Penetračný test (alebo perový test) je autorizovaný kybernetický útok proti sieti. Vykonáva sa nie na poškodenie siete, ale na meranie jej schopnosti odraziť útoky. Po teste perom je možné opraviť všetky bezpečnostné slabiny.
Penetračné testovanie je možné vykonávať manuálne, pomocou ľudí a automaticky pomocou nástrojov. Každý z nich má iné výhody a nevýhody a nie je vždy jasné, ktorý z nich je vhodný.
Aký je teda rozdiel medzi automatickým a manuálnym testovaním perom a ktoré z nich je vhodné pre vašu firmu? Poďme zistiť nižšie.
Čo je manuálne penetračné testovanie?
Manuálny penetračné testovanie vykonávajú ľudia. Etickí hackeri sa pokúšajú preniknúť do systému pomocou rôznych techník. Potom zdokumentujú svoje pokusy, upozorňujú na prípadné bezpečnostné chyby a dávajú odporúčania na ich odstránenie.
Manuálne penetračné testovanie často zahŕňa automatické testovanie perom, pretože sú ním zainteresovaní ľudia pomocou automatizovaných nástrojov. Pred vynálezom automatického testovania perom bolo manuálne testovanie perom jedinou možnosťou pre firmu, ktorá chcela vyhodnotiť bezpečnosť systému.
Výhody manuálneho testovania pera
Manuálne testovanie perom je výkonnejšie v niekoľkých smeroch. Poďme sa teda pozrieť na jeho výhody.
1. Identifikuje ďalšie problémy
Kybernetické útoky sú zjavne vykonávané ľudskými hackermi a žiadny nástroj nedokáže predpovedať, ako sa pokúsia dostať do siete. Z tohto dôvodu môže manuálne testovanie perom, ktoré vykonávajú bezpečnostní experti, často identifikovať zraniteľné miesta, ktoré automatizované nástroje nedokážu.
2. Neprodukuje falošné pozitíva
Všetky bezpečnostné nástroje vytvárajú falošné poplachy. Falošne pozitívny je varovanie pred zraniteľnosťou, ktorá buď neexistuje, alebo nepredstavuje skutočnú hrozbu. Nástroje na testovanie pera často vytvárajú falošné pozitíva; tým sa nielen stráca čas IT personálu, ktorý ich používa, ale aj odvádza pozornosť od skutočných hrozieb. Všetky zraniteľnosti sa skúmajú počas manuálneho testu perom a falošné pozitíva sú vylúčené.
3. Poskytuje praktické rady
Po dokončení manuálneho testu perom dostane podnik správu, ktorá vysvetlí všetky zistené problémy a spôsob, akým by sa tieto problémy mali vyriešiť. Pomoc pri tom poskytuje aj mnoho etických hackerov. Automatizované nástroje tiež poskytujú správy, ale sú menej podrobné a nie vždy vysvetľujú, čo by mal podnik robiť ďalej.
Nevýhody manuálneho testovania pera
Akokoľvek milujeme manuálne penetračné testovanie, je podstatne drahšie. Tu je pohľad na jeho nevýhody.
1. Zakázané náklady
Manuálne testy perom sú podstatne drahšie ako automatizované testy. Zatiaľ čo automatizované testy pera sú jednoducho záležitosťou spustenia softvéru, manuálne testovanie perom je potrebné naplánovať. Namiesto prenájmu softvéru si firma musí najať odborníkov na bezpečnosť. Manuálne testy pera tiež vyžadujú ďalšiu prácu zo strany podniku.
2. Rôzne sady zručností
Efektívnosť manuálneho testovania perom úplne závisí od súboru zručností osoby najatej na to. Z tohto dôvodu, ak najmete nesprávnu osobu, dôležité zraniteľnosti môžu zostať nepovšimnuté. To je na rozdiel od automatizovaných nástrojov, ktoré, aj keď nie sú také dôkladné, zaručene spĺňajú určitý štandard.
Čo je automatické testovanie pera?
Automatizované testovanie pera je proces testovania systému pomocou počítačových nástrojov, a nie ľudskej expertízy. Je to výrazne lacnejšie ako manuálne testovanie, pretože IT personál ho môže vykonať bez toho, aby si musel najať etického hackera.
Nástroje na testovanie pera dokážu rýchlo skontrolovať systém a poukázať na všetky zraniteľnosti, ktoré by hacker mohol použiť na získanie prístupu. Je obľúbený u malých podnikov, ktoré by chceli otestovať svoju sieť, ale majú na to obmedzený rozpočet.
Výhody automatického testovania pera
Jednou z najväčších výhod automatizovaného penetračného testovania je, že nestojí veľa peňazí.
1. Menšia investícia
Automatizované testovanie perom je výrazne lacnejšie ako manuálne testovanie perom. Namiesto toho, aby ste si najali odborníka na bezpečnosť, musíte jednoducho zaplatiť za softvér. Softvér na automatizované testovanie pera je tiež navrhnutý tak, aby ho mohol používať bežný IT personál bez ďalšieho školenia.
2. Môže sa vykonávať opakovane
Vzhľadom na výrazne nižšie náklady na automatizované riešenia si väčšina podnikov môže dovoliť ich pravidelne spúšťať. Väčšina spoločností vykonáva manuálne testovanie pera iba raz, zatiaľ čo softvér na testovanie pera si môžu prenajať za mesačný poplatok. To je veľmi prospešné, pretože sa neustále objavujú nové zraniteľnosti.
3. Identifikuje veľa rovnakých problémov
Automatizované testovanie pera nie je také dôkladné ako manuálne, ale stále dokáže odhaliť širokú škálu bezpečnostných problémov. V závislosti od kvality podnikovej siete je možné, že automatické testovanie perom odhalí rovnaké problémy za zlomok ceny.
Nevýhody automatického testovania pera
Nižšie sa pozrieme na jednu a najväčšiu nevýhodu automatizovaného penetračného testovania.
1. Neidentifikuje všetky slabé miesta
Hlavnou nevýhodou automatizovaných nástrojov je, že nedokážu identifikovať všetky zraniteľnosti. Nedokážu odhaliť chyby obchodnej logiky a nedokážu určiť, nakoľko je podnik zraniteľný voči sociálnemu inžinierstvu. Manuálne testovanie pera často zahŕňa pokusy o prístup k sieti pomocou phishingových útokov, čo nie je praktické pri použití automatizovaného nástroja.
Ktorý je vhodný pre vaše podnikanie?
Na zvýšenie bezpečnosti siete možno použiť manuálne aj automatické testovanie perom. Hoci obaja dokážu identifikovať zraniteľné miesta, ten správny pre vaše podnikanie závisí predovšetkým od toho, koľko chcete minúť.
Ak ste pripravení investovať do manuálneho testovania perom, poskytne vám to vyššiu úroveň testovania a lepšie pochopenie bezpečnosti vašej siete. Zamestnávanie bezpečnostných expertov tiež znamená, že vám budú poskytnuté rady, ako najlepšie implementovať potrebné zmeny.
Automatizované testovanie perom je lacnejšou alternatívou a je obľúbené u firiem, ktoré chcú pochopiť stav zabezpečenia svojej siete bez toho, aby investovali veľa peňazí. Hoci nie je možné identifikovať všetky zraniteľné miesta, nižšia cena tiež znamená, že automatické testy pera je možné vykonávať častejšie.
V konečnom dôsledku sa mnohé podniky rozhodnú použiť kombináciu manuálneho a automatického testovania perom. To im umožňuje ťažiť z dôkladného testu zabezpečenia siete, po ktorom môžu použiť automatické testovanie perom na odhalenie nových zraniteľností.