Korzyści z włamania

Wykonywanie testów penetracyjnych istotnie różni się od wszelkich innych usług informatycznych. Brak standardów oceny kwalifikacji potencjalnych wykonawców i trudności z uzyskaniem referencji to nie jedyne wyzwania stojące przed zlecającym, a mimo to usługi te są zamawiane. Tym odważnym wypada doradzić negocjowanie nie tylko zakresu prac i ceny, ale przede wszystkim pisemnej oceny stanu zabezpieczeń wraz z wnioskami i ewentualnie projektami udoskonaleń.

Wykonywanie testów penetracyjnych istotnie różni się od wszelkich innych usług informatycznych. Brak standardów oceny kwalifikacji potencjalnych wykonawców i trudności z uzyskaniem referencji to nie jedyne wyzwania stojące przed zlecającym, a mimo to usługi te są zamawiane. Tym odważnym wypada doradzić negocjowanie nie tylko zakresu prac i ceny, ale przede wszystkim pisemnej oceny stanu zabezpieczeń wraz z wnioskami i ewentualnie projektami udoskonaleń.

Sformułowanie "test penetracyjny" stało się ostatnio słowem-kluczem. Brak zrozumienia istoty tej metody oceny stanu bezpieczeństwa sieci skutkuje tym, że zdezorientowani klienci są skłonni traktować test penetracyjny jako synonim audytu bezpieczeństwa systemów informatycznych. To oczywiście nieporozumienie. Mówię to jako osoba od ponad pięciu lat kierująca zespołami wykonującymi właśnie testy penetracyjne oraz uczestnicząca w negocjacjach z potencjalnymi zleceniodawcami. Oczywiście, można mnie przez to uznać za osobę stronniczą, mam jednak mocno ugruntowane przekonanie, że kilka słów wyjaśnienia w tej dziedzinie wyjdzie czytelnikom Computerworld tylko na dobre.

Cele i metody

Testy penetracyjne to nic innego jak empirycznie kontrolowane próby przełamania zabezpieczeń. Metodą tą można badać dowolne systemy informatyczne (sieci, serwery, aplikacje), jednak zwykle chodzi o działania prowadzone z sieci publicznej (Internetu) i mające zbadać możliwości przeprowadzenia skutecznego ataku na wskazaną przez zlecającego sieć bądź aplikację. Na czas badania badający przyjmuje filozofię i metody działania właściwe tym, którzy mogą mieć wobec zlecającego niecne zamiary. Ta postawa przekłada się na sposób działania zespołu testującego, dobór narzędzi, miejsce, z którego działają specjaliści, oraz zestaw ich początkowych uprawnień. Tak drastyczne środki mają doprowadzić do właściwego celu testów penetracyjnych - odpowiedzi na pytanie: jakie informacje o firmie intruz jest w stanie zdobyć w określonych warunkach. Mogą to być informacje o tym, jak jest zbudowany system, np. wersje oprogramowania, szczegóły konfiguracji zapór firewall), a także informacje biznesowe.

Dokument Open Source Security Testing Methodology Manual (OSSTMM) określa siedem metod testowania bezpieczeństwa teleinformatycznego. Cztery z nich bywają określane (mniej lub bardziej trafnie) mianem testu penetracyjnego:

Vulnerability Scanning - testy zautomatyzowanym skanerem bezpieczeństwa.

Security Scanning - testy zautomatyzowanym skanerem bezpieczeństwa wraz z manualną weryfikacją rezultatów, identyfikacją słabości w kontekście całości infrastruktury teleinformatycznej i analizą wyników.

Penetration Testing - próby przełamania zabezpieczeń ze ściśle wyznaczonym celem.

Ethical Hacking - próby przełamania zabezpieczeń w celu sprawdzenia, jakie są możliwości wniknięcia w testowany obiekt, bez ściśle wyznaczonej "zdobyczy".

Ethical Hacking to termin dość modny i chwytliwy, jednak wiele źródeł uznaje go raczej za termin ukuty przez specjalistów od marketingu. Test penetracyjny odróżnia od innych metod oceny bezpieczeństwa naśladowanie działań potencjalnego intruza (kontrolowane próby przełamania zabezpieczeń). W związku z tym do testów penetracyjnych należy zaliczyć dwa ostatnie punkty z powyższej klasyfikacji.

Czasami jest stosowane podejście, w którym jest definiowany ścisły cel testu penetracyjnego, np. uzyskanie uprawnień administratora systemu X, umieszczenie pliku z "podpisem" w określonym katalogu, postawienie mało widocznej "kropki" na stronie WWW itp. Warto jednak zwrócić uwagę, że w takim przypadku należy zakładać, iż zespół testujący skoncentruje się tylko na osiągnięciu ustalonego celu. Taki test przyniesie wyłącznie odpowiedź na pytanie: czy w ustalonym czasie, przy ustalonych warunkach da się osiągnąć ustalony cel. Wyników takiego testu nie powinno się interpretować jako spojrzenia na całość obiektu z punktu widzenia intruza, gdyż skuteczne włamania coraz częściej są prowadzone w celu uzyskania - bezpośrednio lub pośrednio - wymiernych korzyści. Poza tym tak postawione zadanie nie odpowie na nurtujące klienta wątpliwości dotyczące zaufania do rzeczywistego bezpieczeństwa sieci/aplikacji.

Na marginesie tych rozważań wypada wspomnieć, że w ostatnich latach rozwinęła się koncepcja oceny bezpieczeństwa określana jako Red Teaming. Termin ten, zaczerpnięty z wojskowości, określa spojrzenie na zabezpieczenia z punktu widzenia intruza. Zespół testujący (red team) ma za zadanie przełamanie systemu zabezpieczeń, a zespół zamawiającego (blue team) - obronę przed atakiem. Testy penetracyjne pasują tutaj idealnie - jako jeden z elementów składowych. W odróżnieniu od prawdziwego intruza zespół testujący:

  • ujawnia wszystkie metody i techniki, które doprowadziły do przełamania zabezpieczeń

  • utrzymuje swe odkrycia w tajemnicy

  • współpracuje przy osiągnięciu celu eksperymentu

  • ogranicza ryzyko zniszczenia

  • uczestniczy w większym zespole opracowującym zabezpieczenia (bezpośrednio lub przez przekazanie zaleceń).

    Może to być proces ciągły, polegający na wykrywaniu podatności, usuwaniu ich bądź ograniczaniu ich skutków, ponownym testowaniu itd. Zaletą wciągnięcia zespołu testującego w proces budowania zabezpieczeń jest to, że pozwala to uzyskać spojrzenie z punktu widzenia intruza. Zabezpieczający nie myślą z reguły kategoriami włamywaczy.

  • W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    TOP 200