Sigurnosna procjena (security audit) - što je i kako teče
Sigurnosni audit (security audit): što obuhvaća, kako teče kroz pet faza i po čemu se razlikuje od penetracijskog testa.
Pročitaj
Pen Testing
Penetration testing vs skeniranje ranjivosti - što odabrati
Skeniranje ranjivosti je automatizirana provjera koja brzo i jeftino otkriva poznate sigurnosne slabosti u vašim sustavima, dok je penetracijski test ručna simulacija stvarnog napada koja te slabosti pokušava i iskoristiti. Za kontinuirani nadzor i osnovnu higijenu odaberite skeniranje ranjivosti; za dokaz koliko je vaša obrana stvarno otporna, naručite penetracijski test. Većina firmi u praksi treba oba.
Naše rješenje
Penetracijsko testiranje - otkrivamo ranjivosti prije hakera. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Što je skeniranje ranjivosti?
Skeniranje ranjivosti (engl. vulnerability scanning) je automatizirani proces u kojem specijalizirani alat pregledava mrežu, servere, web aplikacije ili radne stanice i uspoređuje ih s bazom poznatih ranjivosti. Alat provjerava verzije softvera, otvorene portove, pogrešne konfiguracije i nedostajuće sigurnosne zakrpe te na kraju generira izvještaj s popisom pronađenih problema, obično rangiranih po ozbiljnosti.
Ključna karakteristika skeniranja jest da je široko, brzo i ponovljivo. Skeniranje cijele mreže firme srednje veličine može završiti za nekoliko sati, a može se zakazati da se izvodi automatski svaki tjedan ili mjesec. Upravo zato je skeniranje ranjivosti temelj svakog ozbiljnog programa upravljanja sigurnošću, jer daje stalni pregled stanja bez velikih troškova.
Važno je razumjeti i ograničenja. Skener prijavljuje potencijalne ranjivosti, ali ne dokazuje da se one mogu stvarno iskoristiti. Zbog toga se javljaju i lažni pozitivi (problemi koji u praksi nisu iskoristivi) i lažni negativi (slabosti koje alat ne prepozna). Tumačenje rezultata zato zahtijeva stručnjaka koji zna razlikovati što je hitno, a što nije.
Što je penetracijski test (pentest)?
Penetracijski test je kontrolirani, ovlašteni napad na vaše sustave koji izvodi sigurnosni stručnjak (etički haker). Cilj nije samo pronaći slabosti, nego ih i stvarno iskoristiti kako bi se pokazalo do čega napadač zaista može doći: do baze podataka, do administratorskih ovlasti ili do osjetljivih dokumenata.
Za razliku od skeniranja, pentest je velikim dijelom ručan rad. Tester koristi automatizirane alate kao polazište, a zatim primjenjuje kreativnost i iskustvo: povezuje više manjih slabosti u jedan ozbiljan napad, zaobilazi sigurnosne mehanizme i razmišlja kao stvarni protivnik. Tako se otkrivaju problemi koje nijedan automatizirani alat ne bi pronašao, na primjer pogreške u poslovnoj logici aplikacije ili lanci eskalacije ovlasti.
Rezultat pentesta nije samo popis ranjivosti, nego narativ napada: kako se ušlo, kako se napredovalo i koliki je stvarni poslovni rizik. Dobar izvještaj sadrži i jasne, prioritizirane preporuke za sanaciju te ga je moguće predočiti i tehničkom timu i upravi.
Glavne razlike u jednoj tablici
| Karakteristika | Skeniranje ranjivosti | Penetracijski test |
|---|---|---|
| Pristup | Automatiziran | Pretežno ručan, vođen stručnjakom |
| Cilj | Otkriti poznate slabosti | Iskoristiti slabosti i dokazati rizik |
| Pokrivenost | Široka (mnogo sustava) | Dublja (odabrani sustavi) |
| Učestalost | Redovito (tjedno/mjesečno) | Povremeno (kvartalno/godišnje) |
| Trajanje | Sati do dan | Dani do nekoliko tjedana |
| Trošak | Niži | Viši |
| Lažni pozitivi | Češći | Rijetki (ručno provjereno) |
| Otkriva pogreške logike | Ne | Da |
Kada odabrati skeniranje ranjivosti
Skeniranje ranjivosti je pravi izbor kada vam treba kontinuirani uvid u stanje sigurnosti i kada želite brzo uočiti nove probleme čim se pojave. Tipične situacije u kojima skeniranje ima najviše smisla:
- Redovita mjesečna ili tjedna provjera cijele mreže i servera.
- Brza kontrola nakon instalacije novog sustava ili veće nadogradnje.
- Praćenje primjene sigurnosnih zakrpa kroz vrijeme.
- Osnovni dokaz nastojanja za usklađenost (npr. priprema za ISO 27001).
- Firme s ograničenim budžetom koje tek grade sigurnosni program.
Za mnoga mala i srednja preduzeća u BiH i regiji, redovito skeniranje ranjivosti je realan prvi korak. Ono otkriva najveći dio "nisko visećih plodova", odnosno zastarjeli softver, slabe konfiguracije i nedostajuće zakrpe, koje napadači najčešće i iskorištavaju.
Vrste skeniranja ranjivosti
Nije svako skeniranje ranjivosti jednako. Ovisno o tome odakle gledate i s kojim pristupom, razlikuje se i ono što ćete pronaći:
- Vanjsko (eksterno) skeniranje gleda vaše sustave onako kako ih vidi napadač s interneta: javne web servere, mail servere i izložene servise. Otkriva ono što je svima dostupno.
- Unutarnje (interno) skeniranje izvodi se iz vaše mreže i pokazuje što bi napadač mogao postići nakon što već probije perimetar ili što može učiniti zlonamjerni zaposlenik.
- Skeniranje bez prijave (unauthenticated) simulira napadača koji nema vjerodajnice i vidi samo površinu sustava.
- Skeniranje s prijavom (authenticated) koristi valjane vjerodajnice te dublje provjerava instalirane verzije i konfiguracije, pa daje točniju sliku stvarnog stanja.
Za realnu procjenu rizika korisno je kombinirati ove pristupe. Vanjsko skeniranje pokazuje izloženost prema svijetu, a unutarnje skeniranje s prijavom otkriva probleme koje napadač vidi tek nakon ulaska u mrežu.
Kada odabrati penetracijski test
Penetracijski test je nužan kada trebate dokaz stvarne otpornosti, a ne samo popis mogućih problema. Razmislite o pentestu u sljedećim slučajevima:
- Prije lansiranja nove web aplikacije, web shopa ili javnog servisa.
- Kada rukujete osjetljivim podacima (financije, zdravstvo, osobni podaci).
- Kada to traži klijent, partner ili regulator kao uvjet suradnje.
- Kao godišnja neovisna provjera učinkovitosti vaše obrane.
- Nakon većih izmjena arhitekture ili migracije u cloud.
Pentest odgovara na pitanje koje skener ne može: "Može li napadač zaista provaliti i do čega može doći?" To je posebno važno za firme kojima bi proboj značio ozbiljnu poslovnu štetu ili gubitak povjerenja klijenata.
Kako izgleda tipičan pentest projekt
Iako se opseg razlikuje od slučaja do slučaja, većina penetracijskih testova prolazi kroz slične faze:
- Dogovor opsega - definiraju se ciljni sustavi, pravila angažmana i što je dozvoljeno.
- Prikupljanje informacija - tester mapira mrežu, servise i ulazne točke.
- Identifikacija ranjivosti - ovdje se koristi i skeniranje ranjivosti kao polazište.
- Iskorištavanje - stručnjak pokušava stvarno probiti obranu i napredovati kroz sustav.
- Izvještavanje - dokumentiraju se nalazi, poslovni rizik i konkretne preporuke.
Vidite da skeniranje ranjivosti nije suparnik pentestu, nego njegov sastavni dio. Profesionalni testeri uvijek koriste automatizirane skenere kao prvu liniju, a zatim grade na rezultatima.
Zašto većina firmi treba oba
Najčešća greška je gledati ova dva pristupa kao izbor "ili-ili". U praksi se odlično nadopunjuju. Skeniranje ranjivosti daje širok, jeftin i čest pregled koji hvata nove probleme između dva pentesta. Penetracijski test povremeno provjerava jeste li ono što skeneri prijavljuju zaista i sanirali te otkriva dublje slabosti koje automatizacija ne vidi.
Razuman pristup za većinu firmi izgleda ovako: redovito skeniranje ranjivosti kao stalna higijena tijekom cijele godine, plus penetracijski test barem jednom godišnje ili nakon većih promjena. Tako dobivate i širinu i dubinu, a trošak ostaje pod kontrolom jer skupi ručni rad usmjeravate tamo gdje najviše vrijedi.
Ako tek počinjete i niste sigurni što vam treba, korisno je krenuti od kratke procjene opsega. Možete pogledati cijeli raspon usluga na stranici servisi i usluge ili ispuniti upitnik za penetracijski test kako bismo bolje razumjeli vaše okruženje i predložili realan plan.
Na što paziti pri odabiru pružatelja usluge
Kvaliteta i skeniranja i pentesta jako ovisi o izvođaču. Nekoliko praktičnih savjeta:
- Tražite uzorak izvještaja. Dobar izvještaj jasno razdvaja tehničke detalje i poslovni rizik te nudi konkretne korake sanacije.
- Provjerite metodologiju. Ozbiljni pružatelji oslanjaju se na priznate okvire (npr. OWASP za web aplikacije).
- Pazite na "pentest" koji je zapravo samo skeniranje. Neki ponuditelji prodaju automatizirani izvještaj skenera pod imenom penetracijskog testa, po znatno višoj cijeni.
- Provjerite što dolazi poslije. Najveća vrijednost je u podršci pri sanaciji i u ponovnoj provjeri nakon što popravite nalaze.
Ako trebate neovisno mišljenje o tome je li za vašu situaciju dovoljno skeniranje ranjivosti ili je vrijeme za pravi pentest, slobodno nas kontaktirajte. Kao tim iz Mostara koji radi s firmama u BiH i široj regiji, pomoći ćemo vam da budžet usmjerite tamo gdje stvarno smanjuje rizik.
Što učiniti s rezultatima
I najbolji izvještaj vrijedi malo ako nakon njega ne uslijedi akcija. Bilo da je riječ o nalazima skenera ili pentestera, vrijedi isti praktičan redoslijed:
- Prioritizirajte po riziku, ne samo po "ocjeni" alata. Ranjivost visoke ozbiljnosti na izoliranom internom sustavu može biti manje hitna od srednje ranjivosti na javnom web serveru. Uzmite u obzir izloženost i poslovnu vrijednost sustava.
- Sanirajte i potvrdite. Nakon popravka ponovite skeniranje ili zatražite ponovni test (retest) kako biste dokazali da je problem stvarno riješen, a ne samo prijavljen kao riješen.
- Pratite trend kroz vrijeme. Vodite evidenciju nalaza i njihove sanacije. Pada li broj otvorenih ranjivosti iz mjeseca u mjesec, vaš program radi; raste li, negdje zapinje proces.
- Riješite uzrok, ne samo simptom. Ako se isti tip propusta stalno vraća, problem je vjerojatno u procesu, primjerice u zakašnjeloj primjeni zakrpa ili u nedosljednoj konfiguraciji novih servera.
Ovaj ciklus, skeniraj, prioritiziraj, saniraj, potvrdi, ponovi, srce je zrelog upravljanja ranjivostima. Skeniranje ranjivosti daje ulazne podatke, ali tek dosljedan proces sanacije pretvara te podatke u stvarno manji rizik.
Često postavljana pitanja
Može li skeniranje ranjivosti zamijeniti penetracijski test?
Ne može u potpunosti. Skeniranje ranjivosti otkriva poznate slabosti automatizirano i široko, ali ne dokazuje da se one mogu iskoristiti niti pronalazi pogreške u poslovnoj logici. Penetracijski test ide korak dalje i pokazuje stvarni rizik. Za većinu firmi najbolji je rezultat kombinacija oba pristupa.
Koliko često treba raditi skeniranje ranjivosti?
Za većinu okruženja preporuča se barem mjesečno skeniranje, a za sustave izložene internetu često i tjedno. Dodatno skeniranje korisno je nakon svake veće izmjene, instalacije novog sustava ili nadogradnje, kako biste odmah uočili nove ranjivosti.
Koliko traje i košta penetracijski test?
Trajanje i cijena ovise o opsegu, dakle o broju sustava, složenosti aplikacija i dubini testiranja. Manji projekti traju nekoliko dana, dok veći mogu trajati i nekoliko tjedana. Najtočniju procjenu dobit ćete tek nakon definiranja opsega, zato većina pružatelja kreće od kratkog upitnika ili razgovora.
Je li skeniranje ranjivosti dovoljno za usklađenost s ISO 27001?
Skeniranje ranjivosti je važan dio kontrola, ali samo po sebi najčešće nije dovoljno. Standardi i revizori obično očekuju i redovito skeniranje i povremeno neovisno testiranje, uz dokumentiran proces upravljanja ranjivostima i njihove sanacije. Kombinacija skeniranja, pentesta i urednog procesa daje najuvjerljiviji dokaz.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Black box, white box i grey box testiranje - razlike · OWASP Top 10: najčešće web ranjivosti objašnjene
