Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Korzyści z włamania

Korzyści z włamania

Raport końcowy

Produktem testów penetracyjnych jest raport szczegółowy. Trzeba mieć świadomość, że zamawiając testy, płacimy de facto za raport.

Samo wykonanie testów nie stanowi wartości dla zamawiającego - wartość leży w jakości wniosków wyciągniętych z rozpoznanych faktów. Raport z testu penetracyjnego powinien zawierać elementy, takie jak:

  • Podsumowanie dla kadry zarządzającej. Jest to syntetyczne streszczenie wyników językiem przystępnym dla odbiorcy "nietechnicznego".

  • Spis wykonanych testów.

  • Spis znalezionych podatności wraz z ich interpretacją. Kluczowa część raportu. Każda ze znalezionych podatności powinna zostać zinterpretowana i szczegółowo opisana. Dodatkowo, w miarę możliwości, powinno też być ocenione zagrożenie (np. bardzo duże, duże, średnie, małe). Trzeba pamiętać, że oceny i sposoby usunięcia mogą być mylne - zespół wykonujący testy wie o badanej infrastrukturze znacznie mniej niż jej administratorzy.

  • Zalecenia co do zwiększenia bezpieczeństwa. Zwykle to element pożądany w raporcie i zazwyczaj w nim występuje. Jednak warto zwrócić uwagę, że jest to element zabezpieczania systemu lub nawet projektowania zabezpieczeń, a nie element testowania zabezpieczeń.

    Doświadczenie zespołu

    Oczywiście, doświadczenie zespołu wykonującego test penetracyjny jest kluczowe dla zaufania, jakie możemy mieć do wyników testu. Jednak ocenienie doświadczenia zespołu może być co najmniej trudne. W większości konkursów ofert można spotkać się ze schematami, jakie zwykle stosuje się przy zamawianiu innych usług IT, i próbami oceny doświadczenia za pomocą takich kryteriów, jak posiadane certyfikaty czy referencje z wykonanych usług. Żaden z nich nie przystaje do specyfiki związanej z oceną bezpieczeństwa, a już na pewno nie do testów penetracyjnych.

    Certyfikaty zawodowe dotyczące dokładnie umiejętności wykonywania testów penetracyjnych nie istnieją. Brak ściśle określonych standardów, a więc także metody weryfikacji umiejętności. Certyfikaty dotyczące audytu IT (np. ISACA CISA) nie są tu adekwatne, ponieważ nie obejmują zagadnień testów penetracyjnych. Certyfikaty producentów sprzętu i oprogramowania równieżĘna niewiele się zdają. W końcu administrowanie systemem i włamywanie się do niego to dwie różne sprawy. Wkrótce sytuacja ma szansę się poprawić - w ostatnich latach pojawiło się kilka propozycji certyfikacji obejmujących testy penetracyjne. Pozostaje jednak kwestia dostępności egzaminów oraz odbioru tytułów zawodowych przez klientów.

    Referencje nie są zbyt popularne wśród firm zajmujących się bezpieczeństwem. Wystawienie referencji po wykonaniu testu penetracyjnego zdarza się, lecz raczej są to przypadki odosobnione. Proszenie o wystawienie referencji to bowiem w pewnym sensie naruszenie dobrej zawodowej praktyki.

    Współpraca obu stron

    Naturalne jest, że zamawiający test penetracyjny powinien zapewnić dostępność wszelkich zasobów, które są niezbędne do realizacji testu. Mogą to być: dostęp do punktów, z których będzie wykonywany test, czy też dostarczenie kont i haseł, jeśli test obejmuje działania z określonymi przywilejami początkowymi. Przy testowaniu infrastruktury produkcyjnej, pomimo założenia, że testy nie powinny zakłócać ciągłości działania systemu, może się zdarzyć, iż do takich zdarzeń dojdzie.

    Tak jak przy każdym projekcie, zamawiający test penetracyjny powinien zapewnić dostępność osoby odpowiedzialnej za projekt po swojej stronie, choćby po to, aby była odpowiedzialna za rozstrzyganie niejasności. Do niej zespół testujący powinien również zgłaszać wszelkie wykryte podatności krytyczne - takie, które trzeba natychmiastowo usunąć.

    O testach penetracyjnych w Internecie
  • Demonstrating ROI for Penetration Testing Marcia J. Wilson; -http://www.securityfocus.com/infocus/1715

  • Open Source Security Testing Methodology Manual(OSSTMM) -http://www.osstmm.org

  • Perspectives on Penetration Testing - Black Box vs White Box; Paul Midian -http://www.insight.co.uk/downloads/presscoverage/Black%20Box%-20versus%20White%20Box%20(Network%20Security).pdf

  • Red Teaming FAQ:http://www.redteamjournal.com/methods/faq.htm

  • Red Teaming 101; David P. Duggan, Robert L. Hutchinson: http://www.cs.nmt.edu/~cs491_02/RedTeaming-4hr.pdf

    • Cele, jakie można osiągnąć dzięki stosowaniu testów penetracyjnych
  • Ocena ryzyka związanego z podłączeniem sieci/podsieci do Internetu lub innych sieci.

  • Sprawdzenie, jakie usługi sieciowe mogą być wykorzystane do penetracji sieci wewnętrznej.

  • Sprawdzenie, jakie informacje o infrastrukturze można wydobyć z firm.

  • Ocena stanu zabezpieczeń sieci jako całości oraz jakości konfiguracji poszczególnych podsystemów.

  • Wykrycie zagrożeń faktycznych (dających się wykorzystać) oraz potencjalnych (możliwych przy zaistnieniu sprzyjających warunków).

  • Próba oceny uprawnień, jakie może uzyskać potencjalny, nieuprzywilejowany intruz działający z sieci zewnętrznych.

  • Ocena jakości reakcji administratorów na nieprawidłowości, ocena praktycznego działania procedur w sytuacji kryzysowej.


    • TOP 200

    Computerworld

    Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

    Tematy

    Serwisy IDG

    Znajdź nas:   

    W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    Zamów reklamę

    (+48) 662 287 830
    Napisz do nas