Įsilaužimų testavimo paslauga

Nacionalinis kibernetinio saugumo centras teikia įsilaužimų testavimo paslaugą pagal užsakymą kibernetinio saugumo subjektams, kurie siekia įsivertinti savo sistemų saugumo būklę, bet neturi tam tinkamų įrankių ar lėšų tokio pobūdžio paslaugai įsigyti.

Įsilaužimų testavimas (angl. penetration test) yra saugumo audito procedūra, kurios metu atliekami veiksmai, siekiant įvertinti kompiuterinių sistemų, tinklų, programinės įrangos ar kitų skaitmeninių išteklių saugumą.

Pagrindinis testavimo tikslas - identifikuoti saugumo spragas, kurios galėtų būti išnaudotos kenkėjiškiems tikslams. Savalaikis pažeidžiamumų nustatymas leidžia laiku užkardyti susijusias grėsmes ir užkirsti kelią galimiems incidentams.

Patikrinimo metu naudojamos įvairios technikos ir įrankiai, įskaitant automatizuotą programinę įrangą bei rankinį vertinimą. Atliekant patikrą, galimi įvairūs testavimo scenarijai ir apimtys, kurios apibrėžiamos šiais kriterijais:

Testavimo tikslas ir rezultatai

  • Pažeidžiamumų patikra - pažeidžiamumų patikra automatizuotomis priemonėmis, kuomet patikros rezultatai pateikiami jų nevertinant rankiniu būdu. Tai greičiausias patikros variantas.
  • Įsilaužimų testavimas - testavimas pradedamas automatizuotomis priemonėmis, tuomet rasti kritiniai, aukšto ir vidutinio prioriteto pažeidžiamumai validuojami rankiniu būdu, siekiant atmesti galimus klaidingai teigiamus rezultatus ir patikrinti nustatytų spragų realaus išnaudojimo galimybę. Šio testavimo atveju įprastai vykdomi ir gilesnio įsilaužimo (privilegijų eskalavimo ar naujai aptiktų resursų tolimesnio išnaudojimo) veiksmai.

Testavimo būdai

  • Išorinė patikra - tik išoriškai pasiekiamų resursų patikra.
  • Vidinė patikra - tik vidiniame tinkle prieinamų paslaugų patikra.

Testuojamų aplinkų tipai

  • Tinklu pasiekiamų paslaugų testavimas - apima tinklo patikrą, prievadų skenavimus ir šiais prievadais teikiamų paslaugų pažeidžiamumų identifikavimą.
  • Žiniatinklio aplikacijų / API testavimas - ieškomi žiniatinklio (ang. Web) aplikacijoms būdingi pažeidžiamumai, tokie kaip SQL kodo įterpimas, logikos klaidos, XSS ir pan. Aplikacija nagrinėjama dinaminiu būdu, kuomet pažeidžiamumus siekiama identifikuoti ir įvertinti analizuojant atsakymus į įvairias HTTP užklausas. Dalis užklausų yra potencialiai kenkėjiško pobūdžio.
  • Debesija - ieškomi debesijai (SaaS, PaaS, IaaS) būdingi pažeidžiamumai.

Testavimo tipai

  • Juodosios dėžės (ang. Black box) - suteikiama minimali informacija, reikalinga testavimui pradėti - IP adresai, domenai ir pan. Tinkamas atvejams, kai norima įvertinti sistemų pažeidžiamumus iš išorinio naudotojo perspektyvos.
  • Pilkosios dėžės (ang. Grey box) - suteikiama daugiau informacijos negu juodos dėžės atveju - potinkliai, konkretūs URL, tam tikrų vidinių naudotojų prisijungimo duomenys ir pan. Verta rinktis tuo atveju, kai norima įvertinti sistemų atsparumą ribotas privilegijas turinčių naudotojų veiksmams.
  • Baltosios dėžės (ang. White box) - suteikiama pilna informacija apie tikrinamas sistemas, pavyzdžiui viso tinklo schemos, sistemų išvesties kodas, serverių konfigūracijos, kai kurių sistemų administratorių prisijungimo duomenys ir pan. Tinkama tuo atveju, kai norima identifikuoti pažeidžiamumus, kuriuos būtų sudėtinga identifikuoti, neturint išsamių žinių apie esamą infrastruktūrą.

Paslaugos eiga ir terminai

Gavęs užsakymą, NKSC kreipiasi užsakovo nurodytais kontaktais ir inicijuoja testavimo plano formavimą. Testavimo planas, kuriame nurodomos visos esminės paslaugos sąlygos, sudaromas pagal užsakymo formoje pateiktą informaciją bei papildomai suderintas detales. Suderinus ir patvirtinus su užsakovu testavimo planą, jame nurodytais terminais ir sąlygomis atliekama patikra. Patikros rezultatai įforminami ataskaita ir pateikiami užsakovui.

Jeigu užsakymo formoje pateikiama jautri informacija, rekomenduojame formos failą apsaugoti slaptažodžiu, kurį pateiktumėte atskiru komunikacijos kanalu (pvz. sms žinute), arba užklausą siųsti šifruotu elektroniniu laišku.

Testavimo terminas priklauso nuo patikros apimties ir NKSC darbuotojų užimtumo – susidariusios patikrinimų eilės.

Paslaugos užsakymas

Paslaugą užsakyti kibernetinio saugumo subjektai gali per KSIS platformą - paslaugų užsakymo skiltyje.

CyberSprint
Bendruomene
Mokymai
Kibernetinio saugumo įstatymas

Rekomendacijos

Kibernetinio saugumo vadovas verslui

CIS saugumo priemonės

Interneto svetainių apsauga

Mobiliųjų įrenginių apsauga

Duomenis šifruojantys virusai

Informacija apie grėsmes internete
ES finansuojami projektai

Įrankiai

Tikrinti, ar įrenginys nebuvo
fiksuotas dėl kenkėjiškos veiklos

Tikrinti svetainę
dėl pažeidžiamumų

Apsaugoti savo įrenginį nuo
kenkėjiško turinio

Pasitikrinti įrenginį dėl
saugumo spragų

Tikrinti įrenginį
dėl UPnP

Sužinoti savo
IP adresą

Atnaujinti slapukų nustatymus