Mnogi klijenti i dalje misle da su napravili penetration test jer su dobili sigurnosni izvještaj s popisom nalaza. U većini slučajeva radi se o vulnerability scanu. Na prvi pogled oba pristupa izgledaju slično. Oba imaju izvještaj, nalaze i preporuke. No ne odgovaraju na isto pitanje.

Vulnerability scan traži poznate tehničke slabosti. Detektira zastarjele verzije softvera, poznate CVE-ove i loše konfiguracije. Rezultat je lista nalaza. To je korisno kao početna slika, ali ne govori što ti nalazi znače u stvarnosti.

Penetration test ide dalje. Ne staje na identifikaciji slabosti, nego pokušava razumjeti što se s njima može napraviti. Nalazi se ne gledaju izolirano nego se povezuju, testiraju i procjenjuje se koliko daleko napadač može doći. Tu nastaje stvarna vrijednost. U praksi često vidimo okruženja gdje scan ne pokazuje kritične probleme, ali penetration test otkriva stvarni vektor napada. Ne zbog jedne velike ranjivosti, nego zbog kombinacije više manjih slabosti. Uzmimo situaciju sličnu onima koje se mogu vidjeti tijekom testiranja. Unutar web aplikacije ili izloženog direktorija pronađe se javno dostupan dokument. Sam dokument ne sadrži ništa što bi alat odmah označio kao kritično. Nema exploita, nema očite injekcije i nema visokorizičnog CVE-a. Iz perspektive scana to može djelovati nebitno.

Iz perspektive penetration testa to postaje početna točka. Ako dokument sadrži nazive internih servera, oznake okruženja, reference na shareove, backup putanje, domensku strukturu ili interne URL-ove, tada više ne gledamo samo dokument. Gledamo što se iz njega može saznati o arhitekturi sustava.

Ako je vidljiva naming konvencija servera, često se može pretpostaviti njihova uloga, primjerice domain controller, aplikacijski server ili storage sustav. Ako se vidi format korisničkih imena, to može pomoći u username enumerationu. Ako dokument otkriva interne URL-ove, mogu se tražiti dodatni endpointi koji nisu bili odmah vidljivi. Ako spominje domensku strukturu ili service accounte, dobiva se bolji uvid u način autentikacije.

Nakon toga testiranje ide dalje. Traže se vanjski dostupni servisi koji prate iste obrasce, ispituju se login mehanizmi i traže dodatne ulazne točke. Ono što je na početku izgledalo kao bezazlen dokument postaje koristan oslonac za daljnje kretanje kroz okruženje. Vulnerability scan takav kontekst ne razumije. Možda će evidentirati izloženu datoteku, a možda je neće ni označiti. Ono što sigurno neće napraviti jest povezati informacije i izgraditi scenarij kako bi ih stvarni napadač iskoristio. Penetration test upravo to radi.

Isto vrijedi za nalaze koji se često označavaju kao low ili medium. Jedan endpoint vraća previše informacija, drugi nema rate limit, a treći otkriva postoji li korisnik. Pojedinačno to ne mora izgledati kritično. Zajedno to može dovesti do kompromitacije računa ili eskalacije privilegija.

Tu je ključna razlika. Vulnerability scan pokazuje što bi moglo biti problem. Penetration test pokazuje što se stvarno može dogoditi.

A za poslovanje je to ono što je važno. Upravu ne zanima samo lista CVE-ova. Zanima ih može li netko doći do podataka, prekinuti uslugu ili kompromitirati račune. Bez tog konteksta izvještaj ostaje tehnički, ali ne i stvarno upotrebljiv.

Vulnerability scan ima svoju vrijednost i koristan je za tehničku higijenu i rano otkrivanje poznatih problema. Ali ne može zamijeniti penetration test. Kada se rezultat scana tumači kao potpuna sigurnosna procjena, često se stvara lažan osjećaj sigurnosti dok stvarni napadni putevi ostaju neotkriveni.

Ako želite ići dalje od rezultata scana, AresISEC penetration test može pomoći otkriti slabosti koje su stvarno važne u praksi.

Izvori:

OWASP – Web Security Testing Guide
NIST – Technical Guide to Information Security Testing and Assessment (SP 800-115)
SANS Institute – Penetration Testing vs. Vulnerability Assessment