Penetrační test (nazývaný také ethical hacking) simuluje reálný průnik do systémů
nebo aplikací s cílem odhalit bezpečnostní zranitelnosti a jiné slabiny.
Externí penetrační test simuluje obvykle reálný útok anonymního útočníka z internetu,
naproti tomu interní penetrační test odkrývá slabiny umožňující odcizení,
neautorizovaný přístup či poškození citlivých dat organizace z pohledu zaměstnanců dané společnosti.
1
Každý den se na světě objevují stovky nových zranitelností a jsou odhaleny tisíce bezpečnostních incidentů.
Jelikož je oblast IT bezpečnosti velmi rozsáhlá a rychle se rozvíjí, bývá obtížné ji pokrýt z interních zdrojů.
Většina organizací proto volí bezpečnostní ověření (například penetračním testem) tretí nezávislou stranou, která sa na oblast IT bezpečnosti úzce specializuje.
Proč se rozhodnout pro penetrační test
Kromě primárního cílu - odhalit co najvíce vážných zranitelností a ověřit odolnost vůči cílenému průniku,
mohou výsledky penetračního testu pomoci při vzdělávání vývojářů a správců systémů, či jiných zaměstnanců.
Testování webových stránek pomocí penetračního testu dokáže prověřit také:
- kvalitu testovaného kódu z hlediska bezpečnosti,
- bezpečnost konfigurace aplikace - serveru,
- odolnost vůči (D)DOS útokům,
- nastavení monitorování a zálohování,
- možnost phishingu, XSS, CSRF zranitelností,
- logování a vyhodnocování incidentů,
- zabezpečení databází, náchylnost na časté "SQL injection" zranitelnosti,
- úroveň heslové politiky, autentifikačních a autorizačních mechanizmů a další.
Penetrační test nebo bezpečnostní audit?
Penetrační test bývá, narozdíl od bezpečnostního auditu, časově omezený a sleduje jediný cíl - demonstraci průniku. Bezpečnostní audit bývá komplexnější a úplnější (sleduje striktní metodologii) a jeho cílem je celkové posouzení stavu bezpečnosti předmětu auditu.
Pro porovnání uvádíme přehled vlastností penetračních testů a auditů webových aplikací, které vykonáváme.