Penetrační testy odhalí slabiny dřív než hacker. Jak probíhají?

SecurityGuideAktuality, Kyberbezpečnost

Penetrační testy odhalí slabiny dřív než hacker. Jak probíhají?

„Těžko na cvičišti, lehko na bojišti,“ – i tak by se daly glosovat penetrační testy, dnes už nedílná součást analýz bezpečnosti ICT.  Prostřednictvím testování nebo simulací útoků zvenčí i zvnitřku firemní sítě odhalí slabiny firemního zabezpečení. A to ještě dřív, než by došlo ke skutečnému kyberútoku. Ostatně, právě proaktivní systém ochrany, namísto reaktivního čekání, je jedním z velkých trendů současného ICT.

Stále častější práce z domova, chytré telefony s připojením k internetu, připojování se do firemní sítě „na dálku“, cloudové služby, soukromé notebooky používané i k firemním účelům… Formy využití ICT se mění. A s nimi se mění i pohled na bezpečnost a samotné analýzy a testy.

Oskenovat síť Metaspliotem už zkrátka nestačí. Je třeba využít více testů, které se zaměřují na různé typy poznání. A to vyžaduje odlišný přístup i nástroje. Liší se také nasazení analytických nástrojů a vyhodnocování získaných informací. K metodám, které rádi používají a doporučují specialisté patří následující:

Monitoring provozu – na perimetru i uvnitř sítě  

Základem jsou informace o provozu před interními servery a z/do internetu. Zachytí se veškerý provoz, který generují klienti i servery a zkoumají se trendy i anomálie. Dokáže se tak určit, kdy a jak moc se konkrétní webové aplikace a jejich podpůrné databáze ocitly mimo definovaná SLA.

Stejně tak se poznají externí i interní útoky – od počátečních skenů přes protokolové útoky až po pokusy o prolomení hesla k některým službám na síti. Firma tak má velmi přesný obraz o aktuálním stavu nejen na perimetru, ale i uvnitř firemní sítě. Historické záznamy o provozu v síti pak bývají velmi silným zdrojem informací při případné forenzní analýze.

Monitoring provozu se provádí jednorázově, případně jde o opakované analýzy. Některé firmy pak svou síť monitorují neustále.

Nastražení ICT pastí aneb honeypots pro hackery

Další možností, jak odhalit budoucí, ale zároveň velmi reálné hrozby, nebo třeba i „škodnou“ přímo ve firemní síti mezi zaměstnanci, je nastražení ICT pastí – takzvaných honeypotů –  pro hackery. Nikoli přímo ve vaší firemní síti, ale v její „kopii“.

Jde o náročný, komplexní, ale ve výsledku velmi užitečný proces:

  • Odborníci na bezpečnost, etičtí hackeři nejdříve prozkoumají firemní síť. Zjistí, jaké používá adresy, komunikační porty, jaké aplikace běží na jakých operačních systémech…
  • Následně ve firemní síti postaví paralelní svět
  • Poté rozmístí „návnady“, které na pasti odkazují
  • Pokud se někdo do pasti chytí, je jeho pohyb pečlivě monitorovaný. Experti pak často ještě dál modifikují prostředí, ve kterém se pohybuje, aby zjistili víc o jeho možnostech a schopnostech.

Vše navíc probíhá z velké části automaticky, klientova součinnost není téměř potřeba. A protože jsou incidenty zachycené v prostředí, které je velmi podobné tomu „reálnému“, získá firma velmi přesný obrázek o tom, odkud a jaké útoky přicházejí.

ICT bezpečnost je nekonečné bitevní pole

Technologie se neustále vyvíjí, a s ní i vynalézavost hackerů. Jedna věc ale zůstává stále stejná: Odborníci na kyberbezpečnost se shodují, že nejslabším článkem kybernetické bezpečnosti jsou nedostatečně proškolení zaměstnanci. Investice do vzdělávání v oblasti bezpečnosti se proto firmám skutečně vyplatí.

Zdroj: O2, Ivo Kubíček – business development manager v oblasti security, AN