Zewnętrzne i wewnętrzne testy penetracyjne infrastruktury

Zewnętrzne/Wewnętrzne Testy penetracyjne infrastruktury realizowane są w oparciu o globalną metodykę, zgodną z opracowaniami OSSTMM (Open Source Security Testing Methodology Manual) NIST 800-42, Guideline on Network Security Testing

Information System Security Assessment Framework (ISSAF), oraz zalecenia organizacji SANS Institute, oraz EC-Council.

Zewnętrzne testy penetracyjne infrastruktury IT są realizowane w następujących krokach:

Etap 1 – Gromadzenie danych

  • Próby zgromadzenia jak największej ilości dostępnych publicznie informacji na temat infrastruktury informatycznej
  • Identyfikacja zakresu adresów IP
  • Identyfikacja udostępnionych usług poprzez skanowanie portów TCP/UDP wraz z próbą uzyskania informacji o zainstalowanych wersjach oprogramowania wykorzystując techniki fingerprinting oraz banner grabbing
  • Uzyskanie publicznie dostępnych informacji o organizacji oraz jej infrastrukturze np. poprzez wykorzystanie technik google hacking, DNS zone transfer,

Etap 2 – Identyfikacja podatności

  • Skanowanie podatności z wykorzystaniem automatycznych narzędzi
    • Manualna identyfikacja podatności w oparciu o zgromadzone informacje na temat wersji zainstalowanego oprogramowania w publicznych bazach (np. Bugtraq, CERT, OSVDB),

Etap 3 – Analiza podatności

  • Analiza mająca na celu weryfikację i eliminację potencjalnych fałszywych alarmów (false positives) oraz identyfikację krytycznych podatności,
    • Próba odnalezienia kodu oprogramowania wykorzystującego daną podatność – tzw. exploit

Etap 4 – Próby wykorzystania podatności

Kontrolowane próby wykorzystania stwierdzonych podatności oraz próby wykonania kodu oprogramowania wykorzystującego podatność.

Metodyka testów penetracyjnych zakłada symulację działań rzeczywistych przestępców komputerowych próbujących uzyskać nieautoryzowany dostęp do zasobów organizacji wykorzystując wszystkie możliwe kanały dostępu oraz techniki penetracyjne. Metodyka testów penetracyjnych charakteryzuje się wysoką elastycznością poprzez dostosowanie technik penetracyjnych do scenariuszy ataków odpowiadającym największym zagrożeniom z punktu widzenia badanej organizacji.

Niezależnie od realizowanego scenariusza ataku, metodyka zakłada realizację testów penetracyjnych w poniższych etapach:

  • Rozpoznanie
    • Testowanie
    • Exploitowanie (po uzyskaniu zgody Klienta)

Metodyka zakłada iteracyjne powtarzanie etapów w ramach nowych scenariuszy testów penetracyjnych związanych z eskalacją uprawnień lub zmianą kanału dostępu.

Przykładowe scenariusze wewnętrznych testów penetracyjnych mogą symulować np.:

  • Próby uzyskania dostępu do sieci wewnętrznej organizacji przez osobę z zewnątrz
    • Próby przejęcia kontroli nad stacją użytkownika organizacji poprzez infekcję złośliwym oprogramowaniem
    • Próby realizacji działań przy użyciu zagubionego komputera pracownika organizacji
    • Próby ominięcia zabezpieczeń przez pracownika organizacji
    • Próby uzyskania dostępu do organizacji przez gościa organizacji (lub kontraktora)