Testy penetracyjne – wymagania, potrzeby a rzeczywistość

Obserwowane zwiększone zapotrzebowanie na przeprowadzanie audytów bezpieczeństwa informacji to nie tylko chwilowa moda związana ze wzrastającą świadomością zagrożeń w obszarze cybersecurity, i ich potencjału medialnego. Nie jest to też skutek wymuszenia na administracji publicznej działań wymaganych przez Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

Niemniej jednak ze względu na wymienione powyżej czynniki, okresowe audyty bezpieczeństwa wpisały się jako stały element w krajobraz usług, jakich poszukują różne organizacje, w tym administracja publiczna. Bardzo często częścią szerokiego audytu bezpieczeństwa są testy penetracyjne, mające na celu sprawdzenie odporności komponentów infrastruktury teleinformatycznej, systemów i procesów na próby przełamania zabezpieczeń, w sposób naśladujący potencjalnych atakujących (crackerów i hackerów). Dzięki temu, testy penetracyjne, o ile są przeprowadzone rzetelnie i przez doświadczonego wykonawcę, stanowią rzeczywistą ocenę stanu bezpieczeństwa informacji i identyfikację punktów wymagających pilnej interwencji.

Jakość, a nie jakoś

Wskutek dostępności narzędzi do wykonywania tzw. automatycznych testów penetracyjnych, a nawet istnienia zintegrowanych środowisk narzędziowych (np. dedykowanej dystrybucji systemu Linux), możliwe jest ich przeprowadzenie przez osoby nieposiadające wystarczającej wiedzy w obszarze bezpieczeństwa systemów teleinformatycznych (tzw. script kiddies).

Tego typu pentesty są najczęściej niskiej jakości, m.in.:

• • • Ze względu na wykorzystanie jedynie niewielkiej części istniejących narzędzi (najczęściej tych, które mają graficzny interfejs użytkownika i oferują standardową, nieskomplikowaną konfigurację).
    • Brak faktycznej weryfikacji istnienia podatności raportowanej przez narzędzie. Co więcej, niewłaściwie wykonane testy penetracyjne mogą stanowić poważne zagrożenie dla Klienta, ze względu na możliwe zakłócenia pracy systemów i urządzeń lub wręcz ich awarię.

Dodatkowo, samo korzystanie z gotowych narzędzi (w sposób mało efektywny), nawet tych najlepszych, nie pozwoli na znalezienie błędów w logice biznesowej aplikacji, które zostałyby zidentyfikowane przez doświadczonego audytora.

Potrzeby a wymagania i rzeczywistość

Według obserwacji Audytela, niewielkie podmioty administracji publicznej, w szczególności jednostki samorządu terytorialnego, zwykle wymagają jedynie przeprowadzenia skanowania (wyszukiwania) podatności dla posiadanych urządzeń (w szczególności serwerów i stacji roboczych) lub oszacowania poziomu bezpieczeństwa strony www i aplikacji web. Takie podejście jest wysoce niewystarczające, gdyż pozwala co prawda na zidentyfikowanie otwartych portów i udostępnianych niektórych usług, jednakże zaprezentowane wyniki nie są zweryfikowane – identyfikują jedynie domniemany poziom zagrożenia. Pomijanym aspektem jest próba uzyskania przez potencjalnego atakującego rzeczywistego dostępu do sieci wewnętrznej (zarówno fizycznego, jak i wskutek braku lub nieefektywności zabezpieczeń na styku z Internetem) i na tej podstawie próba uzyskania dostępu do danych, które powinny być objęte ochroną (np. z wykorzystaniem sniffingu – podsłuchiwania).

Nieczęsto jest w praktyce oceniana świadomość personelu za pomocą testów socjotechnicznych, obejmujących m.in:

• • • Próbę skłonienia personelu do ujawnienia haseł dostępowych (np. poprzez rozmowę telefoniczną lub wizytę w siedzibie).
    • Próbę ich uzyskania w inny sposób z wykorzystaniem słabości personelu (np. poprzez przesłanie spreparowanej wiadomości e-mail z linkiem do „nowej wersji” aplikacji.
    • „Zagubienie” nośnika danych, który po podłączeniu do stacji roboczej spowoduje automatyczną instalację złośliwego oprogramowania wykradającego wpisywane hasła).

Jest to szczególnie istotne ze względu na fakt, że wciąż to człowiek bywa najsłabszym ogniwem wszystkich systemów zabezpieczeń.

Jak dobrać testy penetracyjne do potrzeb

Wybór usługodawcy o ugruntowanej pozycji i posiadającego doświadczenie w wykonywaniu testów penetracyjnych (także takich, które odbiegają od standardowych), może stanowić bardzo korzystną alternatywę w stosunku do najtańszych usługodawców (szczególnie w zestawieniu z potencjalnymi stratami, czy istniejącą odpowiedzialnością w przypadku, gdyby rzeczywiści atakujący mogliby wykorzystać niezidentyfikowane na etapie testów, podatności). Warto zawsze pamiętać, że celem testów penetracyjnych jest zwiększenie poziomu bezpieczeństwa, a nie tylko spełnienie wymagań (nakładanych przez odgórne lub wewnętrzne regulacje) poprzez wykonywanie działań pozorowanych.

Autor: Marek Janiszewski