Penetračný test (nazývaný tiež ethical hacking) simuluje reálny prienik do systémov
alebo aplikácií s cieľom odhaliť bezpečnostné zraniteľnosti a iné slabiny.
Externý penetračný test simuluje obvykle reálny útok anonymného útočníka z Internetu,
naopak interný penetračný test odkryje slabiny umožňujúce odcudzenie,
neautorizovaný prístup či poškodenie citlivých dát organizácie z pohľadu zamestnancov danej spoločnosti.
1
Každý deň sa objavia na svete stovky nových zraniteľností a je odhalených tisíce bezpečnostných incidentov.
Nakoľko IT bezpečnosť je veľmi široká a rýchlo vyvíjajúca sa oblasť, je obvykle veľmi ťažké ju pokryť internými zdrojmi a
preto väčšina organizácií volí bezpečnostné overenie (napríklad penetračným testom) treťou nezávislou stranou,
ktorá sa na oblasť IT bezpečnosti úzko špecializuje.
Prečo sa rozhodnúť pre penetračný test
Okrem primárneho cieľa - odhaliť čo najväčšie množstvo vážnych zraniteľností a overiť odolnosť voči cielenému prieniku,
výsledky penetračného testu môžu pomôcť pri vzdelávaní vývojárov a správcov systémov, či iných zamestnancov.
Testovanie webovych stránok pomocou penetračného testu dokáže tiež preveriť:
- kvalitu testovaného kódu z hľadiska bezpečnosti,
- bezpečnosť konfigurácie aplikácie - serveru,
- odolnosť voči (D)DOS útokom,
- nastavenie monitorovania a zálohovania,
- možnosť phishingu, XSS, CSRF zraniteľností,
- logovanie a vyhodnocovanie incidentov,
- zabezpečenie databáz, náchylnosť na časté "SQL injection" zraniteľnosti,
- úroveň heslovej politiky, autentifikačných a autorizačných mechanizmov a iné.
Penetračný test alebo bezpečnostný audit?
Penetračný test narozdiel od bezpečnostného auditu je zvyčajne časovo obmedzený a sleduje jediný cieľ - demonštráciu prieniku.
Bezpečnostný audit je komplexnejší a úplnejší (sleduje striktnú metodológiu) a cieľom je celkové posúdenie stavu bezpečnosti predmetu auditu.
Pre porovnanie uvádzame prehľad vlastností penetračných testov a auditov webových aplikácií, ktoré vykonávame.