Penetrační testování

Málokdo ví, co si představit pod pojmem penetrační testování. Přitom je to ideální způsob, jak zjistit a prověřit zabezpečení svých dat a systémů. A tím předejít nežádoucímu napadení ze strany hackerů.

18. 8. 2020

Co je penetrační testování?

Jedná se o proces, ve kterém se penetrační tester snaží vžít do role útočníka (hackera) a získat přístup k datům systému, který mu nepatří. Rozdíl mezi ním a skutečným útočníkem je v jeho motivaci. Zatímco hacker se snaží najít cestu do systému z důvodu vlastního prospěchu (finančního, politického či jiného), penetrační tester má za cíl najít co nejvíce možných způsobů, jakými se do systému dostat, a oznámit je jeho vlastníkovi. Vlastník systému se tak dozví, kde se nacházejí v jeho systému možné zranitelnosti, a má šanci je na základě výsledků penetračního testu opravit.

Služba penetrační testování, kterou nabízíme, má právě tyto cíle. Každá webová stránka, která vznikne v prostředí MUNI, může být napadena zlomyslným útočníkem. Proto se snažíme včas odhalit co největší množství zranitelností v těchto systémech. Nemůžeme to ale dělat z vlastní vůle a bez vyzvání majitelů systémů – v takovém případě bychom se ničím nelišili od skutečných útočníků.

Pro koho je určeno?

Penetrační testování je určeno všem zájemcům z univerzity, kteří vytvářejí nebo spravují nějakou službu (například web) dostupnou z internetu a chtějí si ověřit, zda-li je dostatečně zabezpečená vůči případným útočníkům.

Jak probíhá?

Proces penetračního testování začíná oslovením ze strany zájemce. Z povahy testování není možné službu vykonávat „proaktivně“, a proto je nutná domluva se zájemcem ohledně detailů testování – co všechno je součástí testu, čemu se vyhnout, koho oslovit v případě kritických nálezů apod.

Po domluvě detailů a termínu testování následuje samotná technická část. Sejde se tým testerů, který v daném termínu vykoná penetrační test. Následně sepíší report, který je zaslán zájemci. Tento report obsahuje veškeré nálezy popsané technickým i „manažerským“ jazykem tak, aby bylo na jeho základě možné pochopit celkový stav zabezpečení testovaného systému. Pro techniky poskytuje doporučení, jaké kroky podstoupit pro zlepšení tohoto stavu.

V případě nutnosti je možné požádat o opětovné testování pro ověření úspěšné opravy nalezených chyb.

Na co nezapomenout?

Důležité je uvědomit si, že penetrační testování je potenciálně destruktivní proces. Při testování není možné zaručit, že systém nepostihne dočasný výpadek, případně nebude porušena integrita dat. Proto vždy vyzýváme zájemce, aby nám poskytli kopii systému, a to pokud možno s umělými daty, aby nedošlo také k narušení soukromí uživatelů systému. V dnešní době virtuálních strojů a kontejnerizace to není problém.

Co dělat, pokud máte o penetrační test zájem? Kontaktujte Kyberbezpečnostní tým Masarykovy univerzity, který službu poskytuje, a to pomocí formuláře. Následně se dohodneme na detailech testování.

Více článků

Přehled všech článků