Test penetracyjny lub “pentest” to kierowana przez człowieka ocena bezpieczeństwa organizacji lub systemu/aplikacji. Jeden lub kilku pentesterów jest angażowanych przez organizację do zidentyfikowania luk w jej środowisku sieciowym. Często takie zlecenia mają określony zestaw celów, które pozwalają określić różnicę między testem zakończonym sukcesem a nieudanym.
Testy penetracyjne mogą być przeprowadzane z wielu różnych powodów. Niektóre z najczęstszych celów testów penetracyjnych to:
Zgodność z regulacjami prawnymi:
Wiele przepisów dotyczących ochrony danych wymaga, aby organizacja odpowiednio chroniła pewne typy wrażliwych danych przed ujawnieniem. Przepisy te mogą wprost lub pośrednio wymagać od organizacji przeprowadzania okresowych testów penetracyjnych w celu zapewnienia zgodności z przepisami
Ocena bezpieczeństwa:
Poza dążeniem do zapewnienia zgodności z przepisami, organizacje dążą również do zwiększenia bezpieczeństwa cybernetycznego, aby pomóc w ochronie swoich działań i klientów. Testy penetracyjne pomagają zidentyfikować słabe punkty i luki w systemie obrony cybernetycznej organizacji.
Rozwój obrony:
Wraz z ewolucją środowiska organizacji i zmianami zagrożeń cybernetycznych, istniejące mechanizmy obronne mogą okazać się niewystarczające do ochrony przed nowoczesnymi zagrożeniami. Testy penetracyjne dostarczają cennych danych na temat tego, co organizacja jest w stanie wykryć i przed czym się zabezpieczyć, a także umożliwiają dodanie lub modyfikację mechanizmów obronnych w celu zwiększenia ich skuteczności.
Wartość testu penetracyjnego zależy od wielu różnych czynników. Jednym z nich jest doświadczenie i wiedza osoby przeprowadzającej test penetracyjny. Jeżeli pentesterzy nie potrafią dokładnie symulować rzeczywistego ataku, wartość ćwiczenia jest ograniczona.
Innym ważnym czynnikiem, który wpływa na wartość pentestu, są narzędzia używane przez testera. Bez odpowiednich narzędzi, tester penetracyjny może przeoczyć podatności lub słabości w systemie docelowym lub nie być w stanie ich skutecznie wykorzystać. W rezultacie raport przedstawiony na koniec pentestu byłby niekompletny i dawałby klientowi fałszywe poczucie bezpieczeństwa.
Narzędzia, których należy używać podczas udanego pentestu
Zestaw narzędzi testera penetracyjnego powinien zawierać wiele różnych narzędzi, a to, jakie są potrzebne, często zależy od specyfiki danego przedsięwzięcia związanego z testami. Niektóre rodzaje narzędzi mają szerokie zastosowanie:
Skanery portów:
Skanery portów identyfikują otwarte porty w systemie, co może pomóc w zidentyfikowaniu systemu operacyjnego i aktualnie działających na nim aplikacji z dostępem do sieci. Narzędzia te są wykorzystywane do rozpoznania i dostarczania danych dotyczących potencjalnych wektorów ataku.
Skanery podatności na ataki:
Skanery podatności idą o krok dalej niż skanery portów i próbują zidentyfikować działające w systemie aplikacje ze znanymi podatnościami oraz ewentualne błędy w konfiguracji. Raporty dostarczane przez skanery podatności mogą pomóc testerowi penetracyjnemu w wyborze luki, którą należy wykorzystać w celu uzyskania pierwszego dostępu (jeżeli taka luka jest dostępna).
Sniffer sieciowy:
Sniffery sieciowe zbierają ruch, który przepływa przez sieć i analizują go. Umożliwia to testerowi penetracyjnemu bardziej pasywne identyfikowanie aktywnych aplikacji w sieci i wyszukiwanie ujawnionych danych uwierzytelniających lub innych wrażliwych danych przepływających przez sieć.
Web proxy:
Web proxy pozwala testerowi penetracyjnemu na przechwytywanie i modyfikowanie ruchu pomiędzy przeglądarką a serwerem internetowym organizacji. Dzięki temu tester może wyszukiwać ukryte pola formularzy i inne funkcje HTML oraz identyfikować i wykorzystywać luki w aplikacji (takie jak cross-site scripting lub cross-site request forgery).
Łamacz haseł:
Skróty haseł są częstym celem ataków i sposobem na rozszerzenie lub podwyższenie dostępu atakującego do docelowego systemu lub sieci. Łamacz haseł umożliwia testerowi penetracyjnemu ustalenie czy pracownicy danej organizacji używają słabych haseł, które narażają ich na ryzyko wykorzystania.
Nie jest to bynajmniej wyczerpująca lista typów narzędzi, których tester penetracyjny może używać w ramach swojego zadania. Jednak zdobycie wiedzy i pewności w posługiwaniu się tego typu narzędziami stanowi podstawowy zestaw umiejętności.