Internet, systemy, aplikacje nieustannie się rozwijają, tak samo jak sposoby hakerów na atakowanie systemów informatycznych. Całe szczęście, sposoby na sprawdzanie, weryfikowanie systemów zabezpieczeń również idą do przodu. W poniższym artykule dowiecie się o jednym z nich – testach penetracyjnych, tzn. pentestach!

Pentesty – czym są?

Testy penetracyjne to sposób na ochronę przed atakiem na systemy informatyczne. Testowanie oprogramowanie w tym przypadku polega na symulacji ataku hakerskiego. Grupa specjalistów przyjmuje zlecenie zaatakowania aplikacji w celu znalezienia dziur w zabezpieczeniach.

Testy penetracyjne – czy warto, kto powinien je zlecać?

Jeśli zamieszcza się w internecie swój produkt, aplikacje, tworzysz sklep internetowy – warto pomyśleć nad pentestami. Z powodu prawdziwych ataków hakerów można stracić wiele; pieniądze, wrażliwe dane pracowników lub klientów, a nawet panowanie nad stroną lub aplikacją a przede wszystkim reputację. Właśnie dlatego etyczne ataki hakerskie są mądrym posunięciem. Testy penetracyjne sprawdzają takie rzeczy jak:

• Dziury w zabezpieczeniach
• Niewłaściwa konfiguracja
• Podatności oprogramowania do niepożądanych zachowań
• Świadomość użytkowników systemu

Komu warto zlecać testy penetracyjne? Na rynku istnieje wiele firm, które oferują przeprowadzenie testów penetracyjnych. Należy zastanowić się jedynie, czym kierować się podczas wyboru jednej z nich. Proponuję, aby sugerować się przede wszystkim ich doświadczeniem i opiniami. Najlepiej zapytać jednego z ich byłych klientów, jeśli istnieje taka opcja. Dodatkowo, im bardziej obca, niezależna dla nas jest firma wykonująca pentest, tym lepiej. Ważne jest, aby etyczny haker w jak najmniejszym stopniu znał atakowane przez niego środowisko. W ten sposób zapewnimy sobie odpowiedni poziom niezależności i w najbardziej realistyczny sposób odwzorujemy prawdziwy atak – w końcu należy założyć, że potencjalny atak zostanie wykonany z zewnątrz.

Jak często wykonywać testy penetracyjne?

Zależy kogo zapytać. Jeśli firmy, która wykonuje pentesty: powie że jak najczęściej. Inny specjalista od cyberbezpieczeństwa poda frazę „raz na rok”. Nie da się powiedzieć, jak często powinno się zlecać testy penetracyjne, jednak raz na rok to faktyczne minimum. Poza cyklicznymi testami warto zastanowić się nad ich zleceniem podczas wprowadzania większych zmian w infrastrukturze IT. Należy pamiętać,  że testy bezpieczeństwa powinny być nieinwazyjnie tzn. nie powinny pozostawiać po sobie żadnych zmian w systemie i żadnych śladów. Pentesty powinny być dla systemu transparentne. Z tego powodu można wykonywać te testy częściej niż „raz na rok”. Lepiej przeprowadzić je kilka razy za dużo, niż raz za mało!

Ile kosztują testy bezpieczeństwa?

Podobnie jak z częstotliwością audytów, tak samo jest z ich ceną – nie da się jej jednoznacznie określić. Wszystko zależy od co najmniej kilku czynników. Pokrótce je sobie wymienimy. Po pierwsze, cena wzrasta adekwatnie do renomy i doświadczenia firmy wykonującej testy – wraz z jakością wykonywanych prac wzrasta ich cena.

Drugim czynnikiem, który odgrywa ważną rolę w wycenie prac jest ich rozmach, za większą ilość IP cena wzrasta nawet o kilka tysięcy.

Podajmy jednak jakiekolwiek liczby – za naprawdę rozbudowany i profesjonalnie wykonany test bezpieczeństwa przyjdzie zapłacić nawet 15000 zł.

Dla wielu mniejszych firm taki wydatek będzie po prostu niemożliwy. W takim wypadku można samodzielnie wykonać testy bezpieczeństwa. Jednak na samym początku trzeba wiedzieć, że testowanie oprogramowania będzie mniej wiarygodne od takiego, które jest przeprowadzane przez firmę zewnętrzną, z racji na znajomość systemu i zabezpieczeń systemu IT.

Ci, którzy chcą testować oprogramowanie na własną rękę szybko znajdą odpowiednie narzędzia w Internecie. Niektóre są darmowe, inne płatne, jednak nadal tańsze od zlecenia takiej usługi firmie zewnętrznej. Kilka z nich to:

• Metasplit
• Wireshark
• ZAP
• OSINT

W razie potrzeby, większą listę przydatnych narzędzi znajdziecie tutaj.

Dodatkowo, w sieci znajduje się wiele kursów testowania oprogramowania. Na wielu z nich można uzyskać certyfikat specjalisty ds. bezpieczeństwa systemów informatycznych. Szkolenie testowania systemów informatycznych trwa zwykle kilka tygodni, ale zdarzają się i kilkumiesięczne. Jeśli chodzi o koszt takiego kursu, ceny zaczynają się od 8000 zł.

Rodzaje testów penetracyjnych

Na koniec – w celu głębszego poznania tematu przedstawimy rodzaje testów bezpieczeństwa.

Pentesty wyróżnia się ze względu na stopień znajomości i dostępności badanego oprogramowania:

• Black Box penetration test (test czarnej skrzynki) – w tym rodzaju testu atakujący nic nie wie o badanym obszarze. W ten sposób symuluje się ataki zewnętrzne. Dodatkowo atakujący nie ma żadnych uprawnień do infrastruktury.
• White Box penetration test (test białej skrzynki) – Osoba atakująca ma pełen dostęp do uprawnień infrastruktury, wie wszystko o badanym obszarze. Wykorzystuje się go zwykle w celu symulacji ataku wewnętrznego.
• Grey Box penetration test (test szarej skrzynki) – Wykonujący testy  człowiek ma częściowe pojęcie o badanym obszarze. Ten typ testu stanowi połączenie dwóch pierwszych.