Jak probíhají penetrační testy

Penetrační testy odhalí slabiny v zabezpečení IT ještě předtím, než by je našel hacker. Přečtěte si o některých typech a nástrojích.

Penetrační testy a analýzy: Základní stavební kameny zodpovědného přístupu k provozování firemního IT

„Těžko na cvičišti, lehko na bojišti.“ I tak by se daly glosovat penetrační testy – dnes už nedílná součást analýz bezpečnosti ICT. Prostřednictvím testování nebo simulací útoků zvenčí i zvnitřku firemní sítě odhalí slabiny firemního zabezpečení. A to ještě dlouho předtím, než by došlo ke skutečnému kybernetickému útoku. Ostatně, právě proaktivní systém ochrany, namísto reaktivního čekání, je jedním z velkých trendů současného ICT.

Stále častější práce z domova, chytré telefony s připojením k internetu, připojování se do firemní sítě „na dálku“, cloudové služby, soukromé notebooky používané i k firemním účelům… Formy využití ICT se mění. A s nimi se mění i pohled na bezpečnost a samotné analýzy a testy.

“Oskenovat síť Metaspliotem” už zkrátka nestačí. Je třeba využít více testů, které se zaměřují na různé typy poznání. A to vyžaduje odlišný přístup i nástroje. Liší se také nasazení analytických nástrojů a vyhodnocování získaných informací. K metodám, které rádi používají a doporučují specialisté z O2 SEC, pak patří:

Monitoring provozu – na perimetru i uvnitř sítě

Základem jsou informace o provozu před interními servery a z/do internetu. Zachytíme veškerý provoz, který generují klienti i servery, a zkoumáme trendy, ale i anomálie. Dokážeme tak určit, kdy a jak moc se konkrétní webové aplikace a jejich podpůrné databáze ocitly mimo definovaná SLA.

Stejně tak poznáme externí i interní útoky – od počátečních skenů přes protokolové útoky až po pokusy o prolomení hesla k některým službám na síti. Firma tak má velmi přesný obraz o aktuálním stavu nejen na perimetru, ale i uvnitř firemní sítě. Historické záznamy o provozu v síti pak bývají velmi silným zdrojem informací při případné forenzní analýze.

Monitoring provozu provádíme jednorázově, případně jde o opakované analýzy. Některé firmy pak svou síť monitorují neustále.

Víte, že…? Experti se shodují, že nejslabším článkem kybernetické bezpečnosti bývají paradoxně velmi často neproškolení zaměstnanci: Nejčastější kyberprohrešky zaměstnanců: Naučte se jim snadno předcházet

Nastražení ICT pastí aneb honeypots pro hackery

Další možností, jak odhalit budoucí, ale zároveň velmi reálné hrozby nebo třeba i „škodnou“ přímo ve firemní síti mezi zaměstnanci, je nastražení ICT pastí – takzvaných honeypotů – pro hackery. Nikoli přímo ve vaší firemní síti, ale v její „kopii“.

Jde o náročný, komplexní, ale ve výsledku velmi užitečný proces:

  • Odborníci na bezpečnost, etičtí hackeři nejdříve prozkoumají firemní síť. Zjistí, jaké používá adresy, komunikační porty, jaké aplikace běží na jakých operačních systémech…
  • Následně ve firemní síti postaví paralelní svět – v případě O2 stavíme tuto kopii na vlastním hardwaru, abychom nezatěžovali vaše stroje.
  • Poté rozmístí „návnady“, které na pasti odkazují.
  • Pokud se někdo do pasti chytí, je jeho pohyb pečlivě monitorovaný. Experti pak často ještě dál modifikují prostředí, ve kterém se pohybuje, aby zjistili víc o jeho možnostech a schopnostech.

Vše navíc probíhá z velké části automaticky, klientova součinnost není téměř potřeba. A protože jsou incidenty zachycené v prostředí, které je velmi podobné tomu „reálnému“, získá firma velmi přesný obrázek o tom, odkud a jaké útoky přicházejí.

Přehled o tom, jak jsou hackeři v posledních měsících aktivní si můžete udělat díky: O2 Security report za rok 2020

ICT bezpečnost je téměř nekonečné bitevní pole

Analýzy, respektive jejich výstupy, by pak měly sloužit jako podklady pro další kroky, které slabá místa zacelí. To většinou znamená řadu akcí na mnoha místech. Pro ICT bezpečnost zkrátka platí, že jde o komplexní a neustále se vyvíjející oblast, kterou určitě celou neobsáhne jen firewall a antivir. I pro tuto komplexitu mnoho firem stále častěji poptává zabezpečení ICT jako službu.

Stejně jako lékaři používají širokospektrální antibiotika, tak i v kyberbezpečnosti je třeba se chránit ve více směrech. A my v O2 máme platformy i experty, kteří novým trendům v oblasti zabezpečení ICT dokážou vyhovět. Díky produktům Fidelis Cybersecurity mají naši zákazníci kontinuální přehled o stavu ICT a mohou klidně spát. Detekci i reakci pro ně společně s našimi odborníky zajišťují 3 základní kameny:

  • Fidelis Deception staví síťové pasti a rozmisťuje návnady, které na ně odkazují. Pokud se do některé útočník chytí, informace o typu a formě útoku jsou předány do systémů Fidelis Network a EndPoint, které podle toho upraví fungování.
  • Fidelis Network vyhodnocuje síťový provoz a dokáže odhalit pokročilý malware, exploity, ale třeba i přípravu dat k exfiltraci. Automaticky spolupracuje s dalšími dvěma systémy a lze ho nasadit jak na perimetru, tak i uvnitř sítě před interními systémy.
  • Fidelis EndPoint je instalovaný na servery a klientské stanice. Poskytuje informace o souborových manipulacích, spouštění procesů, práci s registry. V reakci na incident může u definovaných koncových zařízení spouštět nápravná opatření či hloubkovou analýzu. I Fidelis EndPoint lze propojit s ostatními moduly.

Tyto tři nástroje jsou propojeny ve Fidelis Elevate. Nabízí tak komplexní analýzu hrozeb včetně odpovídající reakce. Uživatelé mají celkový přehled o všem, co se děje v síti. Služba detekuje útok v jakékoli fázi a zároveň po jeho detekci rovnou dokáže automaticky spustit některé kroky vedoucí k řešení. Bezpečnostní tým tak získá čas pro podrobnější analýzu a nalezení maximálně efektivního řešení.

Systémy navíc při řešení aktuálních událostí využívají historická data. Díky tomu rozpoznají další kontexty, které pomohou nejen s aktuálním incidentem, ale i při nastavování ochrany sítě do budoucna.

 

Analytici a experti z O2 SEC, kteří jsou přidanou hodnotou nejen služby nad produkty Fidelis, pomůžou nejen s nastavením a provozem systémů, ale s komplexním zajištěním ICT bezpečnosti a přístupu k ní. Máte o tuto službu zájem? Pak nás kontaktujte, rádi s vámi probereme detaily.

S bezpečností vám poradíme

 

Ivo Kubíček, business development manager – security

V oblasti ICT se Ivo pohybuje už čtvrt století. Od původního fyzického budování sítí a stavby PC se posunul k designu infrastrukturních prvků. Architektonické, předprodejní i prodejní aktivity od širokého záběru (PC, ntb, servery, UPS, sítě) začal na přelomu století více orientovat na sítě a bezpečnost. Svou znalostní bázi podpořil studiem na Cisco Academii, stejně tak jako získáním řady certifikací. V minulém zaměstnání na pozici produktového specialisty řešil sítě a jejich bezpečnost se širokým portfoliem zákazníků (od různě velkých ISP, přes státní organizace až k firmám a korporacím). Aktuální práce v O2 kompetenčním centru bezpečnosti ICT mu dává další nové podněty. Vždy se snaží být při řešení úkolů efektivní, což často znamená nečekanou, ale funkční kombinaci různých nástrojů. Tyto inovativní pohledy mají určitě své kořeny v jeho zálibě v „bastlení“, zájmu o moderní technologie a touze pomoct, jak nejlíp to jde.

Související článek Jak je na tom vaše firma s bezpečností? To pomůže analyzovat naše webová aplikace
Nahoru