Często różnica między testami penetracyjnymi a inwentaryzacją podatności (vulnerability assessment) nie jest dobrze rozumiana przez osoby zajmujące się zarządzaniem ryzykiem. Tymczasem firmy stosujące ocenę ryzyka muszą zdecydować, jaka kombinacja tych dwóch metod jest najlepsza dla ich strategii bezpieczeństwa. Z reguły kombinacja obu metod jest konieczna, aby skutecznie zarządzać podatnościami. To oznacza, że każda metoda ma swoje wady i zalety.

Inwentaryzacja podatności

Ten proces z reguły polega na zastosowaniu zautomatyzowanych narzędzi do skanowania środowiska IT i generowana na tej podstawie raportów. Zadaniem tych narzędzi jest zidentyfikowanie wszystkich systemów, aplikacji, usług oraz powiązań między nimi.

Zobacz również:

• Testy penetracyjne systemów IT - czy warto w nie zainwestować?

Na podstawie tych informacji rozpoczyna się proces identyfikowania problemów, np. braku zainstalowanych łatek, stosowania fabrycznych haseł i znanych luk. Na koniec powstaje zestawienie wszystkich zidentyfikowanych problemów.

Trzeba podkreślić, że typowa ocena podatności nie zawiera potwierdzeń wykrytych problemów, które informowałyby, że ustalenia testów są poprawne. To oznacza, że fałszywe alarmy (false positive) nie są usuwane, lecz figurują w raportach jako potencjalne problemy, które dopiero administratorzy IT muszą zweryfikować. Kwestia ta dotyczy przede wszystkim zarządzania łatkami.

Ponadto w procesie oceny podatności nie powstaje analiza wskazująca, poza podstawowymi aspektami, konsekwencji, jakie wynikają z wykrytych problemów. Przykładowo, narzędzie może wykryć słabe hasło w bazie danych i ocenić związane z tym ryzyko jako wysokie. Jednakże takie narzędzie nie potrafi już ocenić, czy taka baza faktycznie zawiera wartościowe informacje lub też czy takie hasło umożliwia uzyskanie dodatkowego dostępu do systemu operacyjnego czy eskalacji uprawień do poziomu administratora serwera.

Ogólnie, inwentaryzacja podatności i narzędzia wykorzystywane w tym procesie umożliwiają zidentyfikowanie pierwszego kroku, jaki potencjalny włamywacz może wykonać, aby uzyskać dostęp do danych lub systemów. Nie są natomiast w stanie ocenić dokładnie faktycznych konsekwencji wykrytych problemów czy wskazać priorytetów w ich usuwaniu.

Skanery podatności umożliwiają identyfikację i dają jedynie powierzchowny obraz stanu bezpieczeństwa. Nie podpowiadają, jak rozwiązać wykryte problemy czy też nie powiedzą, jaki jest faktyczny poziom zagrożenia. Nie są też w stanie wykryć logicznych wektorów ataków, jak ponowne wykorzystanie tego samego hasła.

Za to mogą szybko wykonać tysiące testów i sprawnie przeskanować całą sieć. Umożliwiają wykrycie elementów będących łatwym celem dla atakującego. Jest to więc dobre uzupełnienie szerszego wachlarza działań związanych z zarządzaniem podatnościami.

Testy penetracyjne

Testy penetracyjne, często określane mianem pentestów, to odwzorowanie prób rzeczywistych ataków w celu uzyskania nieautoryzowanego dostępu do danych i systemów poprzez wykorzystanie podatności i połączenie różnych metod włamań.

W testach penetracyjnych wykorzystuje się narzędzia, które umożliwiają zbudowanie fundamentalnego obrazu stanu bezpieczeństwa badanego środowiska. Możliwe jest również zidentyfikowanie wektorów potencjalnych ataków. W odróżnieniu od inwentaryzowania podatności, w testach penetracyjnych można dokładnie określić potencjalne skutki wykrytych problemów, badać spójność, poufność i dostępność badanego środowiska. Testy penetracyjne angażują czynnik ludzki (nie są to pełne automaty), który jest niezbędny, aby powiązać ze sobą zidentyfikowane luki, co daje dokładniejszy obraz wykrytych problemów i umożliwia lepsze zbadanie środowiska IT.

Dla każdej wykrytej podatności można dokładnie określić jej wpływ na biznes. Ponadto podatności są analizowane w powiązaniu ze sobą, co pozwala lepiej określić skalę zagrożenia. Ewentualne fałszywe alarmy są wykluczane przed sporządzeniem finalnego raportu.

W sumie te czynniki sprawiają, że ostatecznie powstają realistyczne zalecenia dotyczące środków zaradczych. Jednakże jakość testów penetracyjnych zależy od kompetencji przeprowadzających je osób. Ich przeprowadzenie wymaga znacznie więcej czasu niż inwentaryzacja podatności.

Wnioski

Efekty inwentaryzacji podatności i testów penetracyjnych znacznie odbiegają od siebie. Różnice dotyczą szczegółowości analizy. Testy penetracyjne obejmują wszystkie warstwy zabezpieczeń. Ponadto wskazują na skalę zagrożeń wynikających z poszczególnych zidentyfikowanych problemów. Ponadto nie występują w ich wynikach fałszywe alarmy. Z drugiej strony inwentaryzacja jest znacznie łatwiejsza do przeprowadzenia niż złożone testy penetracyjne.

Z reguły firmy stosują obie metody wykrywania luk w bezpieczeństwie. Są to niezbędne elementy zarządzania ryzykiem. Przykładowo, roczne testy penetracyjne często przeprowadza się w połączenie z kwartalną inwentaryzacją luk. To pozwala sprawnie określać środki zaradcze i wykrywać luki, które pojawiają się w efekcie zmian wprowadzanych w środowisku IT. Osoby odpowiedzialne za bezpieczeństwo powinny być świadome charakterystyki obu opisanych metod. Im lepiej zna się ich specyfikę, tym lepiej można dopasować strategię bezpieczeństwa do celów biznesowych.