Penetrační test koncových zařízení a VDI

Penetrační test koncových zařízení a VDI (virtual desktop infrastructure) ověřuje celkovou míru zabezpečení systémů, na kterých vykonávají vaši zaměstnanci i externisté většinu každodenní práce. Specialisté tak simulují zejména útoky s právy běžného uživatele, ať už úmyslně škodícího či oběť malware. U fyzických stanic je ověřována i jejich odolnost v případě fyzické krádeže.

Přínosy

Běžná práce zaměstnanců nevyhnutelně zahrnuje zpracovávání dokumentů od třetích stran a navštěvování neznámých webů. Narozdíl od serverů a další infrastruktury, kde je možné dostupnou funkcionalitu omezit na minimum, koncové stanice a VDI musí být pro tyto činnosti použitelné. Představují tak první linii obrany před útokem malware na vaše interní systémy.

Úspěšný útok na stanici, ať už se jedná o deaktivaci bezpečnostních agentů nebo eskalaci oprávnění, bývá často jedním z prvních kroků útočníků. Základem zabezpečení jsou precizně nastavené bezpečnostní politiky. I v případě správné konfigurace ze strany organizace však mohou aplikace třetích stran, ať už předinstalované nebo nabízené skrze Centrum softwaru (SCCM) a Portál společnosti (Intune), obsahovat zranitelné komponenty a ohrozit tak bezpečnost koncového zařízení nebo VDI.

Obzvláště kritická jsou VDI, která jsou sdílená pro více uživatelů. Úspěšný útok totiž často umožní ovládnutí všech uživatelů, kteří jsou aktuálně přihlášení na stejném stroji jako útočník.

Koncové stanice bývají součástí komplexních prostředí (zejména domén Active Directory nebo Entra ID), pro úplné posouzení jejich zabezpečení je tak vhodné analyzovat i tato prostředí. Proto test doporučujeme zejména jako doplněk či jednu z fází Penetračního testu – interní útočník.

Průběh testů

Pro účely testu dostaneme falešnou identitu zaměstnance, která by měla co nejvíce odpovídat běžným přístupům: účet v doméně MS Windows, e-mailový účet atd. Tato identita bude využita pro přístup ke koncové stanici (standardní firemní laptop / desktop), případně k VDI.

Za těchto podmínek probíhají například následující testy:

• Průzkum instalovaných bezpečnostních agentů (AV, EDR, XDR) a pokusy o jejich obejití, deaktivaci či vytvoření výjimek.

• Analýza nasazených bezpečnostních konfiguračních politik (AppLocker, WDAC, zakázané funkcionality, Point and Print práva).

• Prověření dopadů dostupného klientského software třetích stran na zabezpečení koncového zařízení.

• U fyzických zařízení testy zabezpečení dat na disku (FDE, BitLocker, TPM/PIN).

• Testování variant tunelování síťového provozu do vnitřní sítě a exfiltrace dat.

• Pokusy o eskalaci oprávnění pomocí zjištěných nedostatků a ovládnutí koncového zařízení/VDI.

• Útoky na ostatní uživatele sdílených VDI.

• Testy VDI kompoment (Citrix NetScaler, StoreFront, VMware/Omnissa Horizon, Workspace ONE) a virtualizovaných aplikací.

Všechny závěry spolu s navrhovanými doporučeními jsou uvedeny v závěrečné zprávě.

Další typy testů

Penetrační test – interní útočník se věnuje systematickému odhalování a zneužívání nedostatků v interním prostředí. Analýza zabezpečení koncové stanice je tedy jeho běžnou součástí. Samotnému zařízení bývá sice věnováno méně pozornosti, avšak může být hodnoceno v kontextu celého prostředí a domény.

Red Teaming se zaměřuje na důslednější simulaci celého procesu útoku a zároveň cíleně testuje i detekční schopnosti a procesy testované organizace. Útoky na koncovou stanici mohou být jedním z testovaných scénářů.

Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.

Závěrečná zpráva

Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a doporučení ke snížení rizika. Zprávu předáváme bezpečně ve formátech MS Word a PDF a výsledky lze prezentovat formou manažerské prezentace nebo technického workshopu.