Kako se pripraviti na penetracijski test

Prakticen vodnik za organizacije, ki zelijo maksimalno izkoristiti varnostno testiranje

Vecina podjetij narocni pentest in pricakuje porocilo z ranljivostmi. Toda pravi namen pentesta ni samo seznam ranljivosti - je priloznost za ucenje o vasih dejanskih varnostnih zmoznostih.

Vsebina

  1. Vrste penetracijskih testov
  2. Dolocitev obsega
  3. Pravna priprava
  4. Tehnicna priprava
  5. Med testom
  6. Po testu
  7. Pogoste napake

1. Vrste penetracijskih testov

Preden narocnite pentest, morate razumeti, kaj tocno potrebujete:

Po kolicini informacij

  • Black box - Tester ne dobi nobenih informacij. Simulira zunanjega napadalca. Casovno potraten, toda realisten.
  • Grey box - Tester dobi osnovne informacije (IP naslove, uporabniske racune). Najpogostejsi pristop.
  • White box - Tester dobi popoln dostop do dokumentacije, izvorne kode, arhitekture. Najtemeljitejsi, toda najmanj realisten.

Po cilju

  • Mrezni pentest - Testiranje infrastrukture, streznikov, omreznih naprav
  • Aplikacijski pentest - Testiranje spletnih, mobilnih ali namiznih aplikacij
  • API pentest - Testiranje programskih vmesnikov
  • Social engineering - Testiranje zaposlenih (phishing, vishing, fizicni dostop)
  • Red team - Celovita simulacija napada brez omejitev

2. Dolocitev obsega

Jasen obseg je kljucen za uspesen pentest:

Kaj mora biti v obsegu

  • Seznam IP naslovov in/ali domen
  • Tipi testiranja (mrezno, aplikacijsko, socialni inzeniring)
  • Casovni okvir testiranja
  • Ali je fizicno testiranje vkljuceno?
  • Ali je DOS testiranje dovoljeno?

Kaj mora biti izven obsega

  • Sistemi tretjih oseb (ce nimate pooblastila)
  • Produkcijski sistemi, ki ne smejo biti moteni
  • Specificne IP naslove ali domene
Opozorilo: Nejasno dolocen obseg je najpogostejsi vzrok za tezave med pentestom. Bodite specificni.

3. Pravna priprava

Brez ustrezne pravne podlage pentest ni legalen:

Obvezni dokumenti

  • Pooblastilo za testiranje (Authorization Letter) - Podpisano s strani osebe s pooblastilom. Brez tega je testiranje kaznivo dejanje.
  • Pravila sodelovanja (Rules of Engagement) - Kaj je dovoljeno, kaj ni, kdaj testiramo, kontaktne osebe
  • NDA - Zascita zaupnih informacij, ki jih bo tester videl
  • Pogodba - Obseg, cena, casovnica, odgovornosti

Vprasanja za pravni oddelek

  • Ali imamo pooblastilo za testiranje vseh sistemov v obsegu?
  • Ali so kateri sistemi pri zunanjem ponudniku (cloud)?
  • Ali moramo obvestiti zavarovalnico?
  • Kaksen je postopek v primeru incidenta?

4. Tehnicna priprava

Dobra priprava prihrani cas in denar:

Dokumentacija za testerja

  • Arhitekturne diagrame omrezja
  • Seznam aplikacij in njihovih URL naslovov
  • Testni uporabniski racuni (vec nivojev dostopa)
  • API dokumentacija (ce je aplikacijski test)
  • Izvorna koda (ce je white box)

Interna priprava

  • Obvestite SOC/NOC - Da ne blokirajo testerja ali sprozijo laznega alarma
  • Preverite varnostne kopije - Ce gre kaj narobe
  • Dokumentirajte trenutno stanje - Da boste vedeli, kaj se je spremenilo
  • Pripravite rollback plan - Za vsak primer

Komunikacijski kanal

  • Kdo je kontaktna oseba?
  • Kako hitro mora odgovoriti?
  • Kateri kanal uporabljamo (email, telefon, Signal)?
  • Kdo odloca o zaustavitvi testa?

5. Med testom

Dnevna komunikacija

  • Kratki dnevni sestanki (15 min) za status
  • Takojsnje obvescanje o kriticnih ugotovitvah
  • Dokumentiranje vsega kar tester najde

Ne popravljajte med testom

Ce tester najde ranljivost, ne popravljajte takoj. Zakaj?

  • Tester mora videti celotno sliko
  • Ranljivosti so pogosto povezane
  • Popravek lahko skrije resnejse tezave
  • Izgubljate cas za testiranje

Edina izjema: kriticna ranljivost, ki jo ze izkoriscajo napadalci.

Spremljajte svoje sisteme

Pentest je odlicna priloznost za testiranje vase detekcije:

  • Ali je SIEM zaznal aktivnost?
  • Ali so alarmi sprozili?
  • Koliko casa je minilo do detekcije?
  • Ali bi vas SOC ustrezno reagiral?

6. Po testu

Pregled porocila

  • Zahtevajte sestanek za pregled ugotovitev
  • Vprasajte za pojasnila ce kaj ni jasno
  • Preverite ali so vse ugotovitve reproducibilne
  • Zahtevajte dokaze (screenshoti, logi)

Prioritizacija

Ne vse ranljivosti so enako pomembne. Upostevajte:

  • CVSS ocena - Toda ne slepo, kontekst je pomemben
  • Izpostavljenost - Ali je ranljivost dosegljiva iz interneta?
  • Podatki - Kaksen podatki so v nevarnosti?
  • Tezavnost izkoriscanja - Ali potrebuje avtentikacijo? Posebno znanje?

Nacrt odprave

Za vsako ugotovitev dolocite:

  • Kdo je odgovoren za popravek?
  • Kaksen je rok?
  • Kako boste preverili, da je popravljeno?
  • Ali popravek vpliva na druge sisteme?

Ponovno testiranje

Po popravkih vedno narocite retest. Zakaj?

  • Popravki pogosto ne delujejo pravilno
  • Nov popravek lahko uvede novo ranljivost
  • Dokumentacija za revizorje

7. Pogoste napake

"Pentest narocimo enkrat letno za compliance"

Ce testirate samo zato, da odkljukate zahtevo, ne boste dobili prave vrednosti. Pentest je priloznost za ucenje, ne samo dokument za revizorje.

"Vse je v obsegu"

Brez jasnega obsega tester ne more ucenkovito razporediti casa. Rezultat: povrsno testiranje vsega namesto temeljitega testiranja pomembnega.

"Ne rabimo dokumentacije, naj tester najde sam"

Cas, ki ga tester porabi za odkrivanje osnov, je cas, ki ga ne porabi za iskanje ranljivosti. Black box ima smisel, toda samo ce to res zelite.

"Popravili smo, tako da je zdaj varno"

Brez ponovnega testiranja ne veste, ali popravek dejansko deluje. Videl sem ze "popravke", ki so situacijo se poslabsali.

Potrebujete pentest?

Z vec kot 18 leti izkusenj in certifikati OSCE3, OSCP+ vam lahko pomagam identificirati in odpraviti varnostne ranljivosti.

Kontaktirajte me