Kako penetracijsko testiranje sprječava najgore scenarije za Vašu kompaniju

Kako penetracijsko testiranje sprječava najgore scenarije za Vašu kompaniju

Rasti znači mijenjati se; a kada kompanije i njeni sistemi godinama rastu, prirodno je da se počnu pojavljivati sigurnosni rizici koje nije lako primijetiti bez detaljne provjere.

Zbog toga, često se ispostavi da najopasniji sigurnosne situacije ne počinju velikim napadom već sitnicom koju niko nije primijetio.

Štaviše, mnoge ranjivosti postoje mjesecima ili godinama prije nego što izazovu ozbiljan problem. Male stvari koje se gomilaju: zastarjeli server, loši passwordi, neaktivan port koji je ostao otvoren, aplikacija treće strane koju niko više ne održava, itd. – često ovakve tačke postanu ulaz u sistem.

Upravo zbog toga postoji penetracijsko testiranje:

Kontrolisana simulacija napada koja otkriva kako bi stvarni napadači ušli u sistem, šta bi se moglo kompromitovati i koliko bi štete prouzrokovali. Umjesto reagovanja nakon incidenta, pentest omogućava da rizike vidite na vrijeme, nešto što je posebno važno za kompanije sa starijom opremom, manjim IT timovima ili kompleksnim mrežama koje su se vremenom širile.

Čemu služi penetracijsko testiranje?

Ukratko: pentest je realna simulacija cyber napada, izvedena po strogim pravilima i bez prekida poslovanja.

Za razliku od automatiziranih skenera, koji samo identifikuju tehničke propuste, pentest testira kako se te ranjivosti mogu zaista iskoristiti.

Cilj nije samo otkriti greške, već razumjeti njihov utjecaj: šta napadači mogu vidjeti, koliko se mogu pomjeriti kroz mrežu, i koje bi podatke mogli kompromitovati. Za kompanije sa kombinacijom starijih sistema, cloud servisa i lokalnih aplikacija, ovo je najpouzdaniji način da se dobije realna slika sigurnosti.

A koje ranjivosti pentest otkriva?

Godinama je sve isto, sve radi i zbog toga pretpostavljate da je sve u redu?

S tom pretpostavkom dolazimo do svrhe pentestiranja, jer najveći rizici obično nastaju na mjestima koja godinama “samo rade”, otkrivajući slabe tačke kao što su passwordi, pogrešne konfiguracije firewall-a ili rutera, zastarjele servere i aplikacije, preširoke privilegije pristupa, aplikacije trećih strana bez sigurnosnih provjera ili backup/DR sisteme koji nisu adekvatno zaštićeni.

Sve ovo su slabosti koje automatizirani alati često ne vide jer zahtijevaju ljudsko razmišljanje, intuiciju i razumijevanje napadačkih taktika.

Kako proces testiranja funkcioniše?

Proces je jasan i kontrolisan:

  1. Priprema: dogovor o obimu, pristupima i pravilima.
  2. Izviđanje: prikupljanje informacija o mreži i sistemima.
  3. Identifikacija ranjivosti: kombinacija alata i ručnih provjera.
  4. Eksploatacija: simulacija napada radi procjene realnog rizika.
  5. Izvještavanje: tehnički i upravljački izvještaji sa jasnim prioritetima.

Iako ovako na prvu zvuči jednostavno, testiranje se izvodi prema NIST, OWASP i MITRE metodologijama, što osigurava detaljnost i pouzdanost.

Svaka faza zahtijeva stručno tumačenje, iskustvo i jasnu procjenu rizika, što pentest čini mnogo dubljim procesom od obične tehničke provjere.

U praksi to znači da se svaki korak analizira sa više perspektiva, pa tako i najjednostavniji rezultat zahtijeva ozbiljnu interpretaciju.

Najčešće (pogrešne) pretpostavke iz našeg iskustva

U praksi smo vidjeli da mnoge kompanije imaju slična očekivanja i pitanja kada je riječ o pentestingu. Zato smo zamolili naše kolege, Tarika i Zlatka, da podijele s nama više o ovoj metodologiji i pojasne situacije koje Vas potencijalno najviše interesuju.

Tarik Zalihić, Senior Penetration Tester

1. Šta je najčešća greška koju kompanije prave prije penetracijskog testiranja?

Tehnologija svakodnevno napreduje i upravo zbog toga je veoma pratiti šta se dešava.

Mnoge kompanije u BiH, kao i u regionu, zapravo ne shvataju važnost informacijske sigurnosti, bar dok im se ne dogodi neka vrsta sigurnosnog incidenta.

Tek nakon što im se dogodi incident, shvate koliku štetu zapravo trpi kompanija i koliko to utiče na samo poslovanje iste. Upravo zbog toga, preventivno djelovanje je, ne samo isplativije, već i ključno za kontinuitet i sigurnost poslovanja.

Redovno penetracijsko testiranje omogućava da se smanji mogućnost sigurnosnog incidenta, te da se sigurnosni problemi i ranjivosti otklone prije nego što kompanija postane meta zlonamjernog faktora.

Jer kao što je i nekadašnji direktor FBI-a, Robert S. Mueller III, jednom prilikom izjavio:

“Postoje dvije vrste kompanija, one koje su hakovane i one koje ne znaju još da su

hakovane…”

2. Kako izgleda realni scenarij napada koji najviše iznenadi klijente?
Mislim da većina zapravo ne shvata koliko su njihovi podaci lako dostupni, te čak i ako nisu, potrebno je samo malo više vremena da se dođe do njih.

Nažalost, živimo u takvom vremenu, gdje smo “primorani” da određenu vrstu podataka serviramo na Internetu. Veoma je bitno shvatiti, da nisu svi dobronamjerni, te da se sve što je objavljeno na Internetu može zloupotrijebiti na neki način.

Kada je u pitanju informacijska sigurnost individue ili čak kompanije, prva stavka koju zlonamjerni akter radi je u stvari tzv. “reconnaissance” ili prikupljanje informacija poput email adresa, liste zaposlenih osoba, brojevi telefona, struktura kompanije itd.

Nakon toga u većini slučajeva zlonamjerni akter, koristi vrstu napada koji se zove “phishing” gdje zapravo pokušava da dođe do povjerljivih podataka poput korisničkog imena ili šifre.

Nakon kompromitacije jednog korisničkog računa, slijede pokušaji eskalacije privilegija, kompromitacije drugih korisnika, širenja po mreži i implementacije malicioznog programa (npr. ransomware-a), što može rezultirati kriptovanjem i krađom podataka, gubitkom dostupnosti sistema i finansijskim ucjenama.

Zlatko Zalihić, Junior Penetration Tester

1. Kako da se mala ili srednja firma pripremi za pentest bez komplikacija?
Ukratko: najbolje bi bilo da se pripreme na način koji ne zahtjeva bilo kakvu vrstu

komplikacija. Prije samog penetracijskog testiranja, najbitnije je da se unaprijed tačno odredi i definiše šta treba biti obuhvaćeno samim testom, kako bi se izbjegle nejasnoće tokom provođenja.

Također je potrebno odrediti osobe koje će biti zadužene za komunikaciju sa testnim timom, posebno u situacijama gdje se otkrije kritična ranjivost i potrebna je brza reakcija.

Što se tiče kompanije, najbolje je da pripremi osnovnu listu sistema i servisa koji su od posebne važnosti (npr. web aplikacije, email, VPN, cloud, interne baze, itd.), te da se jasno naglasi šta je “kritično” a šta je manje bitno, kako bi se test fokusirao na realne rizike.

Poželjno je unaprijed definisati pravila testiranja (vrijeme izvođenja, dozvoljene metode i ograničenja, te šta je van opsega) kako ne bi došlo do prekida poslovanja ili neželjenih posljedica u produkciji.

Zato je važno redovno provoditi penetracijska testiranja, kako bi se na vrijeme otkrile i otklonile ranjivosti te značajno smanjila mogućnost sigurnosnih incidenata.

U slučaju da do incidenta ipak dođe, penetracijska testiranja pomažu kompaniji da bude spremnija kroz bolje procedure, provjerene sigurnosne kopije i jasne korake reakcije.

2. Koja ranjivost se najčešće potcjenjuje dok je ne pokaže pentest?
Najčešća “ranjivost” koju većina kompanija potcjenjuje jeste nepravilno upravljanje korisničkim računima i privilegijama unutar kompanije. Korištenje slabih ili istih korisničkih šifri, nedostatak dvo-faktorske autentifikacije, te dodjeljivanje nepotrebnih privilegija korisnicima često djeluju kao “bezopasni” propust jer ne predstavljaju odmah problem u svakodnevnom radu kompanije.

Međutim, penetracijsko testiranje pokaže suprotno, da upravo ovakve ranjivosti predstavljaju najbrži i najjednostavniji put do kompromitacije sistema.

Potrebno je samo da zlonamjerni akter dođe do jednog slabo zaštićenog korisničkog računa (najčešće putem phishinga), nakon čega može ostvariti pristup internim resursima, lateralno se kretati kroz mrežu kompanije i postepeno eskalirati privilegije do administratorskog nivoa.

U tom trenutku, kompromitacija više nije ograničena na jedan račun, već može zahvatiti

ključne servise poput domena, cloud okruženja, itd. Važno je naglasiti da ovakve vrste ranjivosti ne zahtijevaju napredne tehnike, već se akter oslanja na osnovne greške u upravljanju identiteta i pristupom.

(Vjerovatno) najbitnije pitanje: Zašto je pentest ulaganje, a ne trošak?

Na osnovu svega navedenog, sasvim je razumljivo zapitati se: „Koliko sve ovo košta moju kompaniju?“

A mi vjerujemo da je jednako važno pitanje i: „Kako će mi pentest konkretno pomoći?“

Zašto?

Zato što pentest smanjuje rizik od zastoja, gubitka podataka, reputacijske štete i potencijalnih kazni zbog neusklađenosti sa propisima. Dodatno, ukazuje na jasne prioritete za ulaganja, jača povjerenje klijenata i omogućava bržu reakciju u slučaju incidenta.

Ova investicija za Vašu kompaniju je predvidiva, s tim da to nije slučaj sa troškovima koji mogu nastati kao rezultat cyber napada.

Pitanje dana: Da li je pravi trenutak za obavite pentest?

Ono što često volimo istaći je da je najbolji trenutak za pentest prije nego što ranjivost postane problem.

To je najpouzdaniji način da dobijete realnu sliku svojih rizika i donesete pametne sigurnosne odluke. Uz jasnu komunikaciju i stručnu podršku, pentest postaje jednostavan korak koji štiti stabilnost i dugoročni razvoj Vašeg poslovanja.

Stoga, ako želite razumjeti gdje se nalaze Vaši ključni rizici i kako ih efikasno adresirati, naš tim Vam stoji na raspolaganju za razgovor, konsultacije ili detaljniji pregled Vašeg okruženja. Naravno – za prvi korak bez pritiska, uvijek možemo organizovati kratak informativni razgovor na ovu temu.

Prijavite se na naš newsletter

TRENDOVI

Unaprijedite svoje poslovanje