Internetinės svetainės pažeidžiamumų vertinimas (pentest)
Įsilaužimų testavimas
Įsilaužimų testavimas arba skverbimosi testavimas (angl. penetration testing arba pentest) – tai praktinė kibernetinio saugumo paslauga, kuri padeda atrasti ir pašalinti organizacijos IT infrastruktūroje esančias saugumo spragas. Testavimo metu etiniai įsilaužėliai (angl. ethical hackers) simuliuoja realias kibernetines atakas. Simuliacijų metu naudojami tiktai saugūs įsilaužimo metodai, kurie nekenkia paslaugos užsakovo IT infrastruktūrai.
Kaip atliekamas įsilaužimų testavimas?
Pentest procesą sudaro keli žingsniai:
1
Planavimas ir žvalgyba (angl. Reconnaissance):
ieškoma kuo daugiau informacijos apie tikslinę sistemą viešuosiuose šaltiniuose internete (pasyvi žvalgyba) bei, sąveikaujant su sistema, bandoma identifikuoti naudojamas paslaugas, atrasti atvirus prievadus (aktyvi žvalgyba).
2
Pažeidžiamumų analizė (angl. Scanning):
naudojant automatizuotus įrankius yra ieškoma neapsaugotų atvirų prievadų, pasenusių programinės įrangos komponentų bei netinkamai sukonfigūruotų paslaugų.
3
Spragų išnaudojimas (angl. Exploitation):
bandoma įsilaužti į sistemą, išgauti jautrius duomenis, gauti sistemos kontrolę. Kai kuriais atvejais, iš anksto suderinus su paslaugos užsakovu, galima atlikti smulkius žalingus veiksmus, norint ištestuoti apsaugos sistemų veikimą.
4
Prieigos išlaikymas (angl. Maintaining Access):
po įsilaužimo bandoma kuo ilgiau išlaikyti prieigos kontrolę, diegiant papildomą programinę įrangą, sukuriant naujus prisijungimo duomenis. Dažniausiai šis žingsnis yra praleidžiamas, kadangi po spragų išnaudojimo iš karto yra pateikiama rezultatų ataskaita.
5
Ataskaita ir rezultatų pateikimas (angl. Reporting):
pateikiami aptikti pažeidžiamumai, kurie yra suskirstomi į skirtingo kritiškumo lygio grupes. Taip pat pridedamos rekomendacijos kaip tuos pažeidžiamumus reikia ištaisyti (angl. Remediation plan).
6
Prireikus, po pažeidžiamumų pašalinimo gali būti atliekamas pakartotinas testavimas, kurio rezultatai yra sulyginami su praeito testavimo rezultatais. Tada yra pateikiama palyginamoji ataskaita.
Kam yra aktuali Įsilaužimų testavimo paslauga?
Įsilaužimų testavimas yra puiki kibernetinių atakų prevencinė priemonė. Taip pat šis procesas yra būtinas organizacijoms, kurios nori arba privalo atitikti tam tikrus kibernetinio saugumo kriterijus, pvz. ISO 27001 standartas, Lietuvos Respublikos kibernetinio saugumo įstatymas (grindžiamas NIS2 / TIS2 direktyva), Bendrasis duomenų apsaugos reglamentas (angl. GDPR).
Jeigu Jus esate esminis arba svarbus LR subjektas, susisiekite su mumis ir mes padėsime Jums atitikti kibernetinio saugumo įstatymą. Bet kurioms kitoms organizacijoms siūlome susisiekti su mumis ir išbandyti būtent Jūsų veiklos sričiai pritaikytą įsilaužimų testavimo scenarijų.
