Kaip pasiruošti įsilaužimų testavimui: praktinis gidas klientams

Kodėl svarbu pasiruošti įsilaužimų testavimui

Įsilaužimų testavimas dažnai matomas kaip techninė paslauga, kuri prasideda tik nuo testavimo. Tačiau realybėje jo rezultatai didele dalimi priklauso nuo to, kas vyksta dar prieš jam prasidedant. Būtent pasiruošimas lemia, kiek efektyvūs, tikslūs ir vertingi bus gauti rezultatai.

Įsilaužimų testavimas nėra vienpusis procesas – tai bendradarbiavimu paremtas darbas, kuriam būtina aiškiai apibrėžta apimtis, laiku suteiktos prieigos ir suderinti veiksmai tarp kliento ir testavimo komandos. Be šio pagrindo net ir patyrę specialistai negali pilnai įvertinti sistemos.

Pavyzdžiui, „Baltic Amadeus“  bendradarbiavo su „General Financing Bankas“, kur įsilaužimų testavimas yra nuolatinė reguliacinių reikalavimų dalis, nustatyta Lietuvos banko.

Siekiant atitikti šiuos reikalavimus, kliento pasiruošimas buvo būtinas. Organizacijai reikėjo aiškiai apibrėžti testuojamų sistemų apimtį, užtikrinti savalaikę prieigą ir suderinti veiksmus tarp vidinių komandų dar prieš pradedant projektą. Be to nebūtų buvę įmanoma užtikrinti nei saugumo, nei atitikties reikalavimų.

Kaip pažymi mūsų informacijos saugumo vadovas Gabrielius Vinciūnas:

„Projektai dažnai stringa dėl labai paprastų priežasčių, pavyzdžiui, laiku nesuteiktos reikiamos prieigos. Tuo metu testavimo komanda jau būna suplanavusi laiką ir resursus.“

Nepakankamas pasiruošimas gali lemti testavimo vėlavimus, nepilną sistemų įvertinimą ir, kai kuriais atvejais, būtinybę perplanuoti dalį darbų.

Pasiruošimas tiesiogiai veikia ir rezultatų kokybę. Kai sistemos, prieigos ir lūkesčiai yra aiškiai apibrėžti, testuotojai gali koncentruotis į realių pažeidžiamumų paiešką, o ne į bazinių pasiruošimo klausimų sprendimą.

Kaip pasiruošti prieš pradedant įsilaužimų testavimą

Tinkamas pasiruošimas yra tai, kas atskiria sklandų ir didelę vertę kuriantį įsilaužimų testavimą nuo uždelsto ir riboto. Žemiau pateikiame praktinį žingsnių sąrašą, kuris padės pasiruošti prieš kreipiantis į įsilaužimų testavimo paslaugų teikėją.

Apibrėžkite, ką iš tikrųjų norite testuoti

Pirmasis ir svarbiausias žingsnis yra aiškiai apibrėžti testavimo apimtį (angl. scope). Neturint aiškaus supratimo, kas turi būti testuojama, net ir stipriausia įsilaužimų testavimo komanda negalės pateikti prasmingų rezultatų.

Tai apima:

• Aplikacijas ir sistemas. ‍
• API ir integracijas.
• Vidinę infrastruktūrą.
• Išorėje pasiekiamas sistemas.
• IoT įrenginius ir aparatinę įrangą.
• Fizinį perimetrą.
• Socialinės inžinerijos scenarijus.
• Automobilių sistemų testavimą.
• SOC (Security Operations Center) paslaugų efektyvumo vertinimą.
• Atitikties testavimą (pvz., NIS2, ISO 27001).

Praktikoje šis žingsnis dažnai yra sudėtingesnis, nei gali pasirodyti iš pirmo žvilgsnio.

Kaip pažymi mūsų CISO:

„Kartais daugiau laiko užtrunka suprasti, ką tiksliai reikia testuoti, nei pats testavimas, ypač organizacijose, kur sistemos vystėsi ilgą laiką ir nėra visiškai dokumentuotos.“

Tuo pačiu svarbu suprasti, kad apimties apibrėžimas tiesiogiai lemia galutinį rezultatą. „DeepStrike“ tyrimas rodo, kad nors daugelis organizacijų vis dar testuoja ribotą ar bendrą apimtį, tiksliau apibrėžti testai, apimantys API ir debesijos aplinkas, leidžia aptikti iki 81 % kritinių ir aukšto lygio pažeidžiamumų, kurių platesni, bet paviršutiniški skenavimai gali nepastebėti.

Tuo tarpu per siaurai ar nepakankamai tiksliai apibrėžta apimtis gali atskleisti tik 20–30 % realių rizikų. Priešingai, gerai apgalvotas ir tikslinis testavimas gali padidinti investicijų grąžą iki 53 %, nes leidžia efektyviau prioritetizuoti ir šalinti pažeidžiamumus.

Todėl skyrus pakankamai laiko apimties apibrėžimui užtikrinama, kad testavimas būtų nukreiptas į svarbiausius objektus ir atspindėtų realią organizacijos riziką.

Paruoškite prieigas iš anksto

Kai testavimo apimtis jau aiški, kitas žingsnis – užtikrinti, kad visos reikalingos prieigos būtų paruoštos dar prieš pradedant testavimą.

Priklausomai nuo įsilaužimų testavimo tipo, tai gali apimti:

• Naudotojų prisijungimus.
• VPN ar vidinio tinklo prieigą.
• API raktus.
• Prieigą prie testavimo arba produkcinės aplinkos.

Prieigų vėlavimas yra viena dažniausių priežasčių, kodėl projektai stringa.

Kaip pažymi mūsų CISO:

„Prieigos yra viena pagrindinių kliūčių, dėl kurių projektai užtrunka ilgiau nei planuota.“

Iš anksto paruoštos prieigos padeda išvengti laiko švaistymo ir užtikrina, kad testavimo komanda galėtų pradėti darbą iš karto ir efektyviai.

Supraskite savo sistemas

Daugelis organizacijų neįvertina, kad laikui bėgant jų IT aplinka tampa sudėtingesnė. Sistemos plečiasi, atsiranda naujų integracijų, o dokumentacija ne visada spėja paskui pokyčius.

Dažniausiai pasitaikančios problemos:

• Nežinomi arba nevaldomi IT ištekliai.
• Pasenusi sistemų dokumentacija.
• Neaprašytos integracijos.
• „Shadow IT“.

Tuo pačiu šiuolaikinės IT aplinkos tampa vis labiau tarpusavyje susietos. Duomenys rodo, kad apie 40 % organizacijų tiekimo grandinės ir trečiųjų šalių rizikas įvardija kaip vieną pagrindinių grėsmių. Tai tik patvirtina, kaip stipriai tarpusavyje susijusios sistemos didina bendrą saugumo pažeidžiamumą.

Todėl kuo geriau suprantate savo IT aplinką, tuo efektyvesnis bus įsilaužimų testavimas.

Suderinkite testavimo metodiką

Prieš pradedant testavimą svarbu aiškiai susitarti, kaip jis bus atliekamas.

Tai apima:

• Testavimo tipą (black-box, grey-box, white-box).
• Suteikiamos prieigos lygį.
• Testuojamas aplinkas (produkcinę ar testinę).
• Automatizuotų įrankių ir rankinio testavimo santykį.

Aiškiai suderinta metodika padeda išvengti nesusipratimų ir užtikrina, kad abi pusės turi vienodus lūkesčius dėl proceso ir rezultatų.

Kaip paaiškina mūsų CISO:

„Automatizuoti įrankiai labai efektyviai aptinka dažniausiai pasitaikančius pažeidžiamumus, tačiau jie dažnai nepastebi sudėtingesnių problemų, pavyzdžiui, verslo logikos klaidų ar sujungtų atakų scenarijų, kuriems reikia konteksto supratimo. Praktikoje tokio tipo pažeidžiamumai dažniausiai nustatomi atliekant rankinį testavimą, o ne automatizuotą skenavimą.“

Todėl kokybiškas įsilaužimų testavimas visada apima ne tik automatizuotą skenavimą, bet ir rankinį patikrinimą bei gilesnę analizę.

Informuokite vidines komandas

Sėkmingas įsilaužimų testavimas reikalauja ir vidinio organizacijos pasiruošimo.

Prieš pradedant testavimą svarbu:

• Informuoti IT, DevOps ir saugumo komandas.
• Užtikrinti, kad stebėsenos sistemos žinotų apie vykdomą testavimą.
• Paskirti atsakingus kontaktinius asmenis.
• Suderinti reagavimo į incidentus tvarką.

Be šio pasiruošimo testavimo veikla gali būti klaidingai interpretuojama kaip reali ataka arba netgi blokuojama vidinių saugumo mechanizmų.

Aiški komunikacija padeda užtikrinti, kad testavimas vyktų sklandžiai ir be nereikalingų trikdžių.

Būkite pasiruošę bendradarbiauti testavimo metu

Įsilaužimų testavimas nėra visiškai izoliuotas procesas. Testavimo metu komandai gali prireikti papildomos informacijos, patikslinimų ar patvirtinimų iš kliento pusės.

Tai gali apimti:

• Sistemos veikimo patvirtinimą.
• Nustatytų pažeidžiamumų validavimą.
• Papildomų prieigų suteikimą.
• Atsakymus į techninius klausimus.

Kaip pažymi mūsų CISO:

„Kartais mums reikia kliento įsitraukimo, kad geriau suprastume, kaip sistemos veikia realybėje. Greitas ir efektyvus bendradarbiavimas leidžia testavimo komandai dirbti sparčiau ir pateikti tikslesnius bei vertingesnius rezultatus.“

Toks bendradarbiavimas svarbus ne tik įsilaužimų testavimo metu. Pavyzdžiui, dirbant su „Darnu Group“, glaudus bendradarbiavimas su klientu buvo būtinas viso projekto metu.

Siekiant numatytų rezultatų, reikėjo aktyvaus skirtingų komandų įsitraukimo – tikslinti vidinius procesus, įvertinti, kaip darbuotojai reaguoja į saugumo incidentus, ir suderinti, kaip phishing atakų simuliacijos turėtų atspindėti realias situacijas. Tai pareikalavo nuolatinės komunikacijos ir greito grįžtamojo ryšio kiekviename projekto etape.

Dėl to organizacija galėjo aiškiai įvertinti savo vidinį pasirengimą saugumo grėsmėms ir imtis konkrečių veiksmų jam stiprinti.

Kokybiškam įsilaužimų testavimui būtina pasiruošti

Kaip jau aptarėme, įsilaužimų testavimas neprasideda nuo paties testavimo. Jis prasideda nuo pasiruošimo.

Kuo aiškiau apibrėšite testavimo apimtį, pasirūpinsite prieigomis, suderinsite komandų veiksmus ir suprasite savo sistemas, tuo daugiau vertės gausite iš šio proceso. Be šio pagrindo net ir kokybiškai atliktas testavimas gali nesuteikti visų reikalingų įžvalgų.

Būtent pasiruošimas leidžia specialistams koncentruotis į realias rizikas, o ne į bazinių techninių klausimų sprendimą. Tai užtikrina, kad pažeidžiamumai būtų ne tik identifikuoti, bet ir tinkamai įvertinti bei suprasti jūsų organizacijos kontekste.

Kaip pažymi Gabrielius Vinciūnas:

„Didžiausia įsilaužimų testavimo vertė yra ne atskirų pažeidžiamumų radimas, o jų poveikio verslui ir galimos žalos masto supratimas. „Baltic Amadeus“  įsilaužimų testavimas grindžiamas bendradarbiavimu. Dar prieš pradedant projektą dirbame kartu su klientais, kad viskas būtų aiškiai apibrėžta ir tinkamai paruošta. Tai leidžia pateikti gilesnes įžvalgas, tikslesnius rezultatus ir praktiškai pritaikomas rekomendacijas.

Mūsų tikslas yra ne tik atlikti testavimą, bet ir padėti organizacijoms suprasti realias rizikas bei imtis konkrečių veiksmų joms mažinti.

Jei planuojate įsilaužimų testavimą ir norite užtikrinti, kad jis sukurtų realią vertę, mūsų komanda gali padėti jums tinkamai pasiruošti, apibrėžti testavimo apimtį ir lydėti viso proceso metu. Susisiekite su mumis.