Testy penetracyjne kontra skanery podatności – co wybrać?

Zarówno testy penetracyjne, jak i skanery podatności podnoszą poziom bezpieczeństwa oraz umożliwiają organizacjom spełnienie obowiązku zarządzania podatnościami. Oba rozwiązania są jednak często mylone lub utożsamiane ze sobą. W tym artykule przedstawiamy, czym się różnią i w jakich przypadkach należy je stosować.

Kogo dotyczy obowiązek zarządzania podatnościami?

Obowiązująca od 2018 roku Ustawa o krajowym systemie cyberbezpieczeństwa (UKSC) nakłada na wybrane branże szereg obowiązków związanych z bezpieczeństwem systemów IT. Zaliczają się do nich firmy oraz instytucje świadczące usługi o istotnym znaczeniu, tzw. operatorzy usług kluczowych (OUK). Do tej grupy stale dołączane są nowe branże, a na rok 2022 zaliczają się do niej sektory:

• Energetyczny,
• Transportowy,
• Finansowy,
• Ochrony zdrowia (szczególnie szpitale z oddziałami SOR),
• Zaopatrzenia w wodę pitną,
• Infrastruktury cyfrowej,
• Publiczny (m.in. samorządy).

Więcej na temat polskich regulacji dotyczących bezpieczeństwa IT przeczytasz w artykule “Jak zyskać bezpieczeństwo i zgodność z regulacjami?”

Skanery podatności – na czym polegają?

Zadaniem skanerów podatności (ang. vulnerability scanner) jest odnalezienie wszystkich luk bezpieczeństwa. Sprawdzają one, czy zostały zainstalowane wszystkie poprawki producentów systemów, aplikacji i sprzętu wykorzystywanych w firmie.

Skanery podatności zawierają bazy znanych luk (np. katalogi CVE obejmujące powszechnie znane podatności i ich identyfikatory) oraz skrypty i skanery, dzięki którym sprawdzają testowane systemy. Przykładem popularnych skanerów są Nessus oraz OpenVAS.

Regularne przeprowadzanie aktualizacji, w czym pomagają skanery podatności, jest niezbędne, ale samo w sobie nie gwarantuje wysokiego poziomu bezpieczeństwa firmowej infrastruktury.

Testy penetracyjne – jak działają i jakie niosą korzyści?

Skanery podatności pozwalają zidentyfikować najpopularniejsze i najczęściej występujące luki – natomiast w przypadku testów penetracyjnych jest to dopiero pierwszy etap całego procesu.

Testy penetracyjne (potocznie nazywane pentestami) to symulowane, kontrolowane ataki wykorzystujące słabości systemów informatycznych. Dokonywane są na zlecenie firm w celu oceny poziomu zabezpieczenia sieci, usług, aplikacji i całości infrastruktury IT.

Podczas pentestów firmowa infrastruktura analizowana jest pod kątem błędów bezpieczeństwa wynikających m.in. z:

• Niewłaściwych konfiguracji,
• Słabości rozwiązań technicznych i procedur,
• Luk w zabezpieczeniach,
• Niewystarczającej świadomości użytkowników.

Dlaczego warto przeprowadzać testy penetracyjne?

Przede wszystkim regularne przeprowadzanie pentestów – zalecana jest częstotliwość 1-2 na rok – pozwala skutecznie minimalizować takie zagrożenia, jak: ransomware, wycieki danych i pozostałe naruszenia polityk bezpieczeństwa oraz integralności danych.

Pentesty umożliwiają:

• Identyfikację rzeczywistych słabości systemów informatycznych – nie tylko luk bezpieczeństwa w oprogramowaniu, ale też w procedurach, czy politykach bezpieczeństwa,
• Rozpoznanie zagrożenia jakie stanowią odnalezione słabości oraz skutków ich wykorzystania,
• Uszeregowanie zagrożeń pod względem ważności – nie każdą podatność można łatwo wykorzystać w ataku, więc mitygację zagrożeń należy rozpocząć od tych najpoważniejszych.

Nie wszystkie odnalezione w oprogramowaniu czy systemach podatności można skutecznie wykorzystać. Testy penetracyjne pozwalają rozpoznać poziom ryzyka związanego z daną słabością oraz jej negatywny wpływ na działalność organizacji.

Kamil Wiśniewski Cyber Security Architect w MAIN

Dodatkowo, testy penetracyjne pozwalają zweryfikować możliwości wewnętrznych i zewnętrznych zespołów SOC (Security Operations Center). Dzięki pentestom można określić, jakie narzędzia są potrzebne, aby zespoły te działały skutecznie, i opracować przemyślany budżet na cyberbezpieczeństwo firmy.

Kiedy warto przeprowadzać testy penetracyjne:

• Gdy zachodzi podejrzenie włamania do organizacji,
• Kiedy pojawiają się informacje o nowych, szeroko rozprzestrzenionych atakach (np. ransomware),
• Przy zmianach w infrastrukturze i oprogramowaniu (aby sprawdzić, czy nie otwierają organizacji na potencjalne ataki),
• Po wdrożeniu nowych polityk dla użytkowników końcowych, np. gdy zmieniamy politykę łączenia się z zasobami firmowymi,
• W przypadku zmiany organizacji pracy, np. zmianie biura lub przejściu na pracę zdalną,
• Gdy wymieniamy urządzenia pracownikom.

Co wybrać – test penetracyjny czy skaner podatności?

Zgodnie z najlepszymi praktykami zaleca się regularne skanowanie podatności, a przeprowadzanie testów penetracyjnych 1-2 razy do roku – szczególnie w przypadku wprowadzania wspomnianych wyżej zmian w infrastrukturze IT. Można by tutaj spytać – czy skanery podatności w takim razie nie wystarczą?

Otóż, nie. Wiele ataków nie opiera się tylko na “niezałatanych” lukach, które wyszukują skanery, ale przede wszystkim niewłaściwej konfiguracji. Nawet jeśli firmowe systemy będą zaktualizowane, katalogi z wrażliwymi danymi mogą być dostępne dla każdego przez niewłaściwą konfigurację uprawnień dostępu albo chociażby słabe hasło. Skanery podatności nie wykryją takich problemów, ani nie pokażą, jakie szkody poniesie firma, gdy zostaną wykorzystane do włamania.

Porównanie testów penetracyjnych i skanerów podatności dobrze oddaje analogia ze świata medycyny. Kiedy podejrzewamy, że z naszym ciałem jest coś nie tak, możemy pójść na badanie rentgenem. Pomoże on zdiagnozować oczywiste złamania kości, ale nie będzie wystarczająco dokładny aby sprawdzić, czy doszło do uszkodzenia tkanek. Szczegółową diagnozę lekarz może postawić dopiero po rezonansie magnetycznym. Podobnie jest ze skanowaniem podatności (rentgen o niskim poziomie detalu) i testem penetracyjnym (szczegółowy rezonans).

Aby zachować wysoki poziom cyberbezpieczeństwa organizacje powinny korzystać z obu rozwiązań – testów penetracyjnych i skanerów podatności. Oba odpowiadają na różne potrzeby organizacji i powinny być przeprowadzane w różnej częstotliwości.