Autorem odborného článku je Tomáš Přibyl, externí redaktor

Všechno je v pořádku, nic se neděje. Ale jak si tento stav vyložit?

Je opravdu všechno v pořádku nebo jen něco přehlížíme? Jak praví jeden z Murphyho zákonů: „Zůstáváš-li klidný ve chvíli, kdy ostatní ztrácejí hlavu, znamená to, že jsi něco nepochopil." Hledejte pořád dál...

Těžko v oblasti informační bezpečnosti přinést pozitivní důkaz: že je systém bezpečný a že se nemůže nic stát. Můžeme přinést důkaz negativní, že něco není v pořádku a že právě zde je možné ohnisko problémů. Ostatně, všimněte si, že i zprávy antivirových programů u příloh e-mailů opatrně nekonstatují „bez virů“, ale zpravidla obezřetně upozorní, že „zpráva byla zkontrolována antivirovým programem tím a tím, verze té a té“. A takto je to s celou bezpečností: můžeme hledat stopy problémů, ale pokud je nenajdeme, neznamená to, že je všechno v pořádku. Trochu ironicky by se dalo říci, že musíme hledat pořád dál nebo že jsme špatně hledali…

Test průnikem

Jednou z nejlepších věcí, kterou lze v rámci bezpečnostního auditu provést, jsou penetrační testy. Tedy aktivní vyhledávání zranitelných míst systému stejnými nástroji a postupy jaké používají reální útočníci.

Cílem penetračních testů je zjistit, do jaké míry je informační systém odolný vůči útoku. Zjednodušeně řečeno: v jejich průběhu dochází ke kontrolovanému napadení systému a ke zjišťování slabých míst. Testy pracují na podobném principu jako třeba antivirové programy, které se v systému snaží nalézt viry na základě předdefinované databáze – při penetračních testech dochází k hledání známých bezpečnostních nedostatků na základě jejich předurčeného seznamu. Externí penetrační testy jsou založeny především na cíleném vyhledávání možných bezpečnostních slabin informačního systému pomocí simulovaných útoků vedených na něj z internetu. Metodika tohoto druhu testů zpravidla obsahuje kontrolu bezpečnosti běžně používaných technologií.

Zpravidla zahrnuje kontrolu:
•  vstupní bodů do sítě (firewally, routery, paketové filtry aj.);
•  demilitarizované zóny;
•  otevřených portů;
•  zranitelnosti služeb a aplikací (jako je web, DNS, FTP, SMTP, SQL a další internetové služby);
•  zranitelnost pomocí DoS (resp. DDoS) či SynFlood útoků atd.

Není to všelék

Nezapomínejme, že provedení penetračního testu samo o sobě nedostatky systému neodstraní! V této fázi jsou potencionální slabá místa pouze odhalena – pokud možno dříve než na ně přijde útočník. Na provedení penetračních testů tak zákonitě musí navazovat fáze druhá – odstranění zjištěných bezpečnostních nedostatků (aplikace příslušných záplat, změna nastavení software…). Bez tohoto dokončení by penetrační testy neměly smysl.

Penetrační testy je dobré provádět opakovaně – jejich četnost pak závisí na konkrétní situaci. Proč? Jednak se stále objevují nové a nové bezpečnostní chyby, na něž je potřeba systém otestovat. A jednak je tímto způsobem zpětně reflektován výsledek testu předchozího: zdali došlo či nedošlo k odstranění zjištěných slabin. Frekvence by se dala charakterizovat slovy „čím častěji, tím lépe“, ale v praxi je pochopitelně nutné najít rozumný kompromis mezi četností a přínosem.

Úspěšné a neúspěšné

Penetrační testování je přitom velmi specifikou záležitostí: aby mělo alespoň trochu vypovídací schopnost, musí se totiž provést kvalitně. Nelze penetraci udělat jen tak napůl, protože pak riskujeme, že to nejdůležitější nám zůstane skryto. Ostatně, i zkušení testeři upozorňují, že nikdy nelze sledovat úplně všechny parametry a vztahy – že je možné odhalit typické a známé chyby, na základě minulých zkušeností i podstatnou část nových nebezpečí, ale nikdy ne všechny. Zkrátka: Nikdy nevyloučíte, že i při sebepečlivěji provedeném testu útočník nevymyslí/neobjeví něco nového. Musíme tedy počítat s tím, že penetrace je jednou součástí „bezpečnostního mixu“ s výrazným poradním hlasem. Znovu pak připomínáme, že penetrační testy na problémy poukazují, neodstraňují je. Penetrační testy tak nezaručují bezpečnost. Prostě jen otestují systém určitým způsobem proti určitým typům útoků. Nic víc, nic méně. Ale i tak jsou ceněné, protože neexistuje reálnější možnost testování. Pamatujte si také, že čím zkušenější je tester, tím lepší jsou výsledky testů. Se zkušenostmi roste pravděpodobnost, že si všimne i věcí, které by se mohly stát zdrojem nepříjemností a problémů v budoucnu. Nezapomínejte, že testy musí být prováděné v reálném prostředí, nikoliv v prostředí modelovém nebo uměle upraveném – cílem testu je právě zapojení zkoumaného systému do skutečného prostředí. Model vždy představuje určité zjednodušení nebo neodráží věrně aktuální stav včetně chování uživatelů apod. Informační systém je zkrátka dynamickým objektem, jehož podoba a stav se neustále proměňují. Ostatně, z toho plyne ještě jedno varování: pozor na sebemenší změny v systému! I zdánlivě bezvýznamná maličkost může zásadním způsobem změnit klíčové parametry systému! Nepodceňujte proto drobné změny, neb vás mohou nebezpečně přiblížit velkému průšvihu! Právě (opakované) penetrační testování nám umožňuje trvale udržet vysokou laťku v oblasti ICT bezpečnosti.