V čem spatřujete hlavní výhody a nevýhody ručních a automatizovaných penetračních testů?

Hodně záleží na tom, co se testuje. Pokud se jedná o penetrační test aplikací, je rozhodně správná cesta manuální testování. Automatizace takového testu je složitá. Pokud se ale jedná o testování infrastruktury, test zranitelností, případně s automatickou exploitací (tj. zneužití zranitenosti) pro ověření testu, pak se vyplácí automatizovaný test. Zejména pokud se jedná o infrastrukturu v řádu stovek až tisíců IP adres.

Do jaké míry se dá říct, že automatizované penetrační testy nevyžadují tak vysokou expertizu testerů jako ruční? A jak moc se lze spoléhat na strojové učení testovacích programů?

Automatizované testy jsou ve většině moderních systémů založené na algoritmech, které se cvičí z reálné práce fyzických hackerů nebo se vyvíjí na základě popsaných zranitelností. Alespoň tak to děláme v našem prostředí. Bez vstupu člověka minimálně v průběhu vývoje se rozhodně neobejdeme. Spolehlivost je vysoká. AI nespí, a pokud si zranitelnost správně vyhodnotí, nedělá chyby.

Jaké nároky naopak klade na testery automatizovaný penetrační test?

Automatizované testování představuje hlavně úsporu času a mož­nost úspor na straně lidských zdrojů. Jinak řečeno – to, co člověku trvá dny, otestujete pomocí automatizace za hodinu nebo dvě. Spustit testování zvládne kdokoli. Orientovat se v reportech a mít schopnost opravit chyby ve vlastní síti ale vyžaduje určité znalosti.

Je těžší vychovat si ručního testera, nebo toho, co řídí automatizované penetrační testy, a proč?

V rámci našeho interního testu to nerozlišujeme. Do týmu si nenabí­ráme členy, kteří by neměli k práci vztah a nezískali v minulosti zku­še­no­s­ti. Z pozice zákazníků jsou většinou operátory administrátoři a správci IT. Snažíme se je vzdělávat, pomáháme diskutovat nálezy a trávíme s nimi hodně času debatami o konkrétních opatřeních. Je ale pravda, že po čase nás nepotřebují, protože i díky interakci s námi a s naším produktem dokážou časem většinu věcí řešit sami.

Který typ penetračního testu je dražší a proč?

Manuální penetrační test bere více času člověka, automatizovaný více výpočetního výkonu a samozřejmě čas operátora. Výsledek máte rychleji, a hlavně jej můžete kdykoli opakovat se stejnými nebo změněnými vstupními parametry (na to může mít vliv i opakovaní OSINT analýzy). Automatizovaný test tedy může vycházet levněji, ale jeho hlavní přínos vidíme hlavně v tom, že je možné jej kdykoliv spustit znovu, výsledky dostat stejně rychle. V případě velkých infrastrukturních celků můžete brát v potaz změny (tj. přírůstky v infrastruktuře) apod.

Liší se nějak pravděpodobnost poškození systémů nebo dat u testovaných systémů, když se provádí ruční, nebo automatizovaný penetrační test?

Ne. S poškozením systémů problémy nebývají.

Do jaké míry se u automatizovaných penetračních testů využívá AI, pokud vůbec? A jak je to v takovém případě s bezpečností dat klienta?

Myslím, že AI je základ každé automatizované platformy. Obecně schopnost pojmout, vyhodnotit a zpracovat mnohem více informací a vstupů v reálném čase je hlavním přínosem.

Je AI v kyberbezpečnosti výhoda, nebo spíš riziko?

Záleží na tom, jaký nástroj a kdo využívá. Pokud neberu v potaz standardní využití strojového učení, jak jsem jej nastínil v našem případě v předchozích otázkách, tak jsou krásným příkladem i dnes populární LLM. Hackerské skupiny si vyvíjejí vlastní trénované modely obsahující informace o zranitelnostech, umožňující tvořit vlastní exploit skripty nebo schopné navrhnout vlastní phishing kampaň na míru. Příklady jsou WormGPT, DarkBard apod. Hlavním problémem je, že v podobných modelech nejsou integrovány přirozené pojistky proti zneužití, které například od začátku do svých produktů zabudovala OpenAI.

V rukách správce ale vlastní narrow trénovaný model umožní napří­klad mnohem lepší orientaci v aktuálních zranitelnostech a kontextu možnosti jejich zneužití. Doslova se stačí zeptat: „Kde mám aktuálně největší bezpečnostní problém?“ Jedním z průkopníků je například SentinelOne s produktem Purple AI, který je součástí jejich Singularity platform.

Jaké trendy očekáváte v oblasti penetračních testů v nejbližší budoucnosti?

Samozřejmě mnohem vyšší automatizaci i s cílem úspěšnější prevence proti útokům. Masivní nasazení umělé inteligence a neuronových sítí, a to i do bezpečnostních produktů určených pro menší firmy. Automatizují totiž i ti na druhé straně. Plošné útoky na komerční infrastrukturu se dnes neprovádějí ručně. Vždy se provede potřebná analytika cílů s využitím existujících datasetů (např. daty z platformy Shodan) a následně se využije botnet nebo vlastní infrastruktura k provádění samotných útoků. Obecně tedy platí, že pro automatizaci můžete být úspěšní, jen když nasadíte AI.

Foto: archiv APPSEC