Czy można przeprowadzić testy infrastruktury w przerwie na herbatę? To pytanie może wydawać się nieco "od czapy", ale jest doskonałym punktem wyjścia do omówienia testów penetracyjnych infrastruktury IT i zagadnienia tzw. automatów.
W tym artykule przyjrzymy się różnym rodzajom testów, metodykom ich przeprowadzania oraz narzędziom, mającym na celu wykonania automatycznych testów infrastruktury.
Rodzaje Testów Penetracyjnych
Black Box
Testy typu Black Box charakteryzują się minimalną wiedzą na temat infrastruktury klienta. Testerzy mają dostęp tylko do podstawowych informacji, takich jak adres IP lub nazwa domeny.
Gray Box
Testy typu Gray Box to kompromis pomiędzy Black Box a White Box. Testerzy otrzymują część informacji lub uprawnień, co pozwala na bardziej szczegółowe analizy bez pełnego wglądu w system.
White Box
W testach typu White Box testerzy mają pełną wiedzę i uprawnienia do infrastruktury. Przykładem może być testowanie panelu administracyjnego aplikacji webowej z poziomu konta administratora.
Testy Infrastruktury
Testy infrastruktury obejmują zarówno sieci dostępne publicznie (WAN), jak i lokalnie (LAN). Ich celem jest zidentyfikowanie jak największej liczby podatności w infrastrukturze teleinformatycznej klienta.
Testy sieci WAN
Testy sieci WAN obejmują hosty dostępne publicznie w internecie. Przykładem może być testowanie domeny sekurak.pl, gdzie identyfikujemy adres IP i przeprowadzamy testy penetracyjne na publicznie dostępnym adresie.
Testy sieci LAN
Testy sieci LAN koncentrują się na lokalnych adresach IP. W ramach tych testów identyfikujemy aktywne hosty i usługi w lokalnych podsieciach, a następnie próbujemy wykorzystać zidentyfikowane podatności.
Metodyka Testów Infrastruktury
Rekonesans Pasywny
Rekonesans pasywny polega na zbieraniu informacji z otwartych źródeł (OSINT), bez interakcji z infrastrukturą klienta.
Rekonesans aktywny
Rekonesans aktywny obejmuje skanowanie sieciowe, które może być wykryte przez klienta.
Eksploitacja
Na tym etapie próbujemy wykorzystać zidentyfikowane luki bezpieczeństwa, tworząc i wykorzystując exploity. Celem jest eksfiltracja danych lub dalsza eskalacja dostępu.
Skanery Podatności
Skanery podatności, takie jak Nessus Professional, OpenVAS, Qualys, i Rapid7, są kluczowymi narzędziami w automatycznych testach. Skanery te agregują techniki i narzędzia do wykrywania podatności, ale ich pokrycie CVE (Common Vulnerabilities and Exposures) jest ograniczone. Istnieje ku temu wiele powodów, m.jn dłuższy proces tworzenia pluginów, wiele CVE dotyka np. systemów OT, jak SCADA i po prostu bardzo rzadko istnieją tzw. POC-e. Argumentów jest sporo.
Porównanie Skanerów: Nessus vs OpenVAS
Nessus Professional i jego fork OpenVAS są najpopularniejszymi narzędziami do skanowania podatności. Oba narzędzia sprawdzają unikalne identyfikatory CVE, ale żadne z nich nie pokrywa w pełni wszystkich znanych podatności. Poniżej przedstawiamy porównanie skuteczności obu narzędzi:
Nessus vs OpenVAS
Poniższe tabele (z bardzo ciekawej analizy ze strony https://www.intruder.io/blog/openvas-vs-nessus) pokazuje czas oczekiwania na publikację sprawdzeń. Konkretniej kiedy CVE mają opublikowane sprawdzenie (zdalne, lokalne lub uwierzytelnione) przez każdy skaner, w odniesieniu do daty opublikowania szczegółów CVE.
Wartości procentowe w tej tabeli pokazują, jaki procent całkowitego pokrycia CVE przez każdy skaner został opublikowany w każdym opóźnieniu. Najbardziej interesują nas kontrole opublikowane przed lub w tym samym dniu, w którym opublikowano szczegóły CVE, cokolwiek dłuższego niż 31 dni możemy uznać za obniżenie poziomu skanera.
_%236096%20Data%20tables%20300px%20Wide-%20Table%204%201.png) |
Podsumowanie
Testy penetracyjne infrastruktury są złożonym procesem, który może obejmować różne typy sieci i metodologie. Chociaż automatyzacja może przyspieszyć niektóre aspekty testowania, pełne i dokładne testy wymagają ludzkiej interwencji. Przerwa na herbatę może być wystarczająca na przeprowadzenie rekonesansu lub skanowania, ale kompleksowa analiza zawsze będzie wymagała więcej czasu i zaangażowania.
Czy możliwa jest zatem automatyzacja testów infrastruktury? Odpowiedź brzmi: nie w pełni. Automatyczne testy mogą wykryć pewne podatności, ale pełna analiza wymaga... Po prostu człowieka. Warto zaznaczyć jednak, że w pewnych warunkach, z perspektywy Blue Teamów i zarządzania podatnościami, cyklicznego skanowania swojej sieci będą one zdecydowanie bardziej wartościowe.
---
Krystian Działowy
Kontakt: [email protected], [email protected]
LinkedIn: [Krystian Działowy](https://www.linkedin.com/in/kdzialowy/)
