Ofensīvā drošība
Ielaušanās tests – atrodi vājās vietas pirms uzbrucēja
Ielaušanās tests ir kontrolēts, atļauts uzbrukums tavām sistēmām. Speciālists atrod reālās vājās vietas un parāda, kā tās novērst, pirms tās izmanto kāds cits.
- Balstīts Verizon DBIR un IBM datos
- Neatkarīgs un neitrāls
- Praktiski padomi
Kas ir ielaušanās tests
Kontrolēts uzbrukums, kas atklāj reālās vājās vietas
Ielaušanās testā speciālists atļauti un droši uzbrūk tavām sistēmām kā īsts uzbrucējs – bet par atradumiem ziņo tev.
Ielaušanās tests (penetrācijas tests, angļu val. penetration testing) ir metode, kurā apmācīts speciālists atļauti un kontrolēti meklē un izmanto sistēmu, lietotņu un tīklu vājās vietas. Mērķis – parādīt, kā uzbrucējs iekļūtu, un kā to novērst.
Atšķirībā no automātiskas ievainojamību skenēšanas, ielaušanās tests pierāda, kuras vājās vietas ir reāli izmantojamas. Tas atšķir teorētiskus riskus no tiem, ar kuriem uzbrucējs tiešām piekļūtu datiem.
Rezultāts ir skaidrs ziņojums: kas atrasts, cik tas bīstams un kā to novērst – sakārtots pēc reālā riska.
Kāpēc testēt
Ko dod ielaušanās tests
Pieci ieguvumi, ko tehniskā aizsardzība vien nesniedz.
-
Reālās vājās vietas
Tests atklāj tiešām izmantojamas vājās vietas, nevis tikai teorētisku sarakstu. Redzi, kur uzbrucējs tiešām iekļūtu.
-
Vairāk nekā skenēšana
Cilvēks savieno vairākas vājās vietas un atrod loģikas kļūdas, ko rīks neatpazīst.
-
Skaidras prioritātes
Labs ziņojums pasaka, ko labot vispirms un kāpēc – lai ierobežotais laiks tiek tērēts svarīgākajam.
-
Atbilstība prasībām
Daudzi noteikumi un standarti (NIS2, ISO 27001) prasa regulāru testēšanu. Tests to apliecina.
-
Pārliecība partneriem
Apliecinājums, ka drošība ir pārbaudīta, stiprina klientu un partneru uzticību.
Veidi
Ko var testēt
Testu vērš uz to, kas uzņēmumam ir svarīgākais. Biežākie mērķi:
-
Ārējais tīkls
Internetā pieejamie pakalpojumi un serveri – tā hokeja virsma, ko redz uzbrucējs.
Piemērs: Neaizlāpīts VPN vai publiski pieejams administrācijas panelis.
-
Web-lietotne
Tīmekļa lietotņu un API vājās vietas (OWASP).
Piemērs: Piekļuves kontroles kļūda vai injekcija klientu portālā.
-
Iekšējais tīkls
Ko uzbrucējs paveiktu, iekļuvis iekšā – kustība tīklā un tiesību paplašināšana.
Piemērs: No vienas darbstacijas līdz domēna administratora tiesībām.
-
Bezvadu tīkls un citi
WiFi, mākoņpakalpojumi, mobilās lietotnes un sociālā inženierija pēc vajadzības.
Piemērs: Vājš WiFi paroles režīms vai nepareizi konfigurēts mākonis.
Kā notiek
Ielaušanās testa soļi
Pārvietojies pa soļiem, lai redzētu, kā tests norit no apjoma līdz ziņojumam.
- 1Apjoms un noteikumi
- 2Izlūkošana
- 3Skenēšana un analīze
- 4Izmantošana
- 5Ziņojums un labošana
Solis 1 / 5
Apjoms un noteikumi
Vienojas, ko testē, kad un ar kādiem noteikumiem. Tas nodrošina drošību un likumību visā testā.
Solis 2 / 5
Izlūkošana
Apzina mērķus, pakalpojumus un hokeja virsmu – informāciju, kas uzbrucējam būtu pieejama.
Solis 3 / 5
Skenēšana un analīze
Identificē ievainojamības un vājās vietas ar automātiskiem rīkiem un manuālu analīzi.
Solis 4 / 5
Izmantošana
Kontrolēti pierāda, ko ar vājajām vietām reāli var izdarīt – un cik tālu var tikt.
Solis 5 / 5
Ziņojums un labošana
Atradumus sakārto pēc svarīguma un sniedz konkrētus labošanas norādījumus; pēc labojumiem veic atkārtotu testu.
Draudi skaitļos
Kāpēc testēšana atmaksājas
Uzbrukumi ir bieži un dārgi – un bieži vēršas tieši uz tām vājajām vietām, ko tests atrastu.
Katram rādītājam pievienota atsauce uz oriģinālo avotu.
Uzņēmumiem
Regulāra testēšana kļūst par pienākumu
Ja uzņēmums ietilpst NIS2 tvērumā, riska pārvaldība un drošības testēšana ir juridisks pienākums, par ko atbild vadība.
NIS2 prasa būtiskiem un svarīgiem subjektiem riska pārvaldības pasākumus, tostarp informācijas sistēmu drošības novērtēšanu un testēšanu, un vadība ir atbildīga par to uzraudzību. Latvijā prasības ievieš Nacionālās kiberdrošības likums.
-
Testē regulāri
Vienreizējs tests ātri noveco. Regulāra testēšana seko līdzi mainīgajai hokeja virsmai un jaunām ievainojamībām.
-
Vērs uz svarīgāko
Nosaki uzņēmumam kritiskās sistēmas un testē tās vispirms.
-
Labo un pārtestē
Atradumu vērtība rodas, tos izlabojot. Atkārtots tests apstiprina, ka labojumi darbojas.
-
Neatkarīgs testētājs
Ārējs, kvalificēts testētājs pamana aklās zonas, ko sava komanda neredz.
Ceļveži
Padziļini zināšanas
Praktiski ceļveži par ielaušanās testēšanu un sagatavošanos tai.
-
Kas ir ielaušanās tests? Veidi un ieguvumi
Ielaušanās tests ir atļauts uzbrukums savām sistēmām. Kā tas atšķiras no skenēšanas un kādi ir veidi.
Lasīt ceļvedi -
Melnā, pelēkā un baltā kaste: testēšanas veidi
Cik daudz informācijas saņem testētājs, ietekmē testa realitāti un kopumu. Trīs pieejas.
Lasīt ceļvedi -
Kā sagatavoties ielaušanās testam
Laba sagatavošanās padara testu noderīgāku. Kā noteikt mērķus, apjomu un noteikumus.
Lasīt ceļvedi
Biežāk uzdotie jautājumi
Īsas, skaidras atbildes
Kas ir ielaušanās tests?
Atļauts un kontrolēts uzbrukums savām sistēmām, kurā speciālists meklē un izmanto vājās vietas kā īsts uzbrucējs – bet par atradumiem un to labošanu ziņo tev.
Kāda atšķirība starp skenēšanu un ielaušanās testu?
Skenēšana ir automātiska un uzrāda iespējamo vājo vietu sarakstu. Testu veic cilvēks, un tas pierāda, kuras vājās vietas ir reāli izmantojamas, kā arī atrod loģikas kļūdas, ko rīks nepamana.
Cik bieži veikt ielaušanās testu?
Parasti vismaz reizi gadā un pēc būtiskām izmaiņām. Hokeja virsma un ievainojamības mainās, tāpēc regulārums ir svarīgāks par vienreizēju testu.
Kas ir melnās, pelēkās un baltās kastes tests?
Tie norāda, cik daudz informācijas testētājs saņem iepriekš. Melnā kaste – nekādas (visreālistiskākā), baltā – pilna informācija un kods (visaptverošākā), pelēkā – kaut kas pa vidu (biežākā un līdzsvarotākā).
Vai testēšana ir droša ražošanas sistēmām?
Profesionāli veikta – jā. Apjomu un noteikumus saskaņo iepriekš, un testētājs strādā kontrolēti, lai mazinātu risku.
Kas notiek pēc testa?
Saņem ziņojumu ar atradumiem, kas sakārtoti pēc svarīguma, un labošanas norādījumiem. Pēc labojumiem bieži veic atkārtotu testu, kas apstiprina, ka vājās vietas ir novērstas.
Vai NIS2 prasa ielaušanās testēšanu?
NIS2 prasa riska pārvaldību un drošības novērtēšanu un testēšanu pēc vajadzības. Ielaušanās testēšana ir izplatīts un mērāms veids, kā šo pienākumu izpildīt.