Audyt bezpieczeństwa vs test penetracyjny – co wybrać?

W rozmowach z właścicielami firm często pojawia się to samo pytanie.
„Potrzebujemy audytu bezpieczeństwa czy testów penetracyjnych?”

Na pierwszy rzut oka wygląda to jak dwa różne sposoby na sprawdzenie bezpieczeństwa firmy. W praktyce oba podejścia służą czemuś innemu. I jeśli ktoś wybiera je w ciemno, bez zrozumienia różnicy, często kończy z raportem, który niewiele zmienia.

Zdarza się, że firma miała profesjonalnie wykonany pentest, gdzie raport był pełen technicznych podatności… ale nikt wcześniej nie sprawdził podstawowych rzeczy. Backupów, aktualizacji, dostępu administratorów czy konfiguracji usług w chmurze.

Z drugiej strony bywa odwrotnie. Firma robi przegląd bezpieczeństwa infrastruktury, wszystko wygląda poprawnie, a potem okazuje się, że aplikacja dostępna publicznie ma lukę, którą można wykorzystać w kilka minut.

Dlatego warto rozumieć, czym te dwa podejścia się różnią i kiedy które ma sens.

Różnice w podejściu

Audyt bezpieczeństwa infrastruktury IT to przede wszystkim przegląd środowiska firmy. Sprawdza się konfigurację systemów, sposób zarządzania dostępami, aktualizacje, polityki bezpieczeństwa czy sposób zabezpieczenia stacji roboczych i serwerów.

Chodzi o odpowiedź na proste pytanie: czy firma spełnia podstawowe standardy bezpieczeństwa.

Podczas takiego przeglądu analizuje się między innymi:

• konfigurację sieci i dostępów
• sposób zarządzania kontami administratorów
• aktualizacje systemów i aplikacji
• zabezpieczenia stacji roboczych
• politykę kopii zapasowych
• sposób ochrony danych

To podejście przypomina trochę przegląd techniczny samochodu. Sprawdza się, czy wszystkie elementy są na miejscu i działają tak, jak powinny.

Test penetracyjny działa zupełnie inaczej. Tutaj nie chodzi o przegląd konfiguracji, tylko o symulację ataku na systemy firmy.

Specjaliści próbują znaleźć podatności i wykorzystać je w taki sam sposób, w jaki zrobiłby to napastnik. Celem jest sprawdzenie, czy da się uzyskać dostęp do systemu, danych albo infrastruktury organizacji.

To już nie jest przegląd. To próba włamania do systemu w kontrolowanych warunkach.

Pentester nie patrzy tylko na to, czy coś jest skonfigurowane poprawnie. Sprawdza, czy mimo wszystko można to obejść.

Kiedy wystarczy przegląd bezpieczeństwa

W wielu małych i średnich firmach pierwszym krokiem powinien być właśnie audyt środowiska IT.

Dlaczego?

Bo w praktyce większość problemów zaczyna się od bardzo podstawowych rzeczy. Brak aktualizacji, zbyt szerokie uprawnienia administratorów, brak kontroli nad dostępem do danych, stare serwery działające na systemach sprzed kilkunastu lat.

Z zewnątrz firma może wyglądać jak dobrze zabezpieczona organizacja. W środku okazuje się, że połowa infrastruktury powstała wiele lat temu i nikt jej od tamtej pory dokładnie nie sprawdzał.

Przegląd bezpieczeństwa pozwala zobaczyć cały obraz infrastruktury.

Często dopiero wtedy wychodzą takie rzeczy jak:

• serwer dostępny z internetu, o którym nikt już nie pamięta
• konta administratorów używane przez kilku pracowników
• systemy bez aktualizacji bezpieczeństwa
• backupy, które istnieją tylko w teorii

W takich sytuacjach robienie testów penetracyjnych nie ma dużego sensu. Najpierw trzeba uporządkować podstawy.

Kiedy potrzebny jest pentest

Test penetracyjny ma sens wtedy, gdy infrastruktura jest już w miarę uporządkowana i chcemy sprawdzić, czy mimo to da się ją obejść.

Najczęściej dotyczy to systemów dostępnych z internetu.

• Aplikacje webowe
• systemy obsługi klientów
• panele administracyjne
• portale B2B
• API

To właśnie te elementy są najczęściej celem ataków. I tutaj konfiguracja infrastruktury to dopiero początek.

Podczas pentestu sprawdza się rzeczy, których zwykły przegląd nie wykryje.

• Błędy w logice aplikacji.
• Niepoprawną obsługę danych użytkownika.
• Luki pozwalające obejść autoryzację.

Zdarzało mi się widzieć sytuacje, gdzie infrastruktura była dobrze skonfigurowana, a mimo to aplikacja pozwalała pobrać dane innych użytkowników tylko przez zmianę jednego parametru w adresie URL.

Takich rzeczy nie znajdzie standardowy audyt.

Jak firmy łączą oba podejścia

Najlepsze efekty daje połączenie obu metod.

Najpierw przegląd infrastruktury. Dzięki temu firma widzi, gdzie są podstawowe problemy i może je naprawić. Administratorzy dostają jasny obraz środowiska i wiedzą, co trzeba poprawić.

Dopiero potem ma sens wykonywanie testów penetracyjnych.

Wtedy pentester nie traci czasu na rzeczy oczywiste. Może skupić się na bardziej zaawansowanych scenariuszach ataku i sprawdzić, czy systemy są odporne na próby obejścia zabezpieczeń.

Z punktu widzenia właściciela firmy to też bardziej racjonalne podejście. Zamiast płacić za zaawansowane testy w środowisku pełnym podstawowych błędów, najpierw porządkuje się fundamenty bezpieczeństwa.

Dopiero później sprawdza się, czy ktoś potrafi je przełamać.

Co w praktyce wybierają firmy

W małych i średnich organizacjach najczęściej zaczyna się od przeglądu bezpieczeństwa infrastruktury. Pozwala on zobaczyć, jak wygląda środowisko IT i czy firma spełnia podstawowe standardy bezpieczeństwa.

Pentesty pojawiają się później. Zwykle wtedy, gdy firma rozwija własne systemy, uruchamia aplikacje dostępne publicznie albo zaczyna współpracować z większymi partnerami, którzy wymagają takiej weryfikacji.

Z mojego doświadczenia wynika, że największym błędem jest traktowanie tych usług jako zamienników.

Audyt odpowiada na pytanie czy środowisko jest dobrze zorganizowane i zabezpieczone.

Test penetracyjny sprawdza czy ktoś potrafi mimo wszystko się do niego włamać.

Jedno nie zastępuje drugiego.

Dobrze zaplanowane bezpieczeństwo IT zaczyna się od zrozumienia własnej infrastruktury. Dopiero potem warto sprawdzać, czy ktoś potrafi ją przełamać.