Atak na zamówienie
-
- 26.01.2004
Zlecając na zewnątrz analizę stanu bezpieczeństwa organizacji, trzeba mieć na uwadze nie tylko ocenę słabości poszczególnych systemów, ale także działanie zabezpieczeń jako systemu naczyń połączonych.
Zlecając na zewnątrz analizę stanu bezpieczeństwa organizacji, trzeba mieć na uwadze nie tylko ocenę słabości poszczególnych systemów, ale także działanie zabezpieczeń jako systemu naczyń połączonych.
Nie ma takiej organizacji, której zabezpieczenia są idealne, choćby z tego prostego powodu, że zarządzanie bezpieczeństwem to proces, nie zaś jednostkowy projekt. Stan zabezpieczeń musi podlegać okresowej weryfikacji. W praktyce odbywa się to w formie zlecanej na zewnątrz niezależnej analizy.
Dziwny eksperyment
Celem oceny stanu bezpieczeństwa, przeprowadzanego z reguły przez wyspecjalizowaną jednostkę zewnętrzną, są: analiza rzeczywistego poziomu bezpieczeństwa oraz przygotowanie zaleceń lub kompletnego projektu zmian zarówno technicznych, jak i organizacyjnych likwidujących bądź redukujących zagrożenia związane z wykrytymi słabościami. W większości przypadków motywacją takiego zlecenia są problemy z utrzymaniem odpowiedniego poziomu bezpieczeństwa. Analiza może także służyć weryfikacji skuteczności aktualnie zaimplementowanych mechanizmów i procedur.
Niestety, bywa i tak, że głównym oczekiwaniem zlecającego jest potwierdzenie aktualnego poziomu bezpieczeństwa jako wysokiego, pomimo oczywistego faktu, że użyteczność analizy bezpieczeństwa jest tym większa, im więcej słabości uda się wykryć.
Analiza stanu bezpieczeństwa powinna być kompleksowa. Nie oznacza konieczności wykrycia wszystkich luk, lecz raczej obowiązek niepominięcia słabości systemowych.
Innymi słowy, powinna być traktowana jako punkt wyjścia do wprowadzenia zmian mających na celu podniesienie poziomu bezpieczeństwa w długim okresie.
Typowa analiza bezpieczeństwa w organizacji składa się z czterech etapów:
Przed wykonaniem jakichkolwiek testów penetracyjnych określa się ich szczegółowe warunki - chodzi głównie o ograniczenia mające na względzie ciągłość funkcjonowania testowanej infrastruktury.
Test zewnętrzny
Celem testów zewnętrznych jest próba uzyskania dostępu do sieci wewnętrznej i jej krytycznych komponentów z zewnątrz. Ten etap jest prowadzony bez technicznej współpracy z administratorami sieci badanej organizacji. Wiedzą oni jedynie, że w pewnym okresie będą prowadzone testy, nie wiedzą jednak dokładnie, co i kiedy będzie wykonywane.
Do przeprowadzenia testu zewnętrznego są wykorzystywane informacje, które mogą zostać względnie łatwo zdobyte przez potencjalnego atakującego. Chodzi przede wszystkim o informacje, takie jak struktura sieci, dostępne usługi, specyfika punktów dostępowych czy zidentyfikowane mechanizmy zabezpieczeń. Często wykorzystywane są również informacje dodatkowe, uzyskiwane z witryny organizacji, publikacji prasowych, wypowiedzi pracowników czy też uzyskane metodami inżynierii społecznej. Informacje tego rodzaju są dla potencjalnych włamywaczy (tu: zespołu testującego) bardzo użyteczne, zwłaszcza jeśli ich zamiarem jest przeprowadzenie ataków pasywnych, przed którymi standardowe rozwiązania, jak np. systemy firewall, nie chronią.
Pod względem struktury i specyfiki atak przeprowadzany w ramach audytu bezpieczeństwa nie różni się istotnie od rzeczywistej próby przełamania mechanizmów zabezpieczeń. Mimo to, ze względu na zdefiniowane ograniczenia, testy penetracyjne powinny być traktowane jedynie jako symulacja potencjalnych działań intruza. W umowie specyfikuje się zwykle ściśle określony zbiór systemów, które mogą być atakowane, co ogranicza przeprowadzenie niektórych ataków, np. wymagających przejęcia kontroli nad serwerem nazw domenowych. Umowa często ogranicza także rodzaje ataków, jakie zespół testowy może przeprowadzić. Z reguły dopuszczalne są jedynie takie ataki, które nie wiążą się z ryzykiem istotnego zaburzenia funkcjonowania krytycznych systemów testowanej infrastruktury. Nie bez znaczenia jest także presja czasu, nawet w przypadku długotrwałych zleceń. Zewnętrzne testy penetracyjne trwają co najwyżej kilka tygodni, podczas gdy rzeczywiste próby ataku mogą być przeprowadzane miesiącami, oczywiście niekoniecznie w sposób ciągły.
Właśnie ze względu na silne zazwyczaj ograniczenia czasowe etap zewnętrznych testów penetracyjnych wymaga jednak pewnej współpracy zespołu testującego z administratorami systemów bezpieczeństwa. Mając świadomość, że w najbliższym czasie ktoś będzie próbował przełamać zabezpieczenia, osoby odpowiedzialne za bezpieczeństwo często mobilizują się. Zdarza się nawet, że potencjalnie najsłabsze systemy w sieci są w tym okresie wyłączane. Z punktu widzenia celów analizy stanu bezpieczeństwa działania takie są niekorzystne. Mobilizacja trwająca tylko przez okres realizacji testów uniemożliwia zidentyfikowanie niektórych słabości, które bez niej stanowiłyby realne zagrożenie.
Analiza od środka
Etap testów penetracyjnych wewnętrznych rozpoczyna się z reguły wraz z zakończeniem testów zewnętrznych, choć w szczególnych przypadkach prace mogą być prowadzone równolegle. Jeżeli w rezultacie testów zewnętrznych uda się uzyskać dostęp do sieci wewnętrznej, testy penetracyjne wewnętrzne są rozpoczynane automatycznie. W każdym przypadku etap ten powinien być przeprowadzany przy bezpośredniej współpracy z administratorami bezpieczeństwa organizacji.
