Co je penetrační test?
Penetrační test je druh hodnocení bezpečnosti prováděného na počítačovém systému, ve kterém se osoba provádějící hodnocení pokouší proniknout do systému. Cílem testu je zjistit, zda může do systému vstoupit někdo, kdo má škodlivý úmysl, a co má přístup, jakmile systém pronikl. Penetrační testy nabízí řada firem, které se specializují na bezpečnost počítačových systémů, a často se důrazně doporučují pro systémy a společnosti všech velikostí, protože poškození počítačového systému způsobené nepřátelským útokem může být nákladné a trapné.
Existuje několik různých přístupů k penetrační zkoušce. Při přístupu v černé skříňce se osobě provádějící test neposkytují žádné informace o systému. Začne od země hledat potenciální exploity a vnikne do systému. Při testu v bílém poli jsou poskytnuty všechny informace, které umožňují testerovi simulovat vnitřní úlohu nebo únik informací. Některé společnosti volí hybridní přístup, ve kterém jsou poskytovány některé informace a je třeba hledat další informace.
V průběhu penetračního testu může bezpečnostní odborník simulovat mazání nebo pozměňování dat, krádeže souborů, vkládání škodlivého kódu a řadu dalších činností. Penetrační test může zpomalit systém, takže je důležité načasování testu; společnosti se chtějí vyhýbat zasahování do svých vlastních operací, když provádějí hodnocení bezpečnosti.
Lidé, kteří provádějí penetrační testy, mají rozsáhlou knihovnu počítačových dovedností a někteří mají historii jako hackeři, kteří je seznámili s četnými způsoby, jak lze počítačové systémy využít. Najímání kvalifikovaných hackerů jako bezpečnostních poradců může být ve skutečnosti velmi důvtipným obchodním tahem pro firmu, která se specializuje na zabezpečení počítačů a sítí, protože hackeři mají často nejaktuálnější znalosti a informace a jsou zvyklí na přístup k počítačovým systémům z role někoho, kdo má zlobu, spíše než roli dotčeného bezpečnostního experta.
Pro jednoduché testování je možné použít automatizovaný systém k provedení penetračního testu. To snižuje náklady a umožňuje společnostem snadno provádět náhodné testování, když si myslí, že by mohla být potřeba. Ruční testování je náročnější a časově náročnější, ale může přinést úplnější výsledky. Kreativní a odhodlaný člověk může odhalit potenciální výhody, které může automatizovaný program minout.
Jakmile je penetrační test ukončen, jsou zjištění zapsána a předložena klientovi. Spolu se zjištěními je generován seznam doporučení, přičemž bezpečnostní firma uvádí oblasti, v nichž by bylo možné zlepšit bezpečnost, a předkládat návrhy na zlepšení.