Czym są testy podatności, jakie są ich rodzaje i jaki jest ich cel? Testy podatności to przegląd słabych punktów bezpieczeństwa w systemie informatycznym organizacji oraz dobrze znanych błędów w oprogramowaniu. Ocenia się podatność systemu na jakiekolwiek znane luki w oprogramowaniu. Przypisuje się im poziomy ważności, a w razie potrzeby zaleca naprawę lub łagodzenie skutków. Przykłady …
Czym są testy podatności, jakie są ich rodzaje i jaki jest ich cel?
Testy podatności to przegląd słabych punktów bezpieczeństwa w systemie informatycznym organizacji oraz dobrze znanych błędów w oprogramowaniu. Ocenia się podatność systemu na jakiekolwiek znane luki w oprogramowaniu. Przypisuje się im poziomy ważności, a w razie potrzeby zaleca naprawę lub łagodzenie skutków.
DARMOWY WEBINAR
Raport Bezpieczeństwa OSINT, testy podatności czy testy penetracyjne – sprawdź czy Twoja sieć i systemy IT są bezpieczne!
12 kwietnia 2022r. godz. 13:00
Jeśli chcesz dowiedzieć się więcej o sposobach kontrolowania swojej sieci.
Przykłady zagrożeń, którym można zapobiec poprzez ocenę podatności, obejmują:
- eskalacje uprawnień z powodu wadliwych mechanizmów uwierzytelniania lub błędów oprogramowania,
- SQL Injection i inne ataki polegające na wstrzykiwaniu kodu,
- wyłączenie usługi lub utrata danych poprzez ataki typu buffer overflow,
- niebezpieczne ustawienia domyślne, czyli oprogramowanie dostarczane z niezabezpieczonymi ustawieniami, takimi jak możliwe do odgadnięcia hasła administratora.
Istnieje kilka rodzajów ocen podatności:
- hosta — ocena krytycznych serwerów i komputerów, które mogą być podatne na ataki
- sieci i sieci bezprzewodowych – ocena zasad i praktyk mających na celu zapobieganie nieautoryzowanemu dostępowi do sieci prywatnych lub publicznych oraz zasobów dostępnych w sieci
- bazy danych — ocena baz danych lub systemów big data pod kątem luk w zabezpieczeniach i błędnych konfiguracji, a także identyfikacja nieuczciwych baz danych lub niezabezpieczonych środowisk deweloperskich/testowych oraz klasyfikowanie wrażliwych danych w infrastrukturze organizacji
- skanowanie aplikacji — identyfikacja luk w zabezpieczeniach aplikacji internetowych i ich kodu źródłowego
Dlaczego testy podatności są ważne ?
Testy podatności umożliwiają zespołom ds. bezpieczeństwa stosowanie spójnego, kompleksowego i jasnego podejścia do identyfikowania i rozwiązywania zagrożeń i ryzyka dla bezpieczeństwa. W rezultacie ma to kilka korzyści dla organizacji:
- Wczesna i spójna identyfikacja zagrożeń i słabych punktów bezpieczeństwa IT.
- Działania naprawcze mające na celu wypełnienie wszelkich luk i ochronę wrażliwych systemów i informacji.
- Spełnienie wymagań w zakresie bezpieczeństwa cybernetycznego i wymagań regulacyjnych.
- Ochrona przed naruszeniami danych i innym nieuprawnionym dostępem.
Dzięki zebranym informacjom, luki w zabezpieczeniach podlegają klasyfikacji zgodnie z kontekstem. W oparciu o najlepsze praktyki branżowe w zakresie zarządzania ryzykiem ustala się także ich priorytet.
Czym różnią się testy podatności od testów penetracyjnych?
Ocena podatności ma na celu zidentyfikowanie i udokumentowanie podatności bez ich aktywnego wykorzystywania. Zamiast tego zaangażowanie koncentruje się na pasywnych i aktywnych metodach skanowania w celu wykrycia luk w docelowych sieciach i systemach. Natomiast aktywna eksploatacja to dziedzina testów penetracyjnych. Jeśli Twoje wymagania obejmują walidację wykrytych podatności, zapoznaj się z usługami testów penetracyjnych.
Jak przebiega proces planowania testów podatności?
Ocenę bezpieczeństwa należy traktować jak każdy inny projekt, z planem zarządzania projektem uwzględniającym cele, zakres, wymagania, role i obowiązki w zespole, ograniczenia, czynniki sukcesu, założenia, zasoby, terminy i wyniki.
- Po rozpoczęciu projektu, zbierane są wymagania klienta w celu pomyślnego sporządzenia zestawienia prac (SoW – Statement of Work).
- Po osiągnięciu obopólnego porozumienia w sprawie warunków SoW ustalane są szczegóły i specyfika zakresu działań. Obejmuje to przygotowanie i podpisanie listu upoważniającego do przeprowadzenia badań (TAL – Test Authorization Letter) przez obie strony oraz krótkie spotkanie w celu ostatecznego potwierdzenia dat i szczegółów komunikacji.
Faza planowania ma kluczowe znaczenie dla udanego projektu i służy do zbierania informacji potrzebnych do przeprowadzenia oceny. Gromadzone informacje mogą obejmować szczegóły, takie jak aktywa, które mają być testowane, zagrożenia dla interesów w stosunku do aktywów oraz środki kontroli bezpieczeństwa, które mają być stosowane w celu złagodzenia tych zagrożeń podczas opracowywania podejścia do oceny.
Jaka jest metodologia i jakie narzędzia wykorzystujemy podczas wykonywania oceny podatności?
Konsultanci przeprowadzają testy bez szczegółowych diagramów sieci lub infrastruktury oraz bez żadnych kont i dodatkowych informacji o użytkownikach (chyba że jest to wymagane w ramach projektu). Jednak w razie potrzeby klient może również przeprowadzić skanowanie uwierzytelnione.
Nasza metodologia obejmuje:
- Automatyczne skanowanie – Skanowanie za pomocą zestawu narzędzi
- Walidacja ręczna – Weryfikacja za pomocą kontroli ręcznych w celu zmniejszenia liczby fałszywych alarmów
- Ocena ryzyka i priorytetyzacja – Dokumentacja wykrytych problemów z bezpieczeństwem
Wykorzystujemy standardowe w branży narzędzia i frameworki, a także opracowane przez siebie skrypty, aby przeprowadzić najbardziej kompletne i wszechstronne skanowanie podatności na zagrożenia.
Niektóre z narzędzi używanych przez naszych testerów penetracyjnych obejmują:
- Nessus Professional
- Netsparker
- Testssl.sh
- Burp Suite Pro
- Nikto
- Sqlmap
- Metasploit Framework
- Skrypty niestandardowe
Co finalnie otrzymuje Klient?
Po zakończeniu fazy wykonawczej formalnie dokumentujemy wszystkie ustalenia. Następnie raport przechodzi wewnętrzną kontrolę jakości, a raport końcowy dostarczany jest klientowi w ciągu dwóch tygodni po zakończeniu zlecenia.
Ostateczny wynik to raport zawierający obszerną listę ze zidentyfikowanymi podatnościami oraz zaleceniami naprawczymi.
Zobacz przykładowy raport testów podatności
Kto przeprowadza testy podatności i przygotowuje raport?
Raport bezpieczeństwa przygotowywany jest przez inżynierów zajmujących się cyberbezpieczeństwem z międzynarodowego Center of Excellence Cyber Security Ingram Micro oraz certyfikowanych ekspertów bezpieczeństwa z firmy NetFormers.
Czy można przeprowadzić ponowny test naprawczy?
Oczywiście. Jeśli Firma chce przeprowadzić ponowny test po wdrożeniu zaleceń naprawczych należy skontaktować się z Nami. Można w ten sposób uzyskać więcej informacji i ustalić harmonogram działań. Usługa ta jest dodatkowo płatna.
Jakie są obowiązki po stronie Klienta?
Klient wyraża zgodę na wykonywanie swoich zobowiązań oraz przyjmuje do wiadomości i zgadza się, że zdolność do wykonywania ustalonych w ramach projektu zobowiązań jest współzależna od przestrzegania przez Firmę następujących warunków:
- Zasoby klienta są zaplanowane i dostępne dla testerów.
- Wszystkie serwery i urządzenia sieciowe podlegające ocenie powinny być włączone i sprawne podczas przeprowadzania oceny.
- Klient odpowiada na wszystkie prośby o dokumenty i inne informacje terminowo i zgodnie z terminami dostaw ustalonymi w fazie planowania.
- Na potrzeby testowania każdy adres IP w projekcie jest uważany za oddzielny host, niezależnie od potencjalnego równoważenia obciążenia, zapory itp.
- Wszystkie testy i wszystkie prace związane z oceną będą miały miejsce w ciągu 24 godzin. Chyba, że zostaną wynegocjowane inne warunki.
- Okna testowania klienta muszą zapewniać odpowiedni czas na wykonanie pracy.