ielaušanāstests

Ofensīvā drošība

Ielaušanās tests – atrodi vājās vietas pirms uzbrucēja

Ielaušanās tests ir kontrolēts, atļauts uzbrukums tavām sistēmām. Speciālists atrod reālās vājās vietas un parāda, kā tās novērst, pirms tās izmanto kāds cits.

  • Balstīts Verizon DBIR un IBM datos
  • Neatkarīgs un neitrāls
  • Praktiski padomi

Kas ir ielaušanās tests

Kontrolēts uzbrukums, kas atklāj reālās vājās vietas

Ielaušanās testā speciālists atļauti un droši uzbrūk tavām sistēmām kā īsts uzbrucējs – bet par atradumiem ziņo tev.

Ielaušanās tests (penetrācijas tests, angļu val. penetration testing) ir metode, kurā apmācīts speciālists atļauti un kontrolēti meklē un izmanto sistēmu, lietotņu un tīklu vājās vietas. Mērķis – parādīt, kā uzbrucējs iekļūtu, un kā to novērst.

Atšķirībā no automātiskas ievainojamību skenēšanas, ielaušanās tests pierāda, kuras vājās vietas ir reāli izmantojamas. Tas atšķir teorētiskus riskus no tiem, ar kuriem uzbrucējs tiešām piekļūtu datiem.

Rezultāts ir skaidrs ziņojums: kas atrasts, cik tas bīstams un kā to novērst – sakārtots pēc reālā riska.

Kāpēc testēt

Ko dod ielaušanās tests

Pieci ieguvumi, ko tehniskā aizsardzība vien nesniedz.

  • Reālās vājās vietas

    Tests atklāj tiešām izmantojamas vājās vietas, nevis tikai teorētisku sarakstu. Redzi, kur uzbrucējs tiešām iekļūtu.

  • Vairāk nekā skenēšana

    Cilvēks savieno vairākas vājās vietas un atrod loģikas kļūdas, ko rīks neatpazīst.

  • Skaidras prioritātes

    Labs ziņojums pasaka, ko labot vispirms un kāpēc – lai ierobežotais laiks tiek tērēts svarīgākajam.

  • Atbilstība prasībām

    Daudzi noteikumi un standarti (NIS2, ISO 27001) prasa regulāru testēšanu. Tests to apliecina.

  • Pārliecība partneriem

    Apliecinājums, ka drošība ir pārbaudīta, stiprina klientu un partneru uzticību.

Veidi

Ko var testēt

Testu vērš uz to, kas uzņēmumam ir svarīgākais. Biežākie mērķi:

  • Ārējais tīkls

    Internetā pieejamie pakalpojumi un serveri – tā hokeja virsma, ko redz uzbrucējs.

    Piemērs: Neaizlāpīts VPN vai publiski pieejams administrācijas panelis.

  • Web-lietotne

    Tīmekļa lietotņu un API vājās vietas (OWASP).

    Piemērs: Piekļuves kontroles kļūda vai injekcija klientu portālā.

  • Iekšējais tīkls

    Ko uzbrucējs paveiktu, iekļuvis iekšā – kustība tīklā un tiesību paplašināšana.

    Piemērs: No vienas darbstacijas līdz domēna administratora tiesībām.

  • Bezvadu tīkls un citi

    WiFi, mākoņpakalpojumi, mobilās lietotnes un sociālā inženierija pēc vajadzības.

    Piemērs: Vājš WiFi paroles režīms vai nepareizi konfigurēts mākonis.

Kā notiek

Ielaušanās testa soļi

Pārvietojies pa soļiem, lai redzētu, kā tests norit no apjoma līdz ziņojumam.

  1. 1Apjoms un noteikumi
  2. 2Izlūkošana
  3. 3Skenēšana un analīze
  4. 4Izmantošana
  5. 5Ziņojums un labošana

Solis 1 / 5

Apjoms un noteikumi

Vienojas, ko testē, kad un ar kādiem noteikumiem. Tas nodrošina drošību un likumību visā testā.

Pieteikt testu ar OffSeq

Draudi skaitļos

Kāpēc testēšana atmaksājas

Uzbrukumi ir bieži un dārgi – un bieži vēršas tieši uz tām vājajām vietām, ko tests atrastu.

68 %
pārkāpumu ietver cilvēcisko faktoru – tieši to atklāj testēšana un apmācība.
Avots: Verizon DBIR, 2024
40 000+
jaunu ievainojamību (CVE) publicēts 2024. gadā – vairāk, nekā jebkura komanda paspēj izlabot.
Avots: CVE.org, 2024
258 dienas
vidēji vajadzīgas, lai atklātu un ierobežotu datu pārkāpumu – laiku tests var saīsināt, atrodot vājās vietas.
Avots: IBM Cost of a Data Breach, 2024
4,88 milj. $
vidējā datu pārkāpuma cena pasaulē 2024. gadā – profilakses ieguvums ir liels.
Avots: IBM Cost of a Data Breach, 2024

Katram rādītājam pievienota atsauce uz oriģinālo avotu.

Uzņēmumiem

Regulāra testēšana kļūst par pienākumu

Ja uzņēmums ietilpst NIS2 tvērumā, riska pārvaldība un drošības testēšana ir juridisks pienākums, par ko atbild vadība.

NIS2 prasa būtiskiem un svarīgiem subjektiem riska pārvaldības pasākumus, tostarp informācijas sistēmu drošības novērtēšanu un testēšanu, un vadība ir atbildīga par to uzraudzību. Latvijā prasības ievieš Nacionālās kiberdrošības likums.
Nacionālās kiberdrošības likums · likumi.lv
  • Testē regulāri

    Vienreizējs tests ātri noveco. Regulāra testēšana seko līdzi mainīgajai hokeja virsmai un jaunām ievainojamībām.

  • Vērs uz svarīgāko

    Nosaki uzņēmumam kritiskās sistēmas un testē tās vispirms.

  • Labo un pārtestē

    Atradumu vērtība rodas, tos izlabojot. Atkārtots tests apstiprina, ka labojumi darbojas.

  • Neatkarīgs testētājs

    Ārējs, kvalificēts testētājs pamana aklās zonas, ko sava komanda neredz.

Biežāk uzdotie jautājumi

Īsas, skaidras atbildes

Kas ir ielaušanās tests?

Atļauts un kontrolēts uzbrukums savām sistēmām, kurā speciālists meklē un izmanto vājās vietas kā īsts uzbrucējs – bet par atradumiem un to labošanu ziņo tev.

Kāda atšķirība starp skenēšanu un ielaušanās testu?

Skenēšana ir automātiska un uzrāda iespējamo vājo vietu sarakstu. Testu veic cilvēks, un tas pierāda, kuras vājās vietas ir reāli izmantojamas, kā arī atrod loģikas kļūdas, ko rīks nepamana.

Cik bieži veikt ielaušanās testu?

Parasti vismaz reizi gadā un pēc būtiskām izmaiņām. Hokeja virsma un ievainojamības mainās, tāpēc regulārums ir svarīgāks par vienreizēju testu.

Kas ir melnās, pelēkās un baltās kastes tests?

Tie norāda, cik daudz informācijas testētājs saņem iepriekš. Melnā kaste – nekādas (visreālistiskākā), baltā – pilna informācija un kods (visaptverošākā), pelēkā – kaut kas pa vidu (biežākā un līdzsvarotākā).

Vai testēšana ir droša ražošanas sistēmām?

Profesionāli veikta – jā. Apjomu un noteikumus saskaņo iepriekš, un testētājs strādā kontrolēti, lai mazinātu risku.

Kas notiek pēc testa?

Saņem ziņojumu ar atradumiem, kas sakārtoti pēc svarīguma, un labošanas norādījumiem. Pēc labojumiem bieži veic atkārtotu testu, kas apstiprina, ka vājās vietas ir novērstas.

Vai NIS2 prasa ielaušanās testēšanu?

NIS2 prasa riska pārvaldību un drošības novērtēšanu un testēšanu pēc vajadzības. Ielaušanās testēšana ir izplatīts un mērāms veids, kā šo pienākumu izpildīt.