20 grudnia 2023

Jak połączyć zarządzanie podatnościami i testy penetracyjne?

Wraz z rozwojem cyfryzacji nasze środowiska IT stale się rozrastają i stają się coraz bardziej złożone. Jednocześnie wzrasta narażenie na różnego rodzaju luki w zabezpieczeniach. Aby je wykryć i naprawić, zanim zostaną wykorzystane przez atakującego, wymagane są regularne kontrole i testy. Dwie metody, które pełnią ważne funkcje w zakresie ochrony systemów na różne sposoby, to zarządzanie podatnościami i testy penetracyjne. Ale jakie są między nimi różnice, jakie korzyści z nich płyną i co za tym idzie - kiedy należy stosować którą z tych metod?

Zarządzanie podatnościami

Zarządzanie podatnościami lub skanowanie podatności to zautomatyzowane i ciągłe monitorowanie, które identyfikuje i klasyfikuje luki w serwerach, komputerach, sieciach i aplikacjach. Odbywa się to poprzez dopasowanie różnych systemów do znanych podatności w zabezpieczeniach. Najczęstszą wykrywaną luką są przestarzałe systemy. W małym środowisku IT zapewnienie, że wszystkie systemy są aktualne, może wydawać się dość łatwe, ale w większych środowiskach z setkami, a może nawet tysiącami systemów, jest to znacznie większe wyzwanie. Zaletą zarządzania podatnościami jest to, że odbywa się ono całkowicie obiektywnie i bez żadnych osobistych preferencji.

Powszechnie mówi się, że zarządzanie podatnościami w zabezpieczeniach ma dwa różne poziomy skanowania:

  • skanowanie nieuwierzytelnione,
  • skanowanie uwierzytelnione.

W większości przypadków wdrożenie tych poziomów odbywa się w dwóch etapach. Najpierw skanowanie nieuwierzytelnione a następnie uwierzytelnione. Powodem tej metodologii jest to, że z punktu widzenia bezpieczeństwa priorytetem jest rozwiązywanie podatności w zabezpieczeniach, które można wykorzystać tylko poprzez zewnętrzny dostęp do systemu.

Skanowanie nieuwierzytelnione

Skanowanie nieuwierzytelnione to skanowanie wykonywane z Internetu lub za pomocą skanerów zainstalowanych lokalnie. Ta metoda nie wymaga logowania ani agenta. Tego typu skany są ważne, ponieważ znajdują podatności w zabezpieczeniach, które haker mógłby wykorzystać, aby dostać się do systemu.

Skanowanie tego rodzaju powinno być wykonywane tak często, jak to możliwe, ponieważ co tydzień pojawiają się setki nowych podatności w zabezpieczeniach. Z tego powodu powszechną częstotliwością jest cotygodniowe skanowanie. Jednak po wprowadzeniu większych zmian w systemie i po wdrożeniu nowych systemów powinno być również wykonywane skanowanie na żądanie.

Skanowanie uwierzytelnione

Skanowanie uwierzytelnione polega na umożliwieniu skanerowi dostępu do systemu jako użytkownik uprzywilejowany. Pozwala to skanerowi uzyskać bardziej szczegółowe informacje i wykryć więcej zagrożeń od wewnątrz, takich jak słabe hasła, złośliwe oprogramowanie, zainstalowane aplikacje i problemy z konfiguracją. Metoda ta może symulować, jakie szkody może spowodować użytkownik systemu z określonymi uprawnieniami.

Testy penetracyjne

Test penetracyjny, inaczej pentest, jest przeprowadzany przez jedną lub kilka osób posiadających rozległą wiedzę na temat bezpieczeństwa IT. Taka osoba jest często nazywana testerem penetracyjnym i jest zwykle zatrudniana jako konsultant, aby zapewnić bardziej obiektywne zarządzanie środowiskiem. Podczas pracy tester penetracyjny używa różnych narzędzi do znajdowania i testowania systemów pod kątem podatności w zabezpieczeniach. Pentester ma również większe możliwości adaptacyjne niż zarządzanie podatnościami wykonywane przez komputer. Często pierwszym krokiem w procesie testów penetracyjnych jest skanowanie zarządzania podatnościami.

Testy penetracyjne zwykle nie są przeprowadzane tak często, jak zarządzanie podatnościami, ale powinny być wykonywane co najmniej raz do roku. Podobnie jak w przypadku zarządzania podatnościami, podczas wprowadzania zmian w środowisku IT, takich jak wydanie systemu wrażliwego, mogą być potrzebne dodatkowe testy penetracyjne.

Zatrudniając testera penetracyjnego, ważne jest, aby zapytać o praktyczne doświadczenie, zwłaszcza w podobnych środowiskach oraz umiejętność myślenia i działania z perspektywy atakującego. Ważne jest również, aby osoba ta była bardzo ostrożna, dokładna i posiadała dobre umiejętności komunikacyjne, tak żeby można było w pełni zrozumieć wyniki i potrzebne działania.

Częstym problemem związanym z testami penetracyjnymi jest to, że działania następcze i wymagane są obniżane przez organizację, gdy tylko pentester zakończy zadanie. Dlatego też tak ważne jest ciągłe i zautomatyzowane zarządzanie podatnościami. Uzupełniają one testy penetracyjne i zapewniają częste i długotrwałe wykrywanie podatności w zabezpieczeniach.

Dowiedz się więcej o Holm Security

Autorem tekstu jest Joanna Świerczyńska

Patryk Ćwięczek
junior product manager Holm Security

Masz pytania?
Skontaktuj się ze mną:
cwieczek.p@dagma.pl