Teste de penetrare

by admin

Testul de penetrare este o metodă de evaluare a securității unui sistem, rețea sau pentru întreaga organizație prin emularea unui scenariu real de atac. Scopul final al testului de penetrare este de a ajuta la identificarea riscurilor specifice. Procesul implică o evaluare activă a sistemului pentru a descoperi vulnerabilitățile care l-ar putea afecta. Ca parte a procesului de PenTest vor fi dentificate punctele slabe și vor fi exploatate pentru a determina riscul real ce l-ar putea ridica o amenințare pentru afacere.

La încheierea testării, un raport cuprinzător este livrat către client. Raportul va descrie în detaliu problemele de securitate găsite în timpul testării, inclusiv impactul acestora și riscul pentru afacere. Pentru fiecare neconformitate de securitate cuprinsă în raport, vor fi sugerate metode de control a riscurilor. Pe lângă oferirea de recomandări tehnice, acolo unde este posibil, vom identifica cauza principală a neconformităţii și vom oferi recomandări la nivel operaţional şi de politică.

Ce face un pen-test in general:

· identificarea device-urilor in retea

· identificarea vulnerabilitatilor sistemelor de operare

· identificarea update-urilor sistemele de operare existente in retea

· identificarea vulnerabilitatilor bazelor de date

· genereaza rapoarte in conformitate cu vulnerabilitatile gasite si modul de remediere detaliat

· Simuleaza atacul in retea, asupra unei baze de date etc.

Există trei abordări principale pentru testele de penetrare în funcție de nivelul inițial de cunoștințe asupra sistemului țintă:

· BlackBox: se executa evaluarea ţintei fără nici o cunoștință despre sistemul sau rețeaua ţintă. Acest lucru oferă un scenariu foarte realist, emulând un atacator anonim din afara sistemului.

· WhiteBox: se dispune de toate detaliile şi informaţiile necesare despre sistemul țintă. Aceasta include, de obicei, harta reţelei, detalii de infrastructură și chiar codul sursă al aplicațiilor folosite. În funcție de scenariu, testul de penetrare în modul WhiteBox poate să fie mult mai axat pe elemente particulare şi prin urmare poate fi de multe ori mult mai eficient.

· GreyBox: O combinație dintre cele două tipuri de PenTests sus-amintite, în care se emulează un atacator intern (deci cu oarecare cunoștințe despre infrastructura IT&C existentă) dar care e un utilizator neprivilegiat (credențialele acestuia nu-i permit accesul decât într-un mod restrâns), acesta trebuind să reușească o escaladare a privilegiilor pentru a reuși un atac.

Cele mai frecvente forme de teste de penetrare utilizate sunt:

· Teste de penetrare ale aplicaţiilor web: scenariu prin care se emulează un atac extern ce încearcă să compromită confidenţialitatea, integritatea sau disponibilitatea informaţiilor sau proceselor de business din interiorul organizaţiei, în mod uzual acest atac petrecându-se via Internet.

· Teste de penetrare externe: folosite pentru a identifica, evalua și remedia vulnerabilitățile de securitate ce ar putea afecta interfaţa externă a sistemului informaţional, în scopul asigurării

că accesul neautorizat din exterior (uzual din Internet) la sistemele şi datele interne organizaţiei nu este realizabil.

· Teste de penetrare interne: recreeză scenariul unui atacator conectat la rețeaua internă a companiei sau al unui angajat nemulțumit ce ar putea încerca să saboteze compania din interior prin accesul neautorizat la sisteme sau date.

Planul de testare include:

· Tinta (hw, sw, SO, aplicatii, baze de date)

· Perioada testarii

· Instrumentele sw&hw folosite pentru testare

· Personalul implicat (atacatorii)

· Contractul de confidentialitate

· Aprobarea (altfel e considerat atac INFOSEC si tratat ca incident de securitate)

Raportul final include:

· Tinta (hw, sw, SO, aplicatii, baze de date)

· Perioada testarii

· Instrumentele sw&hw folosite pentru testare

· Personalul implicat (atacatorii)

· Concluzii

· Vulnerabilitati identificate

· Masuri de control a riscurilor recomandate (masuri de securitate care trebuie implementate pentru eliminarea/reducerea vulnerabilitatilor)

· Semnaturile partilor (beneficiar si auditor)

Activitățile de testare sunt realizate de o echipă cu vastă experiență în proiecte IT&C mari legate de proiectare, implementare și audit, în țară și în străinătate, cu instruire și acreditari/certificări IT&cybersecurity recunoscute la nivel național și internațional.

ro_RORomanian