Penetrační testy: nechte se „hacknout“ nanečisto

Penetrační test (také pentest nebo „ethical hacking“) je řízený a kontrolovaný simulovaný útok na určitý počítačový systém nebo jeho část. Může se zaměřit například na konkrétní webovou aplikaci, firemní síťovou infrastrukturu nebo obranyschopnost společnosti jako celku. Cílem penetračního testu není okamžitě vyřešit všechny problémy – má za úkol je odhalit, zhodnotit a na základě výsledku testu stanovit kroky k nápravě nedostatků. Nejde tedy čistě jen o prostředek k hledání slabých míst, ale o nástroj, který vám pomůže zvýšit kybernetické zabezpečení firmy. 

Typy penetračních testů 

Podle informací dostupných testerům můžeme pentesty rozdělit do tří základních kategorií: 

• White-box test – testerovi poskytnete všechny potřebné informace o vašem IT zabezpečení, infrastruktuře a architektuře vašich IT systémů. Test sice přímo neodpovídá reálnému hackerskému útoku, ale obvykle jde více do hloubky. 
• Black-box test – tester simuluje hackerský útok z pozice útočníka, který nezná vaše IT zabezpečení a nemá žádné podrobné informace o vašich systémech. Tento typ penetračního testu nejlépe odpovídá realitě (skutečnému hackerskému útoku). Mezi jeho slabší stránky však patří možné vynechání některého testovacího cíle. 
• Grey-box test – jedná se o kombinaci výše uvedených přístupů, kdy testerovi poskytnete pouze částečné informace a o další vás požádá, pokud během testování najde podezření na zranitelnost bezpečnosti systému. 

Podle zaměření a rozsahu (test-scope) dělíme penetrační testy na tyto základní kategorie: 

Testování aplikací a interních systémů 

Penetrační test webových aplikací (případně mobilních aplikací nebo třeba API systémů) se zaměří zejména na rizika odcizení dat a neoprávněných vniků do systému. Tester se pokusí dostat do aplikace škodlivý kód, ukrást identitu uživatele nebo jeho heslo. Zkusí také způsobit pád aplikace. 

Testování síťové infrastruktury 

Etický hacker si nejdříve zmapuje „bitevní pole“ a najde všechny aktivní prvky. Pak se zaměří na hledání slabin v síti i jednotlivých zařízeních, pokusí se probourat skrz obranu a ukrást data. 

Sociální inženýring – phishingové testy 

Zranitelná není jenom technika, zranitelnost může být i v lidech. Zaměstnanci firmy mohou mít jen ty nejlepší úmysly, ale stačí malá chyba – a problém je na světě. Tento typ penetračního testu (phishingový test) se zaměřuje právě na lidský faktor a prověřuje odolnost zaměstnanců. Tester pod falešnou či anonymní identitou kontaktuje vaše zaměstnance obvykle e-mailem a zkouší je přimět, aby klikli na odkaz vedoucí na phishingovou stránku. Snadno tak zjistíte, jestli vaše bezpečnostní školení zaměstnanců fungují správně. 

Redteaming 

Redteaming je nejkomplexnějším typem penetračního testu (resp. testovou kampaní). Speciální tým etických hackerů (tzv. red team) se pokusí proniknout skrz vaše zabezpečení, bude cíleně hledat jakákoli slabá místa a pokusí se jich využít k dalším (a hlubším) průnikům. Na opačné straně stojí blue team zodpovědný za kybernetickou obranu. Otázkou obvykle není, zda se red teamu podaří prolomit ochranu, ale spíše za jak dlouhou dobu se mu to podaří.  

Jak penetrační testy probíhají? 

1. Analýza – bez dat jsou i etičtí hackeři slepí. Nejdřív musí zmapovat situaci a zvážit, který postup bude nejvhodnější. 
2. Tvorba plánu na míru – po vyhodnocení dat získaných v předchozím kroku je potřeba stanovit, jak bude test probíhat krok za krokem, aby byl co nejefektivnější. 
3. Testování – pak už přichází na řadu samotné testy. Specialista (popřípadě celý tým etických hackerů) se pokusí najít skulinky v obraně testovaného systému. 
4. Vyhodnocení – sepsáním nálezů práce nekončí. Je potřeba hrozby zhodnotit a navrhnout kroky, které povedou k odstranění rizik. 
5. Aplikace do praxe – aby nebyl test zbytečný, je potřeba poznatky i aplikovat.  

Jak často penetrační testy opakovat? 

Protože se hrozby neustále vyvíjejí a hackeři nikdy nespí, pro zachování maximální bezpečnosti je dobré testy pravidelně opakovat. Univerzální správná frekvence neexistuje, záleží vždy na velikosti firmy a její konkrétní činnosti, s čímž souvisí i množství a závažnost hrozeb. Obecně platí, že penetrační testy by měly proběhnout aspoň jednou ročně a také s každou větší změnou v IT infrastruktuře nebo technologických procesech. Komplexní testování formou redteamingu potom stačí i méně často. 

O krok před hrozbami 

Penetrační testy jsou skvělým nástrojem pro každého, kdo nechce nechávat nic náhodě. Pokud jste už kybernetickému útoku čelili, pak z vlastní zkušenosti víte, jak složitá a drahá je náprava škod. Určitě byste zpětně udělali spoustu věcí jinak. Minulost změnit nelze, penetrační testy vám však pomůžou předejít podobným rizikům do budoucna.  

Zatím jste nic takového řešit nemuseli? Pak se vám prevence ve formě penetračních testů může vyplatit ještě víc. Nikdy totiž nevíte, kdy se právě vaše firma ocitne v hledáčku hackera nebo zloděje dat. Shrňme si hlavní přínosy a důvody, proč se pro penetrační testování rozhodnout: 

• Penetrační testy se hodí v případě, že chcete zvýšit kybernetické zabezpečení firmy. Data jsou největší bohatství každé společnosti, a proto by jejich bezpečnost měla být základem. 
• Získáte přehled o svých slabých místech – a tedy i potenciálních rizicích.   
• Pentesty vám umožní odhalit chyby a slabiny ještě před ostrým spuštěním nového systému či aplikace. Odhalením zranitelností minimalizujete riziko pádu systému nebo výpadku služeb. 
• Penetrační test není výdaj, ale investice. Výsledek vám nejen poskytne informaci o tom, co musíte vyřešit bezodkladně, ale zároveň vám i napoví, kam byste měli svou pozornost zaměřit v budoucnu. 

V Algotechu se kybernetické bezpečnosti věnujeme už více než deset let. Máme za sebou tisíce projektů a věří nám stovky spokojených klientů. Jsme připravení zajistit kybernetické zabezpečení i vaší firmy – kontaktujte nás a domluvte si s námi nezávaznou konzultaci.