Różnica między testami penetracyjnymi a skanowaniem podatności

Różnica między testami penetracyjnymi a skanowaniem podatności

Niejednokrotnie spotykałem się z sytuacją, w której skanowanie podatności było utożsamiane z testami penetracyjnymi. Różnica między jednym a drugim jest zasadnicza, z tego też bierze się zdecydowana różnica w kosztach obydwu usług.

Skanowanie podatności to prosta czynność, która ma na celu wykrycie, czy organizacja zainstalowała w swoich systemach wszystkie łaty (poprawki) przygotowane przez producenta systemu/ aplikacji/ sprzętu w odpowiedzi na znane im błędy. Jeżeli organizacja w poprawny sposób eksploatuje posiadane systemy teleinformatyczne, to wykrywane braki powinny być minimalne. Po ich uzupełnieniu cześć trywialnych ataków, często automatycznych, zostanie udaremniona. Nie oznacza to jednak, że systemy informatyczne będą bezpieczne.

Znaczna część ataków polega nie tyle na wyszukiwaniu niezainstalowanych poprawek, co na wykrywaniu niewłaściwie skonfigurowanych elementów. Organizacja może mieć zaktualizowane wszystkie systemy, a jednocześnie udostępniać wrażliwe katalogi poprzez złe skonfigurowanie uprawnień dostępu. Inne często spotykane luki dotyczą złych odwołań w kodzie źródłowym, niewłaściwych ograniczeń nakładanych na zapytania, trywialnych czy źle zabezpieczonych haseł, niewłaściwej logiki w aplikacjach…

Takie luki bezpieczeństwa nie zostaną wykryte w trakcie skanów podatności. Skany te nie pozwolą również zrozumieć jakie będą szkody, gdy przestępca włamie się do systemów teleinformatycznych. Dadzą tylko prostą informację - poprawka zainstalowana, bądź nie.

Testy penetracyjne polegają natomiast na wnikliwym zbadaniu, czy do organizacji można się włamać. Zazwyczaj są przeprowadzane raz, dwa razy w roku. Luki wykryte automatycznymi skanerami są wykorzystywane przez ekspertów by naprawdę spróbować dostać się do wnętrza organizacji. Zawierają w sobie podatności mogące zostać wykryte w trakcie skanowania podatności, ale są rozszerzane zestawy błędów konfiguracyjnych, o potwierdzenie ich prawdziwości oraz o odkrycie wpływu jaki ich wykorzystanie może mieć na organizację.

Zmawianie testów penetracyjnych w sytuacji, gdy organizacja nie jest w stanie sama z siebie wykonać podstawowej czynności, jaką jest monitorowanie i instalowanie poprawek jest… wyrzucaniem pieniędzy. W takiej sytuacji testy nie wniosą rzeczywistej wartości, nie pozwolą skorzystać z potencjału (zazwyczaj) zewnętrznych profesjonalistów, których kluczowe obserwacje będą dotyczyły banalnego braku krytycznych poprawek. By w pełni wykorzystać możliwości płynące ze współpracy z etycznymi hakerami warto się przygotować i nie ułatwiać im zadania. Jeżeli naprawdę znają się na swojej pracy, to ich raport dalej będzie interesującą lekturą. Szczególnie, gdy w dodatkowo organizacja zamówi research w wyniku którego będzie w stanie poznać nieznane wcześniej luki w wykorzystywanym oprogramowaniu, chociaż to już jest trochę droższy projekt.

A podatności w oprogramowaniu szukajmy wewnętrznymi siłami, na bieżąco, wykorzystując dostępne, dedykowane, niedrogie oprogramowanie.