Business & Integration IT konzultant
7 bežných chýb pri penetračnom testovaní a ako sa im vyhnúť
V minulom článku sme sa venovali penetration testingu (pen test), v ktorom sme si predstavili jeho typy, metódy, postupy, nástroje a mnoho ďalšieho. V tomto článku si povieme o bežných chybách pri penetračnom testovaní.
Čo je penetračné testovanie?
Penetračný test, známy aj ako pen test, je simulovaný kybernetický útok na počítačový systém s cieľom overiť, či sa v ňom nachádzajú zneužiteľné zraniteľnosti. Cieľom tohto simulovaného útoku je identifikovať slabé miesta v obrane systému, ktoré by mohli útočníci využiť.
Pekným spôsobom, ako si veci predstaviť, je opýtať sa skúseného profesionálneho pentestera, ako sa cíti pri svojej práci. Nepochybne ti povie o nekonečných, únavných hodinách strávených prieskumom alebo skenovaním, o frustrácii z opakovaného neúspechu kvôli nejakej malej konfiguračnej chybe pri zneužití zraniteľnosti a o beznádeji a takmer zúfalstve, ktoré pociťuje, keď sa nájdený hlavný cieľ zdá byť neprekonateľný.
Porozpráva ti však aj o nekonečnej radosti zo zistenia, že vytrvalosť nebola márna po takmer nemožnom, ale úspešnom prieniku. Spýtaj sa ktoréhokoľvek skutočného pentestera a bezpochyby ti povie, že je to jeden z najúžasnejších, najnáročnejších a najprínosnejších druhov práce – a to ani nehovorím o tom, že je aj veľmi dobre platená.
Pravdou je, že cesta k skúsenému pentesterovi je dosť dlhá a podľa očakávania zahŕňa aj niekoľko neúspechov, kým sa dostaví zaslúžený úspech. Práve v tomto procese získavajú odborníci väčšinu svojich vedomostí. Učenie sa z vlastných neúspechov je veľmi dobrá vec, pretože je oveľa menej bolestivé učiť sa z chýb iných ľudí.
-
Zabúdanie na profesionálnu etiku
Kľúčovým rozdielom medzi etickým hackerom a bežným kyberzločincom je okrem zjavného rozdielu medzi konečnými cieľmi každej strany zákonnosť. Vykonávanie pentestov je činnosť, ktorá si vyžaduje zvýšenú úroveň technických schopností a ešte vyššiu úroveň profesionálnej etiky.
Počas tohto typu práce je úplne bežné získať prístup k citlivým alebo dôverným informáciám vrátane podrobností o narušeniach bezpečnosti, ktoré môžu celú korporáciu vystaviť reálnym útokom s vysokou úrovňou deštruktívneho potenciálu. Opäť platí, že okrem technických odborných znalostí dokáže dobrý pentester celkom seriózne narábať s aspektmi, ako sú dôvernosť, ochrana osobných údajov a zákonnosť.
-
Narušenie niečoho bez riadneho oprávnenia
Aký je kľúčový rozdiel medzi etickým hackerom a bežným kyberzločincom? Ako sme už spomenuli, pentesteri sú zvyčajne platení za porušovanie pravidiel. Častým problémom mnohých penetračných testerov, ktorí začínajú v tejto oblasti, je, že aj pri porušovaní pravidiel zabúdajú, že existujú pravidlá, ktoré sa musia dodržiavať!
Napríklad neskúsený pentester, ktorý túži preukázať svoje znalosti a schopnosti, sa môže prestať sústrediť na skutočné ciele hodnotenia a vytvoriť situácie s dopadom podobným skutočnému útoku, napríklad zrútenie kritického systému. Ak sa test vykonáva v neproduktívnom prostredí, napríklad vo vývojovej inštancii, dopad nemusí byť taký veľký. Je však dôležité mať na pamäti, že niektoré testy narušenia sa vykonávajú v živom produkčnom prostredí. Niekedy, napríklad v scenári testovania čiernej skrinky, sa o testoch nedozvedia všetci členovia tímu zákazníka.
Tento typ situácie sa dá riešiť kombináciou pentestrov s rôznymi úrovňami skúseností, ale nie vždy je to možné. V každej situácii je teda veľmi dôležité pamätať na to, že pravidlá zapojenia musia byť formálne zaregistrované a schválené zákazníkom. To zahŕňa:
- definovanie jasného rozsahu hodnotenia,
- výslovné uvedenie, ktorých systémov alebo aktív sa nesmie dotknúť,
- aký typ testov sa môže vykonať,
- časové okná na vykonanie,
- jasný komunikačný kanál pre núdzové situácie.
-
Nedostatočná starostlivosť o dôkazy
Zhromažďovanie a primerané uchovávanie dôkazov je počas testovania narušenia veľmi dôležitou úlohou, napokon, budú tvoriť základ záverečnej správy.
Počas celého procesu pentestingu je dôležité mať jasne definovaný typ dôkazov, ktoré sa musia uchovávať, vrátane informácií, ako napríklad:
- aká zraniteľnosť bola úspešne zneužitá
- time stamp
- príklady činností, ktoré mohli byť vykonané (t. j. neoprávnené kopírovanie alebo modifikácia súborov)
- či došlo k nejakej detekcii zo strany tímu klienta
- alebo dokonca počet neúspešných pokusov.
Súhrnne sú všetky tieto informácie veľmi užitočné pri zostavovaní správy založenej na faktoch, čo nás privádza k ďalšej častej chybe.
-
Neakceptovanie toho, že systém môže byť v skutočnosti bezpečný
V skutočnosti sa test narušenia nezameriava na samotné narušenie, ale skôr na posúdenie toho, ako dobre je cieľ chránený proti technikám používaným hackermi a kyberzločincami.
Preto ak bol cieľ dôkladne otestovaný a stále nevykazuje známky úspešného vniknutia, je úplne prijateľné informovať zákazníka, že systém je bezpečný. Mnohí začínajúci pentesteri nemajú tento prehľad a nakoniec míňajú čas a prostriedky, keď to už nie je potrebné.
-
Spoliehanie sa výlučne na nástroje na vykonávanie práce
Existuje mnoho nástrojov, ktoré môžu pentesterovi uľahčiť život. Jednoduchý softvér, ako napríklad Nmap alebo Wireshark, pomáha pri prieskumných činnostiach, ako je skenovanie cieľov, zachytávanie prevádzky a posudzovanie zraniteľností, zatiaľ čo riešenia ako Metasploit, ktoré môžu zefektívniť proces vytvárania vlastných exploitov. Existuje niekoľko bezplatných distribúcií Linuxu, ktoré sú kompletne určené na testovanie prienikov, a profesionálne riešenia, ktoré dokážu automatizovať väčšinu úloh pentestingu. Rozsah riešení, ktoré si pentester môže osvojiť, je pomerne rozsiahly.
Samozrejme, pri vykonávaní pentestov je dôležité vedieť, ako tieto nástroje správne používať, ale to je niečo úplne iné ako byť závislý výlučne od nástrojov, ktoré vykonávajú všetku prácu. V mnohých prípadoch si aj tie najlepšie riešenia budú vyžadovať kvalifikovaného odborníka, ktorý určí, čo má skenovať alebo ako vytvoriť kontextovo špecifický exploit. Samotná znalosť používania hackerských nástrojov nemusí stačiť, vynaliezavý pentester pozná koncepty, ktoré stoja za testom narušenia. To poskytne úroveň flexibility, ktorá pomôže v prípadoch, keď nie je k dispozícii špecifický softvér.
-
Nerozvíjanie zručností pri písaní správ
Konečným výsledkom pentestu je správa, ktorá poskytuje informácie o každej vykonanej činnosti a o všetkých zisteniach, ktoré sa počas procesu objavili. Častou chybou neskúsených pentesterov je vytváranie správy, ktorá je v podstate výstupom automatizovaného nástroja. Iste, existuje veľa pentestovacích nástrojov, ktoré môžu počas celého procesu veľmi pomôcť a dokonca automatizovať značnú časť písania správy, ale ak chceš zákazníkovi poskytnúť skutočnú hodnotu, musíš urobiť ďalší krok.
Skúsený pentester dokáže vytvoriť zmysluplné správy, ktoré sú skutočne relevantné pre obchodný kontext klienta. To zahŕňa schopnosť podrobne rozpracovať aspekty, ako sú konkrétne zákony a predpisy, rôzne druhy obchodných vplyvov (t. j. prevádzkové, finančné, právne a reputačné, a hoci stále poskytuje dostatok technických podrobností, vysvetliť hlavné zistenia spôsobom, ktorý pochopí aj netechnická osoba. Tento druh zručností je veľmi žiadaný pokiaľ ide o kariérny postup.
-
Spoliehanie sa výlučne na samoštúdium
Ako už bolo spomenuté, základnou vlastnosťou dobrého pentestera je odolnosť voči viacnásobnému zlyhaniu a učenie sa z chýb. Mnohí profesionáli rozvíjajú svoj talent čítaním kníh, účasťou v diskusných skupinách alebo dokonca vytváraním laboratórií, v ktorých sa učia hackerské techniky na základe pokusov a omylov. Všetky tieto metódy sú mimoriadne platné, čo však neznamená, že by si sa mal spoliehať len na ne.
Jedným zo spôsobov, ako rýchlo získať vedomosti, je účasť na niektorom z mnohých školení a výcvikových táborov v oblasti testovania vniknutia, ktoré sú na trhu k dispozícii.
fRada: Pred prihlásením sa do kurzu si over, či sú inštruktori profesionálni pentesteri s preukázateľnými praktickými skúsenosťami. Takto je možné vytvoriť dobrú kombináciu teórie a praktického učenia a pripraviť sa na certifikáty, ako sú EC-Council Certified Ethical Hacker (CEH) alebo Licensed Penetration Tester (Master), GIAC Penetration Tester (GPEN), GIAC Exploit Researcher and Advanced Penetration Tester (GXPN) a Offensive Security Certified Professional (OSCP). Všetky tieto certifikáty majú vysokú hodnotu a môžu ťa posunúť pred konkurenciu.
Ak vieš po nemecky a si IT tester alebo automatizovaný tester, pozri si naše firemné benefity a reaguj na voľné pracovné miesta.