Testy penetracyjne

Czę­ścią audy­tu infor­ma­tycz­ne­go prze­pro­wa­dza­ne­go przez Kan­ce­la­rię Praw­ną Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni we współ­pra­cy z fir­mą Pro­tec­tus Sp. z o.o. Sp.k. (dalej: „Pro­tec­tus”) są testy pene­tra­cyj­ne (pen­te­sty), któ­re są wyko­ny­wa­ne na życze­nie naszych klien­tów m.in. z War­sza­wy i Gdań­ska (“testy pene­tra­cyj­ne War­sza­wa”, “testy pene­tra­cyj­ne Gdańsk”). Dzię­ki prze­pro­wa­dze­niu testów pene­tra­cyj­nych jeste­śmy w sta­nie oce­nić bie­żą­cy stan bez­pie­czeń­stwa sys­te­mów tele­in­for­ma­tycz­nych funk­cjo­nu­ją­cych u naszych klien­tów. Testy pene­tra­cyj­ne pole­ga­ją na celo­wym prze­pro­wa­dza­niu kon­tro­lo­wa­nych ata­ków na sys­tem infor­ma­tycz­ny klien­tów. Ata­ki te słu­żą wykry­ciu ewen­tu­al­nych podat­no­ści i odpor­no­ści na pró­by sfor­so­wa­nia zabez­pie­czeń. Pod­czas prze­pro­wa­dza­nych przez nas badań sys­te­mów tele­in­for­ma­tycz­nych wery­fi­ku­je­my, czy zawie­ra­ją one luki bez­pie­czeń­stwa, któ­rych przy­czy­ną mogą być błę­dy w opro­gra­mo­wa­niu lub sprzę­cie, jak rów­nież błę­dy w nie­wła­ści­wej kon­fi­gu­ra­cji.

Testy penetracyjne — etapy 

Wyko­ny­wa­ne przez nas testy pene­tra­cyj­ne moż­na podzie­lić na 2 eta­py: 

  1. pasyw­ny i 
  2. aktyw­ny. 

W pierw­szej kolej­no­ści zbie­ra­my infor­ma­cje o wery­fi­ko­wa­nym sys­te­mie (etap pasyw­ny), następ­nie zaś sku­pia­my się na wyko­ny­wa­niu testów bez­pie­czeń­stwa, wyko­ny­wa­nych kolej­no jeden po dru­gim (faza aktyw­na). Prze­pro­wa­dza­my testy bez­pie­czeń­stwa fizycz­ne­go pole­ga­ją­ce zarów­no na inte­rak­cji z urzą­dze­nia­mi elek­tro­nicz­ny­mi, jak rów­nież doty­czą­ce łącz­no­ści bez­prze­wo­do­wej. Kon­tro­lu­je­my sie­ci tele­ko­mu­ni­ka­cyj­ne oraz testu­je­my m.in. sie­ci i sys­te­my, gdzie usta­na­wia­ne są połą­cze­nia kablo­we. Doko­nu­jąc testy pene­tra­cyj­ne korzy­sta­my m.in. z pro­gra­mów umoż­li­wia­ją­cych wyko­rzy­sta­nie błę­dów w opro­gra­mo­wa­niu (explo­ity). Wyko­rzy­sty­wa­nie błę­dów w opro­gra­mo­wa­niu może bowiem słu­żyć prze­stęp­com do prze­ję­cia kon­tro­li nad sprzę­tem kom­pu­te­ro­wym.

Testy penetracyjne — kontrolowane ataki

Pod­czas wyko­ny­wa­nych pen­te­stów poszu­ku­je­my sła­bo­ści w ist­nie­ją­cych środ­kach zabez­pie­czeń. Nad­to spraw­dza­my poziom świa­do­mo­ści użyt­kow­ni­ków sys­te­mów tele­in­for­ma­tycz­nych celem zwe­ry­fi­ko­wa­nia, czy użyt­kow­ni­cy nie stwa­rza­ją zagro­że­nia dla cyber­bez­pie­czeń­stwa. Kon­tro­lo­wa­ne ata­ki pozwa­la­ją kon­tro­lo­wać stan bez­pie­czeń­stwa sys­te­mów tele­in­for­ma­tycz­nych z per­spek­ty­wy poten­cjal­ne­go wła­my­wa­cza. Oczy­wi­ście testy pene­tra­cyj­ne są wyko­ny­wa­ne wyłącz­nie po uprzed­nim uzy­ska­niu zgo­dy klien­ta na tego rodza­ju dzia­ła­nia. Po zakoń­cze­niu testów prze­ka­zu­je­my klien­tom zawar­te w rapor­cie infor­ma­cje o lukach i błę­dach wraz z reko­men­da­cją napraw­czą opi­su­ją­cą w jaki spo­sób nale­ży wyeli­mi­no­wać luki i błę­dy. 

Sta­wia­my sobie za cel zmi­ni­ma­li­zo­wa­nie praw­do­po­do­bień­stwa prze­pro­wa­dze­nia sku­tecz­ne­go ata­ku haker­skie­go. Dla­te­go też sta­ra­my się obejść kolej­ne struk­tu­ry zabez­pie­czeń, aby zba­dać sku­tecz­ność zabez­pie­czeń sto­so­wa­nych przez naszych klien­tów. Dzię­ki zdo­by­tej przez nas wie­dzy nasi klien­ci są w sta­nie wpro­wa­dzić zabez­pie­cze­nia chro­nią­ce ich przed ewen­tu­al­ny­mi ata­ka­mi haker­ski­mi w przy­szło­ści.

Testy penetracyjne — błędy zabezpieczeń

Dzię­ki prze­pro­wa­dza­nym pen­te­stom usta­la­my czy kon­tro­lo­wa­ne sys­te­my tele­in­for­ma­tycz­ne posia­da­ją błę­dy zabez­pie­czeń, któ­re umoż­li­wia­ją nie­au­to­ry­zo­wa­ne wyko­rzy­sta­nie sys­te­mów. U naszych klien­tów w szcze­gól­no­ści bada­my, czy w spo­sób pra­wi­dło­wy zosta­ły dobra­ne mecha­ni­zmy uwie­rzy­tel­nia­nia oraz czy klien­ci wyko­rzy­stu­ją szy­fry podat­ne na dzia­ła­nia nie­po­żą­da­ne. W ramach testów pene­tra­cyj­nych bada­my ist­nie­nie błę­dów kon­fi­gu­ra­cyj­nych. Błę­dy takie mogą pole­gać w szcze­gól­no­ści na udo­stęp­nie­niu zbęd­nej funk­cjo­nal­no­ści bez odpo­wied­niej kon­tro­li dostę­pu bądź na usta­wia­niu zbyt łatwych haseł. Ponad­to oce­nia­my zacho­wa­nia użyt­kow­ni­ków sys­te­mów pod wzglę­dem zasad bez­pie­czeń­stwa (np. czy uru­cho­mią załącz­ni­ki do e-maili z nie­zna­nych źró­deł).

Testy penetracyjne — zarządzanie bezpieczeństwem

Wery­fi­ku­je­my u klien­tów rów­nież poziom inte­rak­cji mię­dzy użyt­kow­ni­ka­mi i sys­te­ma­mi oraz pomię­dzy poszcze­gól­ny­mi ele­men­ta­mi plat­for­my. Bada­nie wspo­mnia­ne­go pozio­mu inte­rak­cji słu­ży bowiem ogra­ni­cze­niu zbio­ru sys­te­mów, któ­ry poten­cjal­nie mógł­by paść ofia­rą kolej­nych ata­ków w przy­pad­ku zła­ma­nia zabez­pie­czeń jed­ne­go z ele­men­tów sys­te­mu. W tym celu spraw­dza­my m.in. czy zasto­so­wa­no ade­kwat­ne zapo­ry sie­cio­we do seg­men­ta­cji sie­ci oraz czy wyłą­czo­no nie­wy­ko­rzy­sty­wa­ne usłu­gi sie­cio­we na plat­for­mach. Wery­fi­ku­je­my rów­nież czy w spo­sób pra­wi­dło­wy doko­na­no sepa­ra­cji kom­po­nen­tów logicz­nych plat­for­my, co jest o tyle istot­ne, gdyż w przy­pad­ku odpo­wied­niej sepa­ra­cji kom­po­nen­tów zdo­by­cie przez hake­ra upraw­nień admi­ni­stra­to­ra na jakim­kol­wiek kom­pu­te­rze nie dopro­wa­dzi do utra­ty przez klien­ta kon­tro­li nad sys­te­ma­mi.

Przed­mio­tem naszej ana­li­zy jest rów­nież oce­na, czy ogra­ni­czo­no do naj­niż­sze­go pozio­mu  upraw­nie­nia nada­wa­ne użyt­kow­ni­kom, tj. do pozio­mu ade­kwat­ne­go do reali­zo­wa­nych przez tych użyt­kow­ni­ków celów. Nad­to, doko­nu­je­my oce­ny czy prze­pro­wa­dzo­no u przed­się­bior­cy podzia­łu kom­pe­ten­cji w ramach struk­tu­ry orga­ni­za­cyj­nej fir­my, tak, aby do prze­pro­wa­dze­nia istot­nych czyn­no­ści praw­nych i fak­tycz­nych (np. auto­ry­zo­wa­nie prze­le­wu) nie­zbęd­na była współ­pra­ca co naj­mniej dwóch osób. Wyżej opi­sa­ne dzia­ła­nia mają na celu prze­pro­wa­dze­nie oce­ny czy zmniej­szo­no ryzy­ko wyrzą­dze­nia szko­dy powsta­łej na sku­tek naru­sze­nia bez­pie­czeń­stwa jed­nost­ko­we­go sys­te­mu bądź kon­ta.

Wery­fi­ku­je­my rów­nież czy wszel­kie nie­pra­wi­dło­wo­ści wykry­wa­ne są na bie­żą­co, co umoż­li­wia naszym klien­tom na szyb­kie pod­ję­cie kro­ków celem unie­moż­li­wie­nia desta­bi­li­za­cji sys­te­mu pole­ga­ją­cej np. na ska­so­wa­niu danych bądź pod­mia­nie stro­ny www.

Testy penetracyjne — testy inżynierii społecznej

W spo­sób kom­plek­so­wy pod­da­je­my ana­li­zie obsza­ry bada­ne­go sys­te­mu. Przed­mio­tem bada­nia są rów­nież obsza­ry zwią­za­ne z komu­ni­ka­cją mię­dzy­ludz­ką. Na zle­ce­nie naszych klien­tów sto­su­je­my pod­stęp mają­cy na celu uzy­ska­nie poten­cjal­nie war­to­ścio­wych danych klien­ta, np. nume­ry kart kre­dy­to­wych. Dzia­ła­nia takie są pro­wa­dzo­ne w celu spraw­dze­nia podat­no­ści naszych klien­tów oraz ich współ­pra­cow­ni­ków na phi­shing.  Na życze­nie klien­tów doko­nu­je­my rów­nież testy inży­nie­rii spo­łecz­nej. W tym celu prze­pro­wa­dza­my ata­ki socjo­tech­nicz­ne na użyt­kow­ni­ków sys­te­mu mają­ce cha­rak­ter ukie­run­ko­wa­ny.

Testy penetracyjne a audyt informatyczny 

W prze­ci­wień­stwie do audy­tu infor­ma­tycz­ne­go, któ­ry prze­pro­wa­dza­ny jest pod kątem zgod­no­ści sys­te­mu ze spe­cy­fi­ka­cją sta­nu pożą­da­ne­go, testy pene­tra­cyj­ne wyko­nu­je­my, aby zwe­ry­fi­ko­wać fak­tycz­ny stan bez­pie­czeń­stwa sys­te­mów tele­in­for­ma­tycz­nych klien­ta. Testy pene­tra­cyj­ne, odmien­nie ani­że­li audy­ty infor­ma­tycz­ne, są prze­pro­wa­dza­ne w spo­sób kre­atyw­ny oraz spon­ta­nicz­ny. 

Pentesty a cyberbezpieczeństwo

Cyber­prze­stęp­czość jest zaś zja­wi­skiem na tyle powszech­nym, iż nie spo­sób go w dzi­siej­szych cza­sach baga­te­li­zo­wać. Nie ule­ga wąt­pli­wo­ści, iż lepiej jest zapo­bie­gać ata­kom haker­skim, niż usu­wać skut­ki takich ata­ków. Zachę­ca­my do kon­tak­tu przed­się­bior­ców zain­te­re­so­wa­nych spraw­dze­niem, czy ich sys­te­my tele­in­for­ma­tycz­ne są fak­tycz­nie zabez­pie­czo­ne przed ata­ka­mi haker­ski­mi. Jeste­śmy prze­ko­na­ni, iż dzię­ki zespo­ło­wi doświad­czo­nych spe­cja­li­stów ds. cyber­bez­pie­czeń­stwa fir­my Pro­tec­tus współ­pra­cu­ją­cej z naszą Kan­ce­la­rią jeste­śmy w sta­nie spro­stać ocze­ki­wa­niom naj­bar­dziej wyma­ga­ją­cym klien­tów.   

Powrót do pod­stro­ny Cyber­bez­pie­czeń­stwo