Celem testów penetracyjnych wewnętrznych jest sprawdzenie możliwości przeprowadzenia ataków na systemy wewnętrzne przy założeniu uzyskania dostępu do sieci wewnętrznej organizacji. Odpowiada to rzeczywistej sytuacji, gdy intruzowi udało się np. obejść mechanizmy systemu firewall lub gdy atak jest przeprowadzany bezpośrednio z sieci wewnętrznej, np. przez pracownika lub osobę, która uzyskała fizyczny dostęp do jednego z komputerów. Zbieranie informacji na tym etapie koncentruje się na zidentyfikowaniu kluczowych systemów, zbadaniu poziomu ich bezpieczeństwa oraz określeniu struktury sieci wewnętrznej, w szczególności jej segmentacji.

Najpierw ataki są przeprowadzane na wybrane systemy krytyczne, a następnie są podejmowane próby wykorzystania zależności i relacji zaufania między nimi w celu zdobycia dostępu do pozostałych zasobów.

W porównaniu z testami zewnętrznymi etap testów wewnętrznych trwa stosunkowo krótko, a jego głównym zadaniem jest zebranie jak najdokładniejszych informacji o podatności sieci wewnętrznej na ataki. Celem testów wewnętrznych w żadnym razie nie jest zdobycie dostępu do wszystkich czy nawet większości systemów w sieci wewnętrznej. Są nim przetestowanie określonych technologii i zweryfikowanie możliwości propagacji ataku w strukturze sieci wewnętrznej przy założeniu bezpośredniego dostępu do jednego z systemów.

Wyniki do przeglądu

Wyniki uzyskane w testach penetracyjnych zewnętrznych i wewnętrznych dają pewien obraz poziomu bezpieczeństwa infrastruktury, nie jest to jednak obraz kompletny. Nawet jeżeli testy nie zakończyły się spektakularnym sukcesem, tj. nie został uzyskany dostęp do kluczowych systemów informatycznych organizacji, struktura jej zabezpieczeń wciąż może zawierać krytyczne błędy.

Celem analizy nie powinno być znalezienie pojedynczego błędu, lecz raczej wykrycie wszystkich istotnych błędów, które mogą mieć konsekwencje dla poziomu bezpieczeństwa organizacji. To właśnie dlatego po zakończeniu etapów testowych jest przeprowadzana systematyczna analiza infrastruktury technicznej oraz przepływu informacji w organizacji. Etap ten jest prowadzony w ścisłej współpracy z administratorami systemów bezpieczeństwa.

Na początku etapu formalnej analizy tworzona jest inwentaryzacja infrastruktury informatycznej organizacji w postaci dokumentu. Jeżeli organizacja ma własne metody inwentaryzowania infrastruktury i procedur z nią związanych, istniejące informacje są aktualizowane oraz uzupełniane informacjami istotnymi z punktu widzenia analizy bezpieczeństwa. Po zatwierdzeniu dokument ten jest wykorzystywany podczas dalszych analiz oraz do prezentowania wyników przeprowadzonych testów.

Dalsze analizy są prowadzone w celu określenia wszystkich potencjalnych słabości, które, choć nie zostały stwierdzone testami, czy to ze względu na ograniczenia czasowe, czy też na mocy postanowień umowy, mogą z dużym prawdopodobieństwem wystąpić, np. na skutek wykrycia błędu w określonym systemie operacyjnym czy aplikacji. Rezultatem tego etapu jest kolejny dokument.

Zawiera on kompletną diagnozę stanu zabezpieczeń infrastruktury informatycznej organizacji.

Ocena końcowa

Analiza stanu bezpieczeństwa organizacji kończy się oceną poziomu bezpieczeństwa. Przygotowuje się ją na podstawie rezultatów testów zewnętrznych i wewnętrznych oraz wniosków analizy formalnej. Ocena końcowa obejmuje kilka obszarów.

Pierwszy z nich obejmuje aspekty techniczne, w których mieszczą się m.in. poprawność budowy i konfiguracji infrastruktury sieciowej, systemów operacyjnych i aplikacji z punktu widzenia praktyki bezpieczeństwa. Jest tu miejsce na oceny zarówno jakości rozwiązań, jak i poprawności ich konfiguracji.

Drugi obszar oceny końcowej opisuje kompletność całego systemu zabezpieczeń - nie tylko jego poszczególnych elementów z osobna, ale także ostatecznego efektu zabezpieczania powstającego w wyniku ich wspólnego działania.

Trzeci obszar oceny obejmuje aspekty organizacyjno-proceduralne, a w szczególności praktyki w dziedzinie zarządzania bezpieczeństwem: aktualizację oprogramowania, archiwizowanie danych oraz monitorowanie zdarzeń sieciowych i zmian w infrastrukturze.

Kompleksowość najważniejsza

Ocena wystawiona po przeprowadzeniu analiz bezpieczeństwa powinna być sformułowana w taki sposób, aby na jej podstawie można było zaprojektować działania korygujące nieprawidłowości. Wymóg kompleksowości oceny, a więc także kompleksowości analizy ma tu zasadnicze znaczenie. Nie mniej ważne jest jednak dostosowanie i analizy, i oceny do specyfiki badanej organizacji.

Dokument zawierający ocenę poziomu bezpieczeństwa infrastruktury informatycznej organizacji powinien zawierać listę zalecanych działań, podzielonych na etapy uwzględniające stopień ich istotności. W niektórych przypadkach bezpośrednio na podstawie wyników analizy może zostać przygotowany kompleksowy projekt wdrożenia lub reorganizacji określonych mechanizmów zabezpieczeń.

Artykuł powstał dzięki pomocy Michała Chmielewskiego, Sergiusza Fonroberta, Adama Gowdiaka, Norberta Meyera i Tomasza Ostwalda - pracowników Poznańskiego Centrum Superkomputerowo-Sieciowego.