Testy penetracyjne, w skrócie pentesty, brzmią jak temat dla banków i wielkich korporacji. W praktyce coraz częściej sięgają po nie zwykłe firmy MŚP, bo to najbardziej uczciwy sposób sprawdzenia, czy zabezpieczenia naprawdę działają. Zamiast zakładać, że wszystko jest w porządku, wynajmujesz kogoś, kto próbuje włamać się do Twojej firmy w kontrolowany sposób i spisuje, co mu się udało. Wyjaśnię, czym pentest jest, a czym nie jest, i kiedy naprawdę warto go zrobić.

Czym jest test penetracyjny

Test penetracyjny to kontrolowana, zaplanowana próba przełamania zabezpieczeń, wykonywana za zgodą firmy i w ustalonym zakresie. Specjalista, nazywany etycznym hakerem, wciela się w rolę atakującego i szuka realnej drogi do Twoich danych albo systemów.

Najważniejsze słowo to realnej. Pentest nie kończy się na liście teoretycznych luk. Pokazuje, co z tych luk da się faktycznie wykorzystać i dokąd to prowadzi. Różnica jest jak między informacją, że drzwi mają słaby zamek, a pokazaniem, że tym zamkiem da się wejść do środka i dojść aż do sejfu.

Pentest a skan podatności

To dwie różne rzeczy, które łatwo pomylić, a bardzo różnią się ceną i wartością.

  • Skan podatności to zautomatyzowane narzędzie, które przegląda systemy i wypisuje znane słabości. Jest tani, szybki i warto go robić regularnie, ale generuje długą listę bez kontekstu.
  • Test penetracyjny to praca człowieka, który te słabości próbuje wykorzystać, łączy je ze sobą i sprawdza realny skutek. Jest droższy i rzadszy, ale mówi Ci, co naprawdę grozi.

Najczęstszy błąd, jaki widzę, to mylenie raportu ze skanera z pentestem. Skaner powie, że masz sto podatności. Dobry pentester powie, że wystarczą trzy z nich połączone razem, żeby przejąć dane księgowości. Ta druga informacja pozwala podjąć decyzję.

Rodzaje testów

W zależności od tego, ile wiedzy dostaje testujący, mówimy o trzech podejściach.

  1. Black box. Testujący nie wie nic, tak jak prawdziwy napastnik z zewnątrz. Najbliżej realnego ataku, ale zajmuje więcej czasu.
  2. Grey box. Testujący dostaje część informacji, na przykład konto zwykłego użytkownika. Sprawdza, jak daleko dojdzie ktoś, kto już ma nogę w drzwiach.
  3. White box. Testujący ma pełną wiedzę o systemie. Najskuteczniejszy w znajdowaniu maksimum problemów w krótkim czasie.

Osobno wyróżnia się zakres: testy aplikacji webowej, sieci wewnętrznej, infrastruktury dostępnej z internetu czy socjotechniki, czyli prób nabrania pracowników.

Kiedy warto zrobić pentest

Nie chodzi o to, żeby robić go co miesiąc. Są jednak momenty, w których ma szczególny sens.

  • Przed uruchomieniem nowej aplikacji lub usługi dostępnej z internetu.
  • Po większych zmianach w infrastrukturze, migracji do chmury albo przebudowie sieci.
  • Raz w roku jako stały element dbania o bezpieczeństwo, zwłaszcza gdy przetwarzasz dane wrażliwe.
  • Na wymóg klienta lub normy. Coraz częściej duzi kontrahenci albo ISO 27001 oczekują dowodu, że testy się odbywają.
  • Po incydencie, żeby sprawdzić, czy luka została faktycznie zamknięta, a nie tylko załatana na papierze.

Warto planować testy penetracyjne jako element szerszego dbania o bezpieczeństwo, a nie jednorazową akcję dla spokoju sumienia.

Co dostajesz na koniec

Wartość pentestu jest w raporcie, nie w samym fakcie jego przeprowadzenia. Dobry raport zawiera kilka rzeczy.

  • Streszczenie dla zarządu bez żargonu, mówiące wprost, jakie jest ryzyko dla firmy.
  • Listę znalezisk z priorytetami, od krytycznych po drobne, a nie alfabetyczny spis.
  • Dowód wykorzystania, czyli pokazanie, jak konkretnie udało się wejść.
  • Konkretne zalecenia naprawcze, które da się przekazać zespołowi do wykonania.

Sam raport to jednak dopiero połowa drogi. Wartość powstaje, gdy zalecenia zostaną wdrożone, a po jakimś czasie warto zrobić retest, żeby potwierdzić, że luki naprawdę zniknęły.

Pentest a audyt bezpieczeństwa

Te pojęcia bywają mylone. Pentest odpowiada na pytanie czy da się tu włamać i którędy. Audyt bezpieczeństwa IT patrzy szerzej: na procesy, polityki, konfiguracje i organizację, czyli czy firma jest zbudowana tak, żeby ograniczać ryzyko. Najlepiej działają razem. Audyt pokazuje, gdzie są luki systemowe, a pentest weryfikuje w praktyce, co da się przez nie zrobić.

Od czego zacząć

Jeśli nigdy nie robiłeś testów, nie zaczynaj od najdroższego, pełnego black box. Zacznij od określenia, co jest dla firmy najcenniejsze i co jest wystawione do internetu. To wyznacza sensowny zakres pierwszego testu. Reszta to dobór podejścia i terminu tak, żeby nie zakłócić pracy.

Jeśli chcesz sprawdzić, czy Twoje zabezpieczenia bronią się w praktyce, a nie tylko na papierze, pomożemy dobrać zakres testu pod realne ryzyko Twojej firmy. Zacznij od rozmowy o tym, co najbardziej chciałbyś ochronić.