Atlikus įsi­lau­žimo testus (dažnai vadinamus „pen testais“) galima įvertinti tikimybę, kad jūsų tinklas, įskaitant atskiras tinklo sistemas ir konk­re­čias programas, gali tapti atakos taikiniu. Su­ži­no­ki­te, kaip atliekami tokie testai ir ką jie reiškia jau vei­kian­čiam tinklui.

Kas yra įsi­lau­žimo te­sta­vi­mas?

IT sek­to­riu­je įsi­lau­žimo testas – tai planinis bet kokio dydžio tinklo ar atskirų kom­piu­te­rių ataka, kurios tikslas – nustatyti pa­žei­džia­mu­mą. Šiam tikslui pasiekti naudojami įvairūs įrankiai, kuriais imi­tuo­ja­mi skirtingi atakos sce­na­ri­jai, pagrįsti įprastais atakos metodais. Įprasti objektai, kuriems at­lie­ka­mas įsi­lau­žimo testas, yra:

  • Tinklo jun­gia­mo­sios priemonės, pvz., marš­ru­ti­za­to­riai, ko­mu­ta­to­riai ir šliuzai
  • Saugumo šliuzai, pvz., prog­ra­mi­nės ir apa­ra­ti­nės ug­nia­sie­nės, paketų filtrai, virusų skeneriai, apkrovos ba­lan­sa­vi­mo įren­gi­niai, IDS ir IPS ir pan.
  • Serveriai, pvz., ži­nia­tink­lio serveriai, duomenų bazių serveriai, failų serveriai ir kt.
  • Te­le­ko­mu­ni­ka­ci­jų sistemos
  • Visų tipų ži­nia­tink­lio programos
  • Inf­rastruk­tū­ros įren­gi­niai, pvz., prieigos kontrolės me­cha­niz­mai
  • Sistemos dalį su­da­ran­tysbe­lai­džiai tinklai, pvz., „WiFi“ ar „Bluetooth“

Te­sta­vi­mas paprastai skirs­to­mas į „juodosios dėžės“, „baltosios dėžės“ ir „pilkosios dėžės“ testavimą: atliekant „juodosios dėžės“ testavimą, įsi­lau­žimo te­stuo­to­jams su­tei­kia­ma tik in­for­ma­ci­ja apie tikslinio tinklo ar sistemos adresą. Atliekant „baltosios dėžės“ testavimą, te­stuo­to­jai turi išsamių žinių apie sistemas, kurias ketina testuoti. Be IP adreso, jie taip pat gauna in­for­ma­ci­ją apie nau­do­ja­mus prog­ra­mi­nės ir apa­ra­ti­nės įrangos kom­po­nen­tus. „Pilkosios dėžės“ te­sta­vi­mas, kuris yra la­biau­siai paplitusi įsi­lau­žimo testavimo forma, apjungia „juodosios dėžės“ ir „baltosios dėžės“ testavimo metodus. Pa­tei­kia­ma pag­rin­di­nė in­for­ma­ci­ja apie IT inf­rastruk­tū­rą, pa­vyz­džiui, kam nau­do­ja­mos sistemos ir kokia jų bendra sandara.

Ko man reikia norint atlikti įsi­lau­žimo testą?

Kaip sukurti in­di­vi­dua­lų įsi­lau­žimo testą savo tinklui? Toliau pa­tei­kia­ma svar­biau­sia in­for­ma­ci­ja apie tai, ką reikia at­si­žvelg­ti atliekant įsi­lau­žimo testą.

Kaip pa­si­ruoš­ti įsi­lau­žimo testui?

Norint sėkmingai atlikti įsi­lau­žimo testą, svarbu pir­miau­sia parengti aiškų planą. Nu­sta­ty­ki­te, kokie kom­po­nen­tai turi būti išbandyti, ar turite visus reikiamus įrankius, taip pat kiekvieno atskiro testo trukmę bei bendrą tinklo įver­ti­ni­mo lai­ko­tar­pį.

Pa­si­ren­gi­mo etapas tampa dar svar­bes­nis, jei samdote išorinius te­stuo­to­jus ir ketinate taikyti „baltosios dėžės“ testavimo metodą. Jei nu­spren­dė­te naudoti šį metodą, testavimo komandai turėsite pateikti visą in­for­ma­ci­ją apie savo tinklą ir jo sistemas, taip pat turimą sistemos do­ku­men­ta­ci­ją. „Juodosios dėžės“ testavimo atveju procesas skiriasi. Taikant šį metodą, turėsite nurodyti tik tų kom­po­nen­tų, kuriuos reikia išbandyti, tiks­li­nius adresus.

Note

Pe­ne­t­ra­ci­jos te­stuo­to­jai turėtų turėti žinių pag­rin­di­nė­se tech­ni­nė­se srityse, tokiose kaip sistemų ad­mi­nist­ra­vi­mas, tinklo pro­to­ko­lai, prog­ra­ma­vi­mo kalbos, IT saugumo produktai, taikomųjų programų sistemos ir tinklo kom­po­nen­tai.

Kokie yra geriausi įsi­lau­žimo testavimo įrankiai?

Kadangi yra tiek daug įvairių atakų rūšių, protinga turėti daug įvairių įrankių, skirtų įsi­lau­žimo te­sta­vi­mui. Kai kurie iš svar­biau­sių jų yra:

  • Prievadų skeneriai: prievadų skeneriai naudoja spe­cia­li­zuo­tas priemones, kad nustatytų atvirus sistemos prievadus.
  • Pa­žei­džia­mu­mo skeneriai: pa­žei­džia­mu­mo skeneriai tikrina sistemas, ieškodami esamų saugumo pa­žei­džia­mu­mų, klaidingų kon­fi­gū­ra­ci­jų ir netinkamų slap­ta­žo­džių bei vartotojų politikų.
  • Snif­fe­riai: snifferis nau­do­ja­mas tinklo srautui ana­li­zuo­ti. Kuo stip­res­nis šif­ra­vi­mas, tuo mažiau in­for­ma­ci­jos jis galės surinkti.
  • Paketų ge­ne­ra­to­riai: paketų ge­ne­ra­to­riai yra įrankiai, naudojami tinklo srauto duomenims generuoti arba imituoti. Tai leidžia imituoti tinklo srautą atliekant įsi­lau­žimo testą.
  • Slap­ta­žo­džių lau­žik­liai: įsi­lau­žimo te­stuo­to­jai naudoja slap­ta­žo­džių lau­žik­lius kaip būdą gauti nesaugius slap­ta­žo­džius.

Daugelis iš aukščiau išvardytų įrankių buvo spe­cia­liai sukurti tinklo saugumo testams, todėl yra pri­tai­ky­ti konk­re­čioms testavimo sritims. Nors didžioji dauguma šių programų yra atvirojo kodo, yra ir keletas ko­mer­ci­nių saugumo programų, kurios paprastai yra geriau do­ku­men­tuo­tos ir kurioms teikiama išsami IT pagalba.

Kokie yra įsi­lau­žimo testo etapai?

Pe­ne­t­ra­ci­jos testavimo procedūrą galima su­skirs­ty­ti į šiuos keturis etapus:

Tinklo kon­cep­ci­jos apžvalga

Pra­si­skver­bi­mo testas gali at­skleis­ti ne­ati­ti­ki­mus ar silp­ną­sias vietas tinklo struk­tū­ro­je ar at­ski­ruo­se kom­po­nen­tuo­se dar pa­ren­gia­ma­ja­me etape. Pa­vyz­džiui, jei kelioms prog­ra­moms pri­skir­tos skir­tin­gos prieigos grupės, tai gali greitai sukelti sunkumų ir kelti grėsmę visam tinklui, net jei pats tinklas ir atskiros jame vei­kian­čios programos yra tinkamai ap­sau­go­tos. Kai kuriuos iš šių atvejų galima išspręsti jau per pirmines derybas, o kiti gali būti pa­tvir­tin­ti tik atlikus praktinį testą.

Testų saugumo stip­ri­ni­mo priemonės

Saugaus įmonės tinklo pagrindas – už­tik­rin­ti, kad tinkle nau­do­ja­mos sistemos būtų kuo saugesnės. Atliekant įsi­lau­žimo testą, svarbu pa­tik­rin­ti jau taikomas apsaugos priemones. Tai apima įdiegtos prog­ra­mi­nės įrangos, pvz., ope­ra­ci­nių sistemų, sistemos paslaugų ir programų, kurios visada turėtų būti at­nau­jin­tos, pa­tik­ri­ni­mą. Jei nau­do­ja­mos senesnės versijos, nes jos su­de­ri­na­mos su kitomis prog­ra­mo­mis, reikia imtis al­ter­na­ty­vių atsargumo priemonių, kad ap­sau­go­tu­mė­te savo sistemą. Be to, svarbų vaidmenį vaidina prieigos ir au­ten­tiš­ku­mo rei­ka­la­vi­mai atskiroms sistemoms ir prog­ra­moms. Šiuo atveju įsi­lau­žimo testas apima tokius klausimus kaip:

  • Prieigos teisės
  • Slap­ta­žo­džių nau­do­ji­mas ir šif­ra­vi­mas
  • Esamų sąsajų ir atvirų prievadų nau­do­ji­mas
  • Nu­sta­ty­tos taisyklės (pvz., ug­nia­sie­nės taisyklės)

Ieškoti žinomų pa­žei­džia­mu­mų

Paprastai saugumo pa­žei­džia­mu­mų nu­sta­ty­mas ne­už­trun­ka ilgai, todėl įsi­lau­žimo te­stuo­to­jai daž­niau­siai gerai žino tiriamų objektų pa­žei­džia­mas vietas. Rem­da­mie­si in­for­ma­ci­ja apie versijų būklę ir pataisų lygį, kurią surinko tirdami tinklo kom­po­nen­tų apsaugos stip­ri­ni­mą, te­stuo­to­jai gali greitai nustatyti, kurios programos kelia saugumo riziką. Jei per trumpą laiką reikia iš­a­na­li­zuo­ti daug sistemų, gali būti naudinga pa­si­telk­ti pa­žei­džia­mu­mų skenerius, nors jie ne visada pateikia tikslius re­zul­ta­tus.

Tiks­lin­gas pa­žei­džia­mu­mų iš­nau­do­ji­mas

Testeris gali nustatyti, ar aptiktos pa­žei­džia­my­bės gali būti iš­nau­do­tos, tik jas iš tikrųjų iš­nau­do­da­mas. Komandų sekos, nau­do­ja­mos tokiems iš­nau­do­ji­mams, paprastai yra iš įvairių interneto šaltinių gauti skriptai. Tačiau jie ne visada yra saugiai su­p­rog­ra­muo­ti. Jei at­lie­ka­mas nesaugus iš­nau­do­ji­mas, kyla rizika, kad te­stuo­ja­ma programa ar sistema sugrius, o blo­giau­siu atveju gali būti perrašyti svarbūs duomenys. Todėl įsi­lau­žimo te­stuo­to­jai turėtų būti atsargūs ir naudoti tik patikimus sce­na­ri­jus iš patikimų šaltinių arba visai su­si­lai­ky­ti nuo pa­žei­džia­mu­mo testavimo.

Note

Testavimo komanda turėtų užrašyti visus įsi­lau­žimo testo etapus ir re­zul­ta­tus. Taip turėsite geriausią pagrindą at­ski­riems etapams suprasti ir si­tu­aci­jai įvertinti. Rem­da­mie­si re­ko­men­duo­ja­mais pri­o­ri­te­tų sąrašais, galėsite žingsnis po žingsnio op­ti­mi­zuo­ti savo sistemos apsaugos procesą. Paprastai re­ko­men­duo­ja­ma įsi­lau­žimo testą atlikti bent kartą per metus.

Kokie yra įsi­lau­žimo testavimo pri­va­lu­mai ir trūkumai?

Vie­na­ly­tės kom­piu­te­ri­nės struk­tū­ros jau yra praeitis. Šian­die­nos de­cent­ra­li­zuo­tos IT struk­tū­ros kasdien gali sukelti naujų pa­žei­džia­mu­mų ir klaidų. Nors kartais prog­ra­mi­nės įrangos kūrėjai gali greitai ištaisyti šias klaidas, kartais tokių problemų spren­di­mas jiems užtrunka šiek tiek ilgiau.

Būtent čia įsi­lau­žimo te­sta­vi­mas parodo savo pri­va­lu­mus, su­teik­da­mas šias galimybes:

  • Įsi­lau­žimo testai leidžia iš­nag­ri­nė­ti sistemas daug išsamiau nei įprastas saugumo pa­tik­ri­ni­mas.
  • Pag­rin­di­nis įsi­lau­žimo testavimo tikslas – pa­tik­rin­ti, kaip gerai atskiri kom­po­nen­tai veikia kartu.
  • Pa­si­telk­da­mi išorinį te­stuo­to­ją, gausite papildomą nuomonę bei kitokį požiūrį į jūsų esamą saugumo kon­cep­ci­ją.
  • Pro­fe­sio­na­lūs įsi­lau­žimo te­stuo­to­jai yra spe­cia­liai apmokyti ir prie jūsų sistemos priartėja taip, kaip tai darytų įsi­lau­žė­lis.

Tačiau įsi­lau­žimo te­sta­vi­mas, ypač bend­ra­dar­bia­vi­mas su iš­ori­niais te­stuo­to­jais, taip pat turi savų trūkumų:

  • Atliekant įsi­lau­žimo testą, testavimo komanda turi prieigą prie vidinės in­for­ma­ci­jos ir procesų.
  • Atliekant įsi­lau­žimo testus, visada yra tikimybė, kad testas gali padaryti ne­pa­tai­so­mą žalą.
  • Pe­ne­t­ra­ci­jos testai pateikia tik jūsų tinklo sistemų momentinę būklę, todėl jie niekada neturėtų būti naudojami kaip prie­žas­tis at­si­sa­ky­ti įprastų saugumo priemonių.

Taip pat svarbu ne­pa­mirš­ti, kad tra­di­ci­niai įsi­lau­žimo testai ne­įver­ti­na su socialine in­ži­ne­ri­ja susijusių rizikų. Daugelis įmonių siūlo paslaugas, skirtas tokiems pa­žei­džia­mu­mams nustatyti, taip pat rengia spe­cia­lius mokymus, kaip išvengti so­cia­li­nės in­ži­ne­ri­jos atakų.

Go to Main Menu