Test penetracyjny typu "symulacja ataku zewnętrznego".

 

Usługa o charakterze technicznym, polegająca na symulacji ataku z zewnątrz na infrastrukturę informatyczną organizacji. Jej celem jest znalezienie słabych punktów i luk w systemie zabezpieczeń organizacji. W odniesieniu do każdej znalezionej luki, w dokumentacji poautydowej, podawany jest szczegółowy sposób jej eliminacji.

 

  Zakres prac

  1. wykonanie symulacji ataków z sieci Internet z wykorzystaniem metod i narzędzi stosowanych w sytuacjach rzeczywistych ataków
  2. ocena skuteczności przeprowadzonych symulacji ataków i wskazanie ewentualnych słabych punków systemu oraz metod ich eliminacji
  3. ocena jakości zastosowanych mechanizmów ochrony

  Przedmiot badań

Analizom podlega zbiór wskazanych przez klienta węzłów sieci.
Mogą to być np.:

  • routery dostępowe do Internetu
  • systemy firewall
  • serwery WWW i poczty
  • firmowe serwery aplikacyjne
  • firmowe serwery bazodanowe

  Wyniki ekspertyzy

  1. Raport techniczny zawierający:
    • ewidencję ewentualnych znalezionych luk bezpieczeństwa systemu z określeniem rodzaju i oceny poziomu zagrożenia związanego z każdą z luk
    • dokumentację zawierającą wskazanie nt. eliminacji luk bezpieczeństwa (na poziomie proceduralnym i technicznym)
  2. Prezentacja rezultatów testu przez Kierownika Zespołu Audytorskiego i przekazanie dokumentacji po-testowej w siedzibie klienta.

  Opis techniczny testu penetracyjnego

Przed rozpoczęciem testu penetracyjnego jego dokładny termin (włączając godzinę rozpoczęcia prac) jest ustalany z Audytobiorcą. Ma to na celu umożliwienie Audytobiorcy śledzenie na bieżąco działań Audytora - z punktu widzenia analizowanego systemu. Ponadto ustalenie takie ułatwia ewentualną analizę logów w systemie Audytobiorcy przez tegoż. Dostęp z sieci Internet do testowanych obiektów sieciowych (urządzeń, komputerów) możliwy jest - z natury rzeczy - na bazie protokołu IP. Aby zbadać jakie dostępy są możliwe do realizacji należy w pierwszym rzędzie wykonać skan portów TCP i UDP.

Pierwszą czynnością wykonywaną w ramach testu jest więc skan portów. Po stworzeniu specyfikacji otwartych portów (dla każdego z obiektów) wykonywane są próby ustalenia rodzaju / kategorii / wersji oprogramowania sieciowego realizującego nasłuchiwanie na poszczególnych portach. Następnie zgromadzone informacje analizowane są z wykorzystaniem dokumentacji wewnętrznej firmy Kerberos OCHRONA INFORMACJI zawierającej m.in. bazę znanych luk bezpieczeństwa w różnych programach sieciowych.

W przypadku znalezienia luki bezpieczeństwa dokonywana jest próba uruchomienia procedury atakującej, np. poprzez wykonanie odpowiedniego programu typu exploit. W przypadku luki umożliwiającej wykonanie ataku denial-of-service (DOS), tego rodzaju atak nie jest wykonywany. Ma to na celu zachowanie niedestrukcyjnego charakteru testu. Informacja o możliwości wykonania tego rodzaju ataku odnotowywana jest i komentowana w dokumentacji potestowej.

W przypadku istnienia dostępu do analizowanych obiektów z wykorzystaniem łącz komutowanych (dial-up) Audytobiorca przekazuje taką informację Audytorowi z określeniem numerów dial-up testowanych obiektów. W sytuacji takiej realizowana jest próba dostępu do obiektów z wykorzystaniem połączeń telefonicznych.

W przypadku podania przez Audytobiorcę topologii połączeń testowanych urządzeń zabezpieczających (routerów, zapór ogniowych) i systemów usługowych (np. serwerów strefy DMZ) ocenie poddawana jest również ogólna koncepcja architektury zabezpieczeń. Podanie topologii obiektów nie jest jednak obligatoryjne.

Do wykonania testu penetracyjnego potrzebne są Audytorowi jedynie adresy IP i określenie systemów operacyjnych / wersji firmware'u testowanych obiektów. Informacje te przekazywane są w ramach odpowiedniego dokumentu o standardowej postaci.

Naturalną konsekwencją wykonania testu penetracyjnego jest złożenie Audytobiorcy odrębnej oferty wewnętrznego audytu bezpieczeństwa. Wykonanie audytu wewnętrznego daje pełny obraz sytuacji w zakresie bezpieczeństwa systemu Audytobiorcy - szerszy i uwzględniający również wewnętrzne zagrożenia i zagrożenia powstające dopiero w przypadku przełamania któregoś z zastosowanych zabezpieczeń.