Пенетрейшън Тестове (Penetration Tests)

Въведение

Този документ представлява описание на термина „пенетрейшън тест“ (penetration test) и е насочен към запознаване на заинтересуваните страни с целите и ползите от подобен тест в тяхната организация.

Какво означава пенетрейшън тест?

Пенетрейшън тест е реалната, практическа гледна точка на външно лице, което се опитва да заобиколи мерките за информационна сигурност, прилагани в дадена организация, с цел установяване на уязвимости в информационната среда. Тези уязвимости могат да бъдат от всякакво естество – от физическото разположение или архитектура на информационната инфраструктура, през конфигурацията на различните информационни активи (сървъри, мрежови устройства, потребителски станции), до различни слабости в приложенията/програмите, които се използват в организацията.

Резултати

Резултатът от теста включва описание на проведените атаки, средствата използвани за целта, откритите уязвимости и слабости, както и препоръки за тяхното отстраняване. Всичко това се предоставя под формата на доклад към организацията, в която е проведен пенетрейшън тестът.

Ограничения

Под внимание трябва да бъде взет фактът, че пенетрейшън тестът е актуален за ограничен период от време. В този смисъл той представлява “снимка” на текущото ниво на сигурност на системите в организацията и не трябва да бъде възприеман като пълен одит на информационната сигурност. Пенетрейшън тестът е ограничен по обхват – включва ограничен брой системи и процеси. Слабости в нетествани системи не могат да бъдат идентифицирани. С цел осигуряване на максимална защита срещу зловредни атаки, е необходимо тези тестове да бъдат извършвани регулярно. Това намалява риска от компрометиране на системи посредством новооткрити уязвимости или нови типове атаки.

Типове пенетрейшън тестове

Тестът може бъде осъществен с различна степен на „предварително запознаване“ със системите на организацията:

- Тест „черна кутия“ (black-box testing), където предварителната информация често е само името на организацията. Работа на тестващите лица е сами да установят обхвата на информационната инфраструктура, да открият критични активи или приложения и да подготвят план за тяхната „атака“.

- Тест „сива кутия“ (grеy-box testing), където на тестващите лица е предоставена определена информация за информационната инфраструктура, например IP range или разположение на критичните активи.

- Тест „бяла кутия“ (white-box testing), където тестващите лица работят в тясна връзка със специалистите на тестваната организация и разполагат с цялата информация за вътрешната архитектура, използваните технологии и ресурси, разположение на критичните активи и др. Понякога на тестващите лица са предоставени дори потребителски акаунти за дадени приложения, с цел максимално подробен и задълбочен тест.

Тестът може да бъде с различен обхват:

- Тест на информационната инфраструктура (сървъри, потребителски станции);

- Тест на приложенията/програмите, използвани в организацията;

- Тест на уеб-приложения, които са достъпвани от глобалната мрежа и често са основен вектор на атака за една организация;

- Тест на вътрешната мрежа на организацията (суичове, рутери, мрежови протоколи и т.н.);

- Комбинация от горните тестове.

Тестът може да установи различни слабости или уязвимости, например (но не ограничени до):

- Непачнати или неъпдейтнати софтуерни системи от всякакъв вид – операционни системи, бази данни, уеб сървъри, популярни приложения и др.;

- Използването на остарели и несигурни софтуерни системи – определени версии на операционни системи и/или конкретна тяхна имплементация и конфигурация;

- Недобра конфигурация на приложения и системи, най-често водеща до твърде висока степен на „откритост“ – позволяване на достъп на неоторизирани лица или ненужно висок достъп на оторизирани лица;