Penetration testing
Penetration testing je planski sajber napad na računarske sisteme i mreže. Razlog sprovođenja ovakve vrste testa je otkrivanje ranjivosti sistema koje bi hakeri mogli iskoristi u svrhe kao što su krađa podataka, lozinki, identiteta, itd. što u krajnjoj instanci ugrožava poslovanje organizacije. Penetracioni testeri su zapravo etički hakeri koji se bave legalnim hakovanjem tako što dobiju dozvolu od određene kompanije da probaju sa prodorom u njihove sisteme sa različitim vrstama i načinima napada.
Metodologija penetration testinga odnosi se na način na koji je test organizovan i izvršen. Metodologije ne moraju biti striktne u smislu poštovanja određenog načina rada, budući da se test ne obavlja uvek na istim sistemima. Predmet testa mogu biti veb aplikacije, mobilne aplikacije, serveri, mreže itd. i zato je potrebno koristiti različite alate i tehnike napada. Ipak, postoje i metodologije koje su svetski priznate i koristi ih veliki broj organizacija. Neke od njih su: OSSTMM (OSSTMM – Open Source Security Testing Methodology Manual) OVASP (OWASP – Open Web Application Web Security Project) NIST (NIST – National Institute of Standards and Technology) PTES (PTES – Penetration Testing Execution Standard).
Penetration testing obično obavlja cyber security expert i reguliše se ugovorom između izvršioca i vlasnika sistema koji je potrebno testirati.
Tipovi penetration testa:
Black-box – penetration test bez informacija o sistemu, sličan je napadu stvarnog spoljnog napadača gde izvršilac pen testa ne poseduje gotovo nikakvo znanje o testiranom sistemu, osim eventualno IP adrese ili imena domena. Izvršilac sam prikuplja sve dodatne informacije o ciljanom sistemu ili mreži koje su mu potrebne za izvođenje testa.
White-box – penetration test sa informacijama o sistemu kod kog izvršilac penetracionog testa obično poseduje kompletno znanje o sistemu ili mreži koja se ispituje. To uključuje topologiju mreže, IP adrese, izvorni kod, detalje o operativnim sistemima, itd. Zbog toga je ovaj način testiranja precizniji i efikasniji.
Gray-box – penetration test prilikom kog izvršilac obično ima izvesno znanje o unutrašnjosti mreže, potencijalno uključujući dokumentaciju o dizajnu i arhitekturi i nalog u mreži. Koristeći projektnu dokumentaciju za mrežu, pentesteri mogu da usmere svoje napore u proceni na sisteme sa najvećim rizikom i vrednošću od samog početka, umesto da troše vreme na samostalno utvrđivanje ovih informacija.
Penetration testing treba redovno izvoditi da bi se obezbedilo funkcionisanje sistema. Pored toga, trebalo bi da se izvodi kad god sigurnosni sistem otkriva nove pretnje od strane napadača, kada se dodaje nova mrežna infrastruktura, kada se ažurira sistem ili instalira novi softver, kada se premešta kancelarija ili kada se postavlja nova politika za krajnjeg korisnika.
Benefiti penetration testinga:
Adekvatno upravljanje rizicima
Kontinuitet poslovanja
Zaštita klijenata, partnera i trećih lica
Bolja procena ulaganja u bezbednost
Zaštita reputacije
Zaštita od finansijske štete
Usklađenost sa zahtevima standarda ISO 27001
Testiranje sposobnosti sajber odbrane
Pored penetration testing (PEN TEST) postoji i Voulnerability assessment o čemu ćemo pisati u zasebnom postu.