Egy penetrációs teszt elvégzése előtt érdemes felkészülnie a vállalkozásnak is a biztonsági tesztelésre. Ebben a bejegyzésben sorra vesszük, hogy milyen teendők várnak az ügyfélre.
Gondos előkészületekre van szükség ahhoz, hogy technikai akadályok nélkül megkezdődhessen a penetrációs teszt. Jellemzően két héttel a teszt indulása előtt tartunk egy Kick-off meetinget, ahol megbeszéljük a penetrációs teszt technikai feltételeit. Ez a két hét elegendő időt biztosít a technikai csapatnak, hogy eleget tegyenek a technikai feltételeknek, legyen szó akár KKV-ról vagy nagyvállalatról.
Az alkalmazás bemutatása
Az ügyfél egyik legfontosabb feladata a teszteltetni kívánt alkalmazás bemutatása. Egy kiberbiztonsági tanácsadó munkáját nagyban segíti, ha tudja, hogy működik az alkalmazás, főleg ha speciális szakterületről van szó. A munkafolyamatok megismerése során felmerülő kérdések segítségével pontosabb támadási vektort alakíthat ki.
A következő területeket beszéljük át a meeting során:
-Munkafolyamatok
-Felhasználók és jogosultságaik
-Adminisztratív felület
-Fájl feltöltés
-Használt technológiák
Tesztkörnyezet
A pentetrációs teszt ideális esetben tesztkörnyezetben zajlik, ami lehetőséget ad a tesztelőnek agresszívabb támadások megvalósítására, a produktív alkalmazás veszélyeztetése nélkül. Egy olyan tesztalkalmazásra van szükségünk, amit csak mi használunk a teszt során, valamint tesztadatokkal van feltöltve.
Tűzfal
A tesztkörnyezet ideális esetben nem érhető el az internetről, így az IP címünket hozzá kell adni a tűzfal “whitelistjéhez”, hogy megkezdhessük a munkát.
Hozzáférési adatok
A tesztjeink nagy része a “grey box” módszertant követi, tehát rendelkezünk felhasználói fiókokkal, valamint előzetes ismeretekkel az alkalmazást illetően (URL, architektúra, technológia). Az ügyfél kifejezett kérése esetén el szoktunk ettől térni, ám idő és érték arányban ezt tartjuk a legcélravezetőbb megoldásnak.
WAF
A webes alkalmazás tűzfal (WAF – Web Application Firewall) egy nagyon hasznos biztonsági kiegészítő, ám penetrációs teszt esetén ki kell kapcsolni. A WAF csupán egy újabb biztonsági rétéget ad, ám ha pentest során aktív, akkor a tűzfalat teszteljük, nem az alkalmazást. Az alkalmazásban létező hibákat továbbra is ki lehet használni, csupán több időbe és energiába kerül kijátszani a tűzfalat.
Ha a fenti pontokat végigolvasta, akkor láthatja, hogy milyen teendőkkel jár egy penetrációs teszt előkészítése.