Penetrační test externího perimetru

Penetrační test externího perimetru simuluje útok na Vaše vnitřní systémy z vnějšího prostředí. Konzultant simuluje potenciálního útočníka (hackera), který se snaží překonat Váš vnější perimetr z internetu.

Přínosy

Penetrační test externího perimetru Vám umožní získat náhled na to, jak Vaši síť vidí vnější útočníci, a získat tak náskok při obraně proti nim.

Veškeré služby a zařízení dostupné v internetu jsou v dnešní době pod neustálými automatizovanými skeny a útoky. Je běžné, že po objevení zranitelnosti ji během pár dní útočné skupiny hromadně exploitují napříč celým internetem. I v případě cíleného útoku je vnější perimetr stále jednou z prvních zkoumaných oblastí.

Typickým cílem externího testu jsou všechna Vaše externě dostupná zařízení, jako např. webové servery, poštovní servery, firewally, VPN a další síťová zařízení.

Tento test doporučujeme jako vhodný první test při budování kyberbezpečnostních kapacit i jako pravidelnou aktivitu pro ověření případných regresí. Je také vhodnou součástí procesů External attack surface management (EASM).

Průběh testů

Základem testu je definice scope. Běžně bývají předmětem vybrané IP rozsahy nebo doménová jména. Scope je možné vytvořit i pomocí Analýzy veřejných zdrojů (OSINT).

Typický externí penetrační test se provádí v takzvaném režimu nulové znalosti. To znamená, že nám nejsou poskytnuty žádné autentizační údaje (uživatelské jméno, heslo, certifikát, klíč atd.) nebo jiné neveřejné informace.

Za těchto podmínek probíhají například následující testy:

• Test je zahájen síťovými skeny pro odhalení dostupných serverů a služeb.

• Následuje identifikace dostupných služeb (fingerprinting), analýza použitého serverového software, vytvoření seznamu používaných technologií.

• Všechna identifikovaná zařízení, služby i technologie jsou testovány na známé bezpečnostní nedostatky a zranitelnosti pomocí automatizovaných nástrojů (např. vulnerability skenery, skenery webových aplikací a další specializované nástroje).

• Webové stránky, které se nacházejí v IP rozsazích externího penetračního testu, jsou podrobeny pouze základnímu hodnocení bezpečnosti; detailní bezpečnostní kontrolu webových aplikací (založené na metodice OWASP) nabízí Penetrační test webové aplikace.

• Na základě odborných zkušeností penetračních testerů jsou vytipovány specifické služby pro manuální hledání nedostatků a zranitelností.

• Všechna zjištění z předchozích kroků jsou ověřena manuálními testy, false-positives jsou eliminovány, opravdové nedostatky jsou zdokumentovány a pokud je to možné, snažíme se demonstrovat jejich zneužitelnost.

Naše interní metodika vychází ze standardu NIST 800-115 (2008) a metodiky OSSTMM (2010), ale soustředí se zejména na moderní poznatky, trendy a best practices v oblasti testování kybernetické bezpečnosti.

Všechny závěry spolu s navrhovanými doporučeními jsou uvedeny v závěrečné zprávě.

Další typy testů

Tento test je možné kombinovat s dalšími podpůrnými nebo navazujícími testy:

• Analýza veřejných zdrojů (OSINT) umožňuje vytvořit seznam cílů na základě hloubkového průzkumu Vašeho externího perimetru. Oproti předem vytyčenému scope často odhalí i služby, o jejichž existenci bezpečnostní oddělení vůbec neví (shadow IT).

• Je vhodné provádět penetrační testy webových aplikací a API na všech externě dostupných webových aplikacích a službách, které test externího perimetru identifikuje.

• Penetrační test interní infrastruktury má podobné cíle, přínosy i průběh, avšak analyzuje zabezpečení uvnitř Vašeho perimetru.

Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.

Závěrečná zpráva

Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a doporučení ke snížení rizika. Zprávu předáváme bezpečně ve formátech MS Word a PDF a výsledky lze prezentovat formou manažerské prezentace nebo technického workshopu.

Tento typ testu bývá také nazýván externí penetrační test nebo penetrační test externí infrastruktury.