Penetrační test (neboli test perem) je autorizovaný kybernetický útok proti síti. Provádí se, aby nedošlo k poškození sítě, ale k měření její schopnosti odrážet útoky. Po testu perem lze opravit případné nedostatky zabezpečení.
Penetrační testování lze provádět jak ručně, pomocí lidí, tak i automaticky pomocí nástrojů. Každý má jiné klady a zápory a ne vždy je jasné, který z nich je vhodný.
Jaký je tedy rozdíl mezi automatickým a manuálním testováním perem a které z nich je pro vaši firmu to pravé? Pojďme to zjistit níže.
Co je manuální penetrační testování?
Manuál penetrační testování je prováděna lidmi. Etičtí hackeři se pokoušejí proniknout do systému pomocí různých technik. Své pokusy o to pak dokumentují, poukazují na případné bezpečnostní chyby a dávají doporučení k jejich nápravě.
Manuální penetrační testování často zahrnuje automatické testování perem, protože jsou to lidé, kterých se to týká pomocí automatizovaných nástrojů. Před vynálezem automatického testování perem bylo ruční testování perem jedinou možností pro firmu, která chtěla vyhodnotit zabezpečení systému.
Výhody ručního testování pera
Manuální testování perem je výkonnější v několika ohledech. Pojďme se tedy podívat na jeho přednosti.
1. Identifikuje další problémy
Kybernetické útoky jsou zjevně prováděny lidskými hackery a žádný nástroj není schopen předpovědět, jak se pokusí získat přístup k síti. Z tohoto důvodu může ruční testování perem, které provádějí bezpečnostní experti, často identifikovat zranitelnosti, které automatizované nástroje neznají.
2. Nevytváří falešně pozitivní výsledky
Všechny bezpečnostní nástroje vytvářejí falešné poplachy. Falešně pozitivní je varování před zranitelností, která buď neexistuje, nebo nepředstavuje skutečnou hrozbu. Nástroje pro testování pera často produkují falešně pozitivní výsledky; to nejen plýtvá časem IT personálu, který je používá, ale také odvádí pozornost od skutečných hrozeb. Všechny zranitelnosti jsou vyšetřovány během manuálního testu perem a falešně pozitivní jsou vyloučeny.
3. Poskytuje užitečné rady
Po dokončení ručního testu perem je podniku poskytnuta zpráva, která vysvětluje všechny zjištěné problémy a jak by měly být tyto problémy vyřešeny. Mnoho etických hackerů také poskytuje pomoc při tom. Automatizované nástroje také poskytují zprávy, ale jsou méně podrobné a ne vždy vysvětlují, co by měl podnik dělat dál.
Nevýhody ručního testování pera
Jakkoliv milujeme manuální penetrační testování, je výrazně dražší. Zde je pohled na jeho stinné stránky.
1. Prohibiční náklady
Manuální testy perem jsou výrazně dražší než automatizované testy. Zatímco automatizované testy perem jsou pouze záležitostí spuštěného softwaru, ruční test perem je třeba naplánovat. Spíše než pronajímání softwaru musí firma najmout odborníky na zabezpečení. Manuální testy perem také vyžadují další práci ze strany podniku.
2. Různé sady dovedností
Efektivita ručního testování perem zcela závisí na dovednostech osoby najaté k tomu. Z tohoto důvodu, pokud najmete nesprávnou osobu, důležitá zranitelnost může zůstat bez povšimnutí. To je na rozdíl od automatizovaných nástrojů, které, i když nejsou tak důkladné, zaručeně splňují určitý standard.
Co je automatické testování pera?
Automatické testování perem je proces testování systému pomocí počítačových nástrojů spíše než lidských znalostí. Je výrazně levnější než ruční testování, protože IT pracovníci jej mohou provádět, aniž by museli najímat etického hackera.
Nástroje pro testování per dokážou rychle prozkoumat systém a upozornit na případné zranitelnosti, které by hacker mohl použít k získání přístupu. Je oblíbený u malých podniků, které by chtěly otestovat svou síť, ale mají na to omezený rozpočet.
Výhody automatického testování pera
Jednou z největších výhod automatizovaného penetračního testování je, že nestojí moc peněz.
1. Méně investice
Automatizované testování perem je výrazně levnější než ruční testování perem. Spíše než najímání bezpečnostního profesionála, musíte jednoduše platit za software. Software pro automatizované testování per je také navržen tak, aby jej mohli používat běžní pracovníci IT bez dalšího školení.
2. Lze jej provádět opakovaně
Vzhledem k výrazně nižší ceně automatizovaných řešení si většina podniků může dovolit je pravidelně provozovat. Většina společností provádí ruční testování perem pouze jednou, zatímco software na testování pera si mohou pronajmout za měsíční poplatek. To je velmi přínosné, protože se neustále objevují nové zranitelnosti.
3. Identifikuje mnoho stejných problémů
Automatizované testování perem není tak důkladné jako manuální, ale přesto dokáže odhalit širokou škálu bezpečnostních problémů. V závislosti na kvalitě podnikové sítě je možné, že automatické testování perem odhalí stejné problémy za zlomek ceny.
Nevýhody automatického testování pera
Níže se podíváme na jedinou a největší nevýhodu automatizovaného penetračního testování.
1. Neidentifikuje všechny zranitelnosti
Primární nevýhodou automatizovaných nástrojů je, že nedokážou identifikovat všechny zranitelnosti. Nedokážou odhalit chyby obchodní logiky a nedokážou určit, jak je podnik zranitelný vůči sociálnímu inženýrství. Ruční testování pera často zahrnuje pokusy o přístup k síti pomocí phishingových útoků, což není praktické při použití automatického nástroje.
Který je vhodný pro vaši firmu?
Ke zvýšení bezpečnosti sítě lze použít ruční i automatické testování perem. Ačkoli oba dokážou identifikovat zranitelnosti, ten správný pro vaši firmu závisí především na tom, kolik chcete utratit.
Pokud jste připraveni investovat do ručního testování perem, poskytne vám to vyšší úroveň testování a lepší pochopení zabezpečení vaší sítě. Najímání bezpečnostních expertů také znamená, že vám budou poskytnuty rady, jak nejlépe implementovat potřebné změny.
Automatizované testování perem je levnější alternativou a je oblíbené u podniků, které chtějí porozumět stavu zabezpečení své sítě, aniž by investovali mnoho peněz. I když není možné identifikovat všechny zranitelnosti, nižší cena také znamená, že automatické testy pera lze provádět častěji.
Nakonec se mnoho podniků rozhodlo použít kombinaci ručního a automatického testování perem. To jim umožňuje těžit z důkladného testu zabezpečení sítě, po kterém mohou použít automatické testování perem k odhalení nových zranitelností.