Testy penetracyjne w przedsiębiorstwach

Testy penetracyjne

Według Wikipedii „Test penetracyjny – proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę stanu bezpieczeństwa tego systemu. Podstawową cechą odróżniającą test penetracyjny od włamania jest zgoda atakowanej strony na tego rodzaju działania.” Przed rozpoczęciem testów penetracyjnych konieczne jest szczegółowe uzgodnienie zakresu testów oraz etapu, który zostanie uznany za osiągnięcie zakładanego celu (zakończenie testu).

Testy wykonać można na trzy sposoby:

testy typu black-box (ang. — „czarne pudełko”) – agencja przed rozpoczęciem testu nie posiada żadnej wiedzy na temat badanego systemu, procedur bezpieczeństwa wdrożonych w środowisku danej firmy ani świadczonych przez nią usług;

testy typu white-box (ang. — „białe pudełko”) – agencja przed rozpoczęciem działań uzyskuje od zleceniodawcy szczegółową wiedzę na temat systemu, który będzie przedmiotem testu (dane nt. infrastruktury sieciowej, typów systemów operacyjnych, procedur bezpieczeństwa stosowanych w firmie i świadczonych przez nią usług). Cele testu penetracyjnego są szczegółowo zdefiniowane;

testy typu grey-box (ang. — „szare pudełko”) – pośrednio pomiędzy black i white-box – agencja otrzymuje od zleceniodawcy część danych, które mogą przyspieszyć przeprowadzenia testów;

Podstawowymi etapami testu penetracyjnego są:

rekonesans (pasywne i aktywne zbieranie informacji na temat badanego systemu teleinformatycznego, w tym zabiegi socjotechniczne);
wykorzystanie uzyskanych informacji o podatnościach systemu teleinformatycznego (przełamanie zabezpieczeń, podniesienie uprawnień);
generacja raportu z przeprowadzonych czynności;

W zakresie testów penetracyjnych Agencja proponuje trzy typy usług:
Rekonesans 1 – Zabiegi socjotechniczne mające na celu weryfikację wiarygodności i lojalności pracowników;
Rekonesans 2 – Pasywne i aktywne zbieranie informacji, mające na celu wykrycie podatności systemu teleinformatycznego, z wykorzystaniem dostępu z sieci Internet. Usługa zawiera w sobie przedsięwzięcia ujęte w Rekonesansie 1;
Test penetracyjny – usługa zawierająca pełny rekonesans i próbę wykorzystania ustalonych podatności do pokonania systemu zabezpieczeń i podniesienia uprawnień.

Każda z usług kończy się stworzeniem raportu z przeprowadzonych czynności