, fingerprint služeb pro detekci použitých verzí software, hledají se chybějící záplaty, zastaralé verze, zapomenuté testovací systémy, špatné konfigurace a pod. Pomocí výsledku může provozovatel technologie nastavit efektivní obraná opatření a zabránit případnému úspěšnému provedení útoku.

Interní penetrační testy

Testy prováděnné na interní síti za pomocí VPN přístupu. Tester dostane od zadavatele základní přístupová práva. Test je typu Gray box, ověřuje se zabezpečení na interní síti (segmentace, a nastavení ACL na firewallu, aplikace bezpečnostních záplat, hledají se chyby v konfiguracích, zapomenutá výchozí hesla, reakce defensivní technologie SIEM, IPS na útočníka a pod). Úkolem testera je se pokusit o eskalaci uživatelských práv. Tento test pomůže učinit interní síť odolnejší oproti útoku vlastních zaměstnanců – insider attack.

Penetrační testy webových aplikací

Penetrační testy zaměřené na webové aplikace. Cílem testu jsou eshopy, portály, extranety, intranety, crm a pod. Testy jsou prováděny podle metodiky OWASP. Při testu se ověřuje ošetření uživatelský vstupů zjišťuje se odolnost aplikace na nejrůznější injekce, ověřuje se session management, kontroluje se autentizace a schopnost aplikace odolat brute force útokům a atd. Test pomůže nalézt slabá místa v zabezpečení aplikace.