Korzyści z włamania
-
- Wojciech Dworakowski,
- 26.01.2004
Podsumowanie
Podstawowym celem przeprowadzania testów penetracyjnych jest znalezienie podatności obniżających stan bezpieczeństwa środowiska teleinformatycznego zlecającego. Przy tej okazji zlecający często chce także uzyskać szczegółową ocenę działania systemu firewall czy IDS. Przedmiotem oceny może być także jakość reakcji administratorów lub praktyczne działanie procedur.
Przystępując do zamówienia testu penetracyjnego, należy zadać sobie podstawowe pytanie: jaki jest cel tego działania i co chce się dzięki niemu osiągnąć? Odpowiedź na to pytanie wskaże właściwy rodzaj testu penetracyjnego i pomoże sformułować warunki, w jakich będzie wykonywany. Jeśli celem mają być tylko ocena poziomu bezpieczeństwa i znalezienie podatności, to skuteczniejsze może się okazać badanie przez przejrzenie konfiguracji (ewentualnie z testem penetracyjnym jako metodą uzupełniającą). Jeśli celem jest ocena ryzyka związanego z działaniem intruza w zadanych warunkach (punkt działania, ilość informacji, jakie posiada), to badanie za pomocą testu penetracyjnego może okazać się najlepszym wyborem.
Ilość informacji, jaką posiada zespół na początku testu
Spotyka się tu co najmniej dwa podejścia: test typu black box - kiedy zespół nie ma żadnych informacji o testowanym obiekcie (z wyjątkiem zakresu adresów IP, nazwy DNS lub po prostu nazwy firmy), white box - kiedy zespół posiada informacje ogólne, takie jak rodzaj i wersja stosowanego oprogramowania, struktura sieci itp. W praktyce informacje te są stosunkowo łatwe do zdobycia.
Miejsce, z którego przeprowadzane są testy
Dobór punktu działania powinien wynikać z celów, jakie zamawiający chce osiągnąć dzięki testowi penetracyjnemu. Można tu wymienić testy prowadzone z dowolnego punktu w Internecie, pierwszego systemu zaporowego oraz określonego punktu w sieci wewnętrznej. Wynik takiego testu będzie się odnosić tylko do działania intruza z tego punktu. Oznacza to, że nie można go traktować jako wyniku reprezentującego możliwości ataku z innych punktów.
Obiekt testów
Najczęściej spotykane typy testów to testy ogólne, gdy celem jest określony zakres adresów IP (bywa że są one nazywane "testami penetracyjnymi sieci"), lub testy szczegółowe, np. testy aplikacji. Najczęściej testy penetracyjne stosuje się do zbadania bezpieczeństwa aplikacji internetowych. W takim przypadku celem może być sama aplikacja lub aplikacja wraz z całym środowiskiem.
Zestaw uprawnień, jakie posiada zespół na początku testu
Wybór źródeł ataku powinien być poprzedzony szczegółową analizą. Przykładowo, w przypadku testowania aplikacji najczęściej jednym z celów jest ocenienie, jak wiele szkody może wyrządzić typowy użytkownik aplikacji. Zespół testujący powinien mieć uprawnienia takiego typowego użytkownika.
Stadium rozwoju, w jakim jest testowany obiekt
Firmy, które wdrożyły szczegółowe zasady zarządzania bezpieczeństwem, z reguły starają się przetestować nowe systemy jeszcze przed ich uruchomieniem, w warunkach laboratoryjnych. Stwarza to możliwość wykonania dokładniejszych badań. W przypadku testów systemów produkcyjnych należy ustalić zasady, których zespół testujący nie powinien przekraczać.
Być może pytanie to warto odwrócić i spytać samego siebie: ile to jest dla mnie warte? Zwrot z inwestycji na bezpieczeństwo IT jest trudny, jeśli nie niemożliwy do oszacowania. W kalkulacji ryzyka związanego z bezpieczeństwem IT jest wiele niewiadomych i zmiennych trudnych do oszacowania. Można jedynie założyć, że pieniądze, jakie można wydać na analizę bezpieczeństwa IT (w tym testy penetracyjne), powinny być wprost proporcjonalne do wartości chronionych zasobów
