Penetračné testovanie je útok vedený vo váš prospech: odborníci cielene hľadajú slabiny skôr, než ich nájde skutočný útočník. Rozdiel medzi hackom a pentestom leží v objednávke a súhlase, no cieľ je rovnaký – odhaliť a odstrániť zraniteľnosti. Vysvetľuje to Peter D., viceprezident ESET-u, ktorý priblížil, prečo sa vývojárska firma pustila do komplexnej bezpečnosti a čo si z testov firmy odnášajú.
Od produktov k službám: prečo ESET testuje
Približne pred pätnástimi rokmi si v ESET-e uvedomili, že hoci vyvíjajú bezpečnostné produkty, ich vlastná interná bezpečnosť si žiada systematickú pozornosť. Padlo rozhodnutie súbežne posilniť ochranu vlastnej infraštruktúry a vybudovať portfólio služieb pre zákazníkov. Vnútorný „obuvníkov deti“ moment tak odštartoval bezpečnostné testovanie aj pre vlastné produkty a prostredie.
Služby nie sú hlavnou produktovou líniou firmy, no majú solídne referencie a skúsenosti. Primárnym trhom je Slovensko a Česko, postupne však testy dodávajú aj do krajín EÚ a mimo nej. Spolupracujú tiež s miestnymi partnermi, ktorí preberajú časť zodpovednosti za kvalitu a renomé značky.
Pentest nie je hack: systematická kontrola slabín
Bezpečnostné testovanie je širší pojem než penetračné testovanie: nejde len o „prvý ľahký úlovok“, ale o systematické hľadanie zraniteľností a pokusy o ich preukázateľné zneužitie. Kým hacker siaha po „najnižšom ovocí“, tester má mapovať celé spektrum miest, kde sa slabiny môžu skrývať. Patrí sem infraštruktúra, interné aj externé aplikácie a, napokon, aj samotní zamestnanci.
Sociálne inžinierstvo ukazuje, že človek býva najslabším článkom. Testy preto simulujú reálne situácie – od podvodných e-mailov až po snahu presadiť škodlivý kód. Zmyslom nie je iba preukázať prienik, ale aj vyvolať diskusiu a zvyšovať povedomie: nič nie je účinnejšie než rozhovory pri „kuchynke“ o tom, ako test dopadol.
Príbehy z praxe a čo nasleduje po reporte
Kuriózny prípad prišiel od organizácie, ktorá potrebovala obhájiť drahú výmenu operačného systému už dávno mimo podpory. Úlohou tímu bolo preukázať, že aj pri existujúcich opatreniach je nepatchovaný systém rizikom, ktoré nemožno ďalej ignorovať. Pri sociálnom inžinierstve sa zasa stáva, že zamestnanci sami „pomáhajú“ rozšíriť testovací kód a dokonca žiadajú jeho inštaláciu u kolegov, čo verne kopíruje reálne útoky.
Správy z pentestu zvyčajne dostáva manažér zodpovedný za bezpečnosť, vývojári a prevádzka; predstavenstvá sa o technické detaily často nezaujímajú. Vývojári bývajú spočiatku skeptickí, no po vysvetlení nálezov patria k najvďačnejším – chyby rýchlo opravujú a zapracujú ponaučenia do kódu. Ak sú výsledky slabé, nasleduje cielené vzdelávanie: od zásad bezpečného vývoja až po e-learning pre bežných zamestnancov. Najlepšia prax je naviazať školenie hneď po teste – vtedy je motivácia aj pamäť na incidenty najsilnejšia.
