facebook LinkedIN LinkedIN - follow
IT SYSTEMS 3/2017 , IT Security

Penetrační testování formou red team testu

Jan Andraščík


DeloitteZákon o kybernetické bezpečnosti (ZoKB) má mnoho dopadů napříč různými odvětvími. Organizace musí zajistit svůj soulad s požadavky tohoto zákona a zároveň se snaží ověřit, zda jsou jimi stanovená opatření dostatečná. V současné době se tak rozvíjí služby penetračního testování, které mohou komplexně ověřit úroveň zabezpečení. Společnosti kladou stále větší důraz na bezpečnost svých systémů a najímají si externí specialisty k provádění penetračních testů. Může se jednat o penetrační testy aplikací, ať již webových či klasických, penetrační testy infrastruktury, testy sociálního inženýrství, testy bezdrátové sítě apod. Tyto typy testů se však zaměřují vždy pouze na daný typ systému a nedokáží postihnout bezpečnost celého prostředí společnosti.


Red team test

Aby společnosti mohly získat komplexní pohled na bezpečnost svého prostředí, jsou nyní poskytovány služby penetračního testování typu „red team“. Cílem red team testu je získat realistický pohled na bezpečnost – a to jak bezpečnost hardware a software, tak i bezpečnost personální a fyzickou. Red team test je multidisciplinární útok zahrnující aspekty sociálního inženýrství, testování fyzické bezpečnosti, penetrační test aplikací a sítové infrastruktury, a to vše současně.

Před samotným započetím testu je však nutné pečlivé plánování. Plánování začíná fází pasivního získávání informací o fyzické lokalitě cíle. Informace o lokalitě se nejprve získávají z volně dostupných zdrojů, jako jsou např. Google Street View či obdobné volně dostupné aplikace. Díky těmto nástrojům je možné získat cenné informace o cíli, jeho okolí a prostředí, ve kterém se nachází. Při této činnosti zároveň dochází k získávání veřejně dostupných informací o cíli jako takovém – informace o zaměstnancích, dostupných veřejných službách, prostředí společnosti apod. K tomuto účelu mohou být využívány nástroje, jako jsou sociální sítě, prezentace pracovních agentur, různé internetové vyhledávače atd.

Po pasivním získávání informací z veřejných zdrojů započne získávání aktivní. V rámci aktivního získávání informací získávají členové týmu informace o cíli „offline“ za použití přístupů sociálního inženýrství – telefonování, phishing či jiné přímé dotazování zaměstnanců. Díky těmto přístupům je možné získat informace jinak běžně nedostupné. Za použití takto získaných informací je následně možné lépe naplánovat provedení samotného testu.

Současně se získáváním informací od zaměstnanců probíhá aktivní pozorování cílové lokality. Při této činnosti dochází k návštěvám cílové lokality a pozorování opatření fyzické ochrany. V rámci pozorování jsou nepozorovaně pořizovány záznamy bezpečnostních opatření včetně pracovníků ostrahy a jejich případného střídání.

Po dokončení fází získávání informací je prováděno plánování možných útoků. Plány útoku jsou vytvářeny na základě pozorování existujících zranitelností a prvků ochrany, jako jsou vchody a východy, bezpečnostní kamery, pracovníci ostrahy, ploty, technologie používané společností, informace o zaměstnancích apod.

Na základě připravených plánů útoku je následně proveden samotný útok. Informace o provádění útoku by měla být známa pouze velice omezenému množství zaměstnanců, aby bylo možné též efektivně otestovat bezpečnostní monitoring implementovaný v testované společnosti a následnou reakci na bezpečnostní incidenty. V ideálním případě by měly být snahy o provedení útoku na společnost odhaleny v jejich rané fázi a samotný útok by měl být zmařen. V případě, že však útok není včas či vůbec identifikován, může být pracovníky provádějícími test získán přístup do systémů společnosti. Po skončení testu jsou společnosti dodána cílená doporučení na zvýšení celkové bezpečnosti prostředí společnosti.

Závěr

Red team test umožňuje odhalit reálné příležitosti pro případné útočníky, které by jim mohly umožnit kompromitaci prostředí organizace tím, že by jim umožnily virtuální či fyzický přístup k citlivým informacím. Díky provádění red team testů mohou společnosti odhalit slabá místa v zabezpečení jednotlivých částí svých systémů a tím následně zajistit zvýšení úrovně bezpečnosti celého prostředí. Provádění tohoto typu testů by mělo být běžnou součástí kontroly zabezpečení společností a mělo by být prováděno alespoň každé dva roky.

Jan Andraščík Jan Andraščík
Autor článku je senior konzultantem v oddělení ICT poradenství Deloitte Česká republika. Během své kariéry byl součástí několika projektů napříč různými sektory v oblastech poradenství informační bezpečnosti, penetračního testování, stejně jako několika projektů řízení rizik a bezpečnostních auditů.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.