Článek
Přesně tohle je princip etického hackingu.
Na první pohled to může působit jako hra na hackera. Nejprve se sbírají informace z veřejně dostupných zdrojů, říkáme tomu OSINT. Připomíná to práci tajné služby. Člověk zjistí, kolik detailů o firmě leží na internetu úplně volně. Potom přijde na řadu skenování zranitelností, takový rychlý rentgen systému. Jenže tohle je jen první vrstva. „Scan vám ukáže, že máte zastaralý firewall. Ale až pentest ukáže, jestli to někdo dokáže opravdu zneužít,“ říkal v našem povídání Lukáš Vejman, CEO MyCom Solutions. A má pravdu, opravdový obraz o stavu zabezpečení se ukáže až ve chvíli, kdy se tester pokusí chybu reálně využít.
Pentest bez cíle je jako hostina bez stolu
Pokud není jasné zadání, celý proces se snadno zvrhne. Musí být od začátku určeno, jestli se testují servery, aplikace nebo interní infrastruktura. Jinak je to jako uspořádat hostinu, na kterou přijdou hosté a zjistí, že nikdo nepřipravil stůl. A nejhorší je, když si firma objedná test jen proto, že to zní „sexy“. „Nejhorší je, když si firma objedná pentest, aniž by věděla, co od něj čeká,“ poznamenal Lukáš.
Navíc platí, že pokud firma nemá zvládnuté základní věci, může pentest odhalit stovky chyb najednou. To pak připomíná situaci, kdy se snažíte hasit požár benzínem. Místo abyste získali jasný plán, skončíte zahlcení problémy. Proto dává smysl nejdřív udělat menší analýzu a opravit základní věci. Teprve potom má pentest opravdovou hodnotu.
Důvěra vzniká jen tam, kde spolupracují všichni
Další klíčová věc je spolupráce. Pokud je do testování zapojené jen IT, zůstává celá akce polovičatá. Management musí vědět, co se děje, a dát tomu zelenou. Zároveň ale platí, že IT tým musí být v obraze a spolupracovat. „Objednavatelem by měl být management i IT. Když to uděláte za zády ajťáků, je to pro ně spíš rána pod pás,“ řekl mi Lukáš. A měl naprostou pravdu.
Testování je invazivní, ale profesionálové ho provádějí s ohledem na chod firmy. Akce se domlouvají na časy, kdy nehrozí výpadky, a vždycky se konzultuje, pokud by mohlo dojít k něčemu rizikovému. Často to bývá víkend nebo doba mimo špičku. A právě tahle důvěra mezi testery, vedením a IT týmem je zásadní, bez ní by se z etického hackingu stala spíš noční můra než nástroj pro posílení bezpečnosti.
Samotný test není cíl. Je to začátek.
Pentest je jen jedna část příběhu. V posledních letech se čím dál víc mluví o tzv. red teamingu. To už není jen o serverech a aplikacích. Tady se testuje i lidský faktor, takže phishingové e-maily, poházené flashky před kanceláří nebo pokus dostat se fyzicky do budovy. Je to jako kombinace únikové hry a špionážního filmu, ale s reálnými důsledky pro firmu.
A pak přichází ta nejdůležitější chvíle. Výsledky. Tady je obrovské riziko, že skončí v šuplíku. „Nejhorší je dát report do šuplíku. Nejlepší je začít hned zítra pracovat na nápravě,“ zdůraznil Lukáš. A já s ním souhlasím. Samotný test není cíl. Je to začátek. Teprve když vezmete výsledky, opravíte největší díry a nastavíte procesy, má celá akce smysl.
Etický hacking není o strachu, ale o jistotě. Jistotě, že se dívám na svoje IT stejnýma očima, jakýma by se na něj díval útočník. A díky tomu můžu reagovat dřív, než bude pozdě.
