Biztonsági tesztelés
Biztonság

Biztonsági tesztelés alapjai: Penetrációs tesztelés és auditálás

2023. október 1.

A mai digitális korban, amikor a kibertámadások egyre gyakoribbak és kifinomultabbak, a biztonsági tesztelés elengedhetetlen része lett a szoftverfejlesztési életciklusnak. Ebben a cikkben áttekintjük a biztonsági tesztelés alapjait, különös tekintettel a penetrációs tesztelésre és a biztonsági auditálásra, amelyek segítenek azonosítani és javítani a potenciális biztonsági réseket a szoftverekben és rendszerekben.

Mi a biztonsági tesztelés?

A biztonsági tesztelés olyan folyamat, amely során egy alkalmazás vagy rendszer biztonsági mechanizmusait vizsgáljuk, hogy azonosítsuk a potenciális sebezhetőségeket, mielőtt azokat rosszindulatú támadók kihasználhatnák. A biztonsági tesztelés célja nem csak a sebezhetőségek feltárása, hanem azok kockázatának értékelése és a megfelelő javítási stratégiák ajánlása is.

A biztonsági tesztelés típusai

A biztonsági tesztelésnek számos típusa létezik, amelyek különböző aspektusokra összpontosítanak:

  1. Sebezhetőség értékelés: Automatizált eszközökkel azonosítja a rendszer ismert sebezhetőségeit.
  2. Penetrációs tesztelés: Szimulált támadások segítségével próbálja kihasználni a sebezhetőségeket.
  3. Biztonsági auditálás: A biztonsági irányelvek és eljárások ellenőrzése a megfelelőség biztosítása érdekében.
  4. Etikus hackelés: Engedélyezett és ellenőrzött környezetben próbálják feltörni a rendszert.
  5. Kódellenőrzés: A forráskód manuális vagy automatizált vizsgálata biztonsági problémák azonosítása céljából.
  6. Kockázatelemzés: A potenciális biztonsági kockázatok azonosítása és értékelése.

Penetrációs tesztelés részletesen

A penetrációs tesztelés, vagy rövidebben "pentesting", egy olyan módszer, amely szimulált támadások segítségével próbálja kihasználni a rendszer sebezhetőségeit. Ez a proaktív megközelítés lehetővé teszi a biztonsági szakemberek számára, hogy azonosítsák és javítsák a sebezhetőségeket, mielőtt azokat valódi támadók kihasználhatnák.

A penetrációs tesztelés fázisai

1. Tervezés és felderítés

Ez a fázis magában foglalja a teszt céljainak meghatározását, a tesztelendő rendszerek azonosítását és az előzetes információgyűjtést. A felderítés során a tesztelők olyan nyilvánosan elérhető információkat gyűjtenek, mint a domainnevek, IP-címtartományok, alkalmazott technológiák, stb.

Példa felderítési technikákra:

  • WHOIS lekérdezések
  • DNS információgyűjtés
  • Nyilvános adatbázisok keresése
  • Keresőmotorok használata (Google hacking)
  • Közösségi média profilok elemzése

2. Szkennelés

Ebben a fázisban a tesztelők aktív szkennelést végeznek a célrendszeren, hogy azonosítsák a nyitott portokat, futó szolgáltatásokat, alkalmazott technológiákat és potenciális sebezhetőségeket.

Gyakran használt szkennelési eszközök:

  • Nmap: Hálózati felderítés és biztonsági auditálás
  • Nessus: Sebezhetőség-szkennelés
  • OpenVAS: Nyílt forráskódú sebezhetőség-szkenner
  • Burp Suite: Webalkalmazás-biztonsági tesztelés
  • OWASP ZAP: Webalkalmazás-sebezhetőség keresés

3. Sebezhetőség-elemzés

A szkennelés eredményei alapján a tesztelők azonosítják a potenciális sebezhetőségeket, és elemzik azok kihasználhatóságát és lehetséges hatását. Ez a fázis magában foglalhatja a hamis pozitív eredmények kiszűrését is.

Gyakori sebezhetőségi kategóriák:

  • Elavult szoftververziók
  • Nem megfelelő konfigurációk
  • Gyenge jelszó-politikák
  • Cross-Site Scripting (XSS)
  • SQL Injection
  • Cross-Site Request Forgery (CSRF)
  • Nem megfelelő jogosultságkezelés

4. Kihasználás (Exploitation)

Ez a fázis a tényleges támadások végrehajtását jelenti a korábban azonosított sebezhetőségek alapján. A cél a rendszerhez való jogosulatlan hozzáférés megszerzése, vagy más biztonsági célok veszélyeztetése.

Népszerű exploit keretrendszerek és eszközök:

  • Metasploit Framework
  • BeEF (Browser Exploitation Framework)
  • Social-Engineer Toolkit (SET)
  • PowerShell Empire
  • SQLmap

5. Jogosultságbővítés és laterális mozgás

Miután a tesztelők bejutottak a rendszerbe, megpróbálhatják kiterjeszteni a jogosultságaikat (pl. felhasználóból adminisztrátorrá lépni elő), vagy más rendszerekre átterjedni a hálózaton belül.

6. Perzisztencia fenntartása

Ez a lépés azt szimulálja, hogyan tudná egy támadó hosszú távon fenntartani a hozzáférését a rendszerhez, akár a rendszer újraindítása után is.

7. Nyomok eltüntetése

A valódi támadók megpróbálják eltüntetni a behatolásuk nyomait. A penetrációs tesztelők is szimulálhatják ezt a tevékenységet, bár általában nem törlik ténylegesen a naplófájlokat, hanem csak dokumentálják, hogy mely nyomokat tudnák eltüntetni.

8. Jelentéskészítés

A teszt végén részletes jelentés készül, amely tartalmazza a feltárt sebezhetőségeket, azok súlyosságát, a kihasználás módját, és konkrét ajánlásokat a javításukra.

Penetrációs tesztelési módszertanok

Számos standard módszertan létezik a penetrációs teszteléshez, amelyek strukturált megközelítést biztosítanak:

  • OSSTMM (Open Source Security Testing Methodology Manual): Átfogó teszt keretrendszer a biztonsági ellenőrzésekhez.
  • PTES (Penetration Testing Execution Standard): Iparági standard, amely hét fő szakaszra osztja a penetrációs tesztelést.
  • OWASP Testing Guide: Webalkalmazás-biztonsági tesztelési keretrendszer.
  • NIST SP 800-115: Az USA Nemzeti Szabványügyi és Technológiai Intézetének technikai útmutatója a biztonsági teszteléshez.
  • ISSAF (Information Systems Security Assessment Framework): Részletes módszertan a biztonsági értékeléshez.

A penetrációs tesztelés típusai

A penetrációs tesztelés többféleképpen is kategorizálható:

Információ elérhetősége alapján:

  • Feketedobozos tesztelés: A tesztelő minimális előzetes információval rendelkezik a célrendszerről, így egy külső támadót szimulál.
  • Fehérdobozos tesztelés: A tesztelő teljes hozzáféréssel rendelkezik a rendszer architektúrájához, forráskódjához és dokumentációjához.
  • Szürkedobozos tesztelés: A tesztelő részleges információkkal rendelkezik, például felhasználói jogosultságokkal, de adminisztrátori hozzáférés nélkül.

Tesztelési terület alapján:

  • Hálózati penetrációs tesztelés: A hálózati infrastruktúra, például routerek, switchek, tűzfalak és egyéb hálózati eszközök tesztelése.
  • Webalkalmazás penetrációs tesztelés: Weboldalak és webalkalmazások biztonsági tesztelése.
  • Mobilalkalmazás penetrációs tesztelés: Android, iOS vagy más platformokra készült mobilalkalmazások tesztelése.
  • IoT penetrációs tesztelés: Internet of Things eszközök és ökoszisztémák tesztelése.
  • Felhő penetrációs tesztelés: Felhőalapú infrastruktúrák és szolgáltatások tesztelése.
  • Fizikai penetrációs tesztelés: A fizikai biztonsági intézkedések tesztelése, például a beléptetőrendszerek kijátszhatóságának vizsgálata.

Cél alapján:

  • Célzott penetrációs tesztelés: Specifikus sebezhetőségek vagy rendszerek tesztelése.
  • Compliance tesztelés: Az iparági szabványoknak vagy jogszabályoknak való megfelelés ellenőrzése.
  • Red teaming: Teljes körű szimulált támadás, amely a szervezet biztonsági csapatának (blue team) képességeit is teszteli.

Biztonsági auditálás

A biztonsági auditálás egy rendszeres, szisztematikus értékelési folyamat, amely során ellenőrzik, hogy az IT-rendszerek és folyamatok megfelelnek-e a biztonsági szabályzatoknak, eljárásoknak és iparági standardoknak. Míg a penetrációs tesztelés aktív támadásokat szimulál, az audit általában a meglévő biztonsági kontrollok hatékonyságát vizsgálja.

A biztonsági audit céljai

  • A biztonsági irányelveknek és eljárásoknak való megfelelés ellenőrzése
  • Potenciális biztonsági rések és gyenge pontok azonosítása
  • A biztonsági incidensek megelőzése
  • A szabályozási követelményeknek való megfelelés biztosítása (pl. GDPR, PCI DSS, HIPAA)
  • Az adatvédelmi és biztonsági tudatosság elősegítése a szervezeten belül

A biztonsági audit típusai

  • Belső audit: A szervezet saját munkatársai végzik.
  • Külső audit: Független harmadik fél végzi az ellenőrzést.
  • Compliance audit: A jogszabályoknak és szabványoknak való megfelelés ellenőrzése.
  • Operatív audit: A napi működési folyamatok biztonsági aspektusainak ellenőrzése.

Biztonsági audit folyamata

  1. Tervezés: Az audit hatókörének, céljainak és ütemtervének meghatározása.
  2. Információgyűjtés: A releváns dokumentumok, naplók és rendszerinformációk összegyűjtése.
  3. Elemzés: A gyűjtött információk elemzése a megfelelőség szempontjából.
  4. Tesztelés: A biztonsági kontrollok tesztelése és értékelése.
  5. Értékelés: A megállapítások értékelése és a nem-megfelelőségek azonosítása.
  6. Jelentéskészítés: Részletes jelentés készítése a megállapításokról és ajánlásokról.
  7. Utókövetés: A javasolt változtatások implementálásának ellenőrzése.

Gyakori biztonsági audit területek

  • Hozzáférés-kezelés: Felhasználói jogosultságok, jelszóirányelvek, azonosítási és hitelesítési folyamatok.
  • Hálózati biztonság: Tűzfalak, VPN-ek, IDS/IPS rendszerek konfigurációja és hatékonysága.
  • Adatvédelem: Érzékeny adatok kezelése, titkosítási gyakorlatok, adatvédelmi szabályzatok.
  • Alkalmazásbiztonság: Alkalmazások konfigurációja, frissítési folyamatok, biztonsági funkciók.
  • Fizikai biztonság: Adatközpontok, szerverszobák, beléptető rendszerek biztonsága.
  • Incidens-kezelés: Biztonsági incidensek észlelése, jelentése és kezelése.
  • Üzletmenet-folytonosság és katasztrófa-elhárítás: Biztonsági mentések, helyreállítási folyamatok.
  • Harmadik féllel kapcsolatos biztonság: Beszállítók, partnerek biztonsági értékelése.

Biztonsági audit szabványok és keretrendszerek

Számos nemzetközi szabvány és keretrendszer létezik, amelyek útmutatást nyújtanak a biztonsági auditokhoz:

  • ISO/IEC 27001: Információbiztonsági irányítási rendszerek követelményei.
  • NIST Cybersecurity Framework: Az USA Nemzeti Szabványügyi és Technológiai Intézetének keretrendszere.
  • CIS Controls: Center for Internet Security által meghatározott biztonsági kontrollok.
  • COBIT (Control Objectives for Information and Related Technologies): IT irányítási és menedzsment keretrendszer.
  • PCI DSS (Payment Card Industry Data Security Standard): Kártyakibocsátók által létrehozott biztonsági standard.
  • HIPAA (Health Insurance Portability and Accountability Act): Egészségügyi információk védelmére vonatkozó amerikai törvény.
  • GDPR (General Data Protection Regulation): Az Európai Unió adatvédelmi rendelete.

Biztonsági tesztelés beépítése a fejlesztési folyamatba

A biztonsági tesztelést érdemes a fejlesztési folyamat szerves részévé tenni, nem pedig utólagos tevékenységként kezelni. Ez a "security by design" vagy "shift-left security" megközelítés lehetővé teszi a biztonsági problémák korai azonosítását és javítását, amikor azok költsége még alacsonyabb.

DevSecOps

A DevSecOps a DevOps gyakorlatok kiterjesztése, amely integrálja a biztonsági szempontokat a fejlesztési és üzemeltetési folyamatokba. A DevSecOps célja, hogy a biztonság ne egy elkülönült tevékenység legyen, hanem az egész fejlesztési életciklust átható szempont.

DevSecOps gyakorlatok:

  • Biztonsági követelmények meghatározása a tervezési fázisban
  • Biztonságos kódolási gyakorlatok betartása
  • Automatizált statikus és dinamikus kódelemzés a CI/CD pipeline-ban
  • Függőségek biztonsági ellenőrzése
  • Biztonsági tesztek automatizálása
  • Biztonsági szempontból megfelelő infrastruktúra kialakítása (Infrastructure as Code)

SAST vs. DAST

A fejlesztési folyamatba integrált biztonsági tesztelés két fő típusa:

  • SAST (Static Application Security Testing): A forráskód elemzése biztonsági problémák azonosítása céljából, még mielőtt a kód futna. Előnye, hogy korán azonosíthatók a problémák, de hamis pozitívokat is eredményezhet.
  • DAST (Dynamic Application Security Testing): A futó alkalmazás tesztelése külső perspektívából, valós használat során. Kevesebb hamis pozitívot eredményez, de csak a fejlesztési ciklus későbbi szakaszában alkalmazható.

Biztonsági tesztelés automatizálása

Az automatizált biztonsági tesztelés lehetővé teszi a rendszeres és következetes ellenőrzéseket a fejlesztési folyamat során. Példák az automatizálható biztonsági tesztekre:

  • Automatizált statikus kódelemzés (SAST eszközök, pl. SonarQube, Checkmarx)
  • Függőségek biztonsági ellenőrzése (pl. OWASP Dependency Check, Snyk)
  • Automatizált dinamikus alkalmazásbiztonság tesztelés (DAST eszközök, pl. OWASP ZAP, Burp Suite)
  • Konténerek biztonsági ellenőrzése (pl. Clair, Trivy)
  • Infrastructure as Code biztonsági ellenőrzése (pl. Terraform Sentinel, AWS CloudFormation Guard)

Biztonsági tesztelési eszközök

Számos eszköz áll rendelkezésre a biztonsági tesztelés különböző aspektusaihoz:

Sebezhetőség-szkennelők

  • Nessus: Átfogó sebezhetőség-szkenner különböző rendszerek és alkalmazások ellenőrzésére.
  • OpenVAS: Nyílt forráskódú sebezhetőség-szkennelő és kezelő rendszer.
  • Qualys: Felhőalapú sebezhetőség-kezelési megoldás.
  • Acunetix: Webalkalmazás-sebezhetőség szkenner.

Webalkalmazás-biztonsági eszközök

  • OWASP ZAP (Zed Attack Proxy): Nyílt forráskódú webalkalmazás-biztonsági szkenner.
  • Burp Suite: Átfogó webalkalmazás-biztonsági tesztelési platform.
  • Nikto: Nyílt forráskódú webszerver-szkenner.
  • SQLmap: Automatizált SQL injection és adatbázis-átvételi eszköz.

Hálózati biztonsági eszközök

  • Nmap: Hálózati felderítő és biztonsági auditáló eszköz.
  • Wireshark: Hálózati protokoll-analizátor.
  • Aircrack-ng: Vezeték nélküli hálózatok biztonságának tesztelésére szolgáló eszközkészlet.
  • Ettercap: Komprehenzív, közepes rétegű (MitM) támadási eszköz.

Exploit keretrendszerek

  • Metasploit Framework: A legismertebb penetrációs tesztelési keretrendszer, számos exploit-tal és post-exploitation eszközzel.
  • BeEF (Browser Exploitation Framework): Böngészőalapú támadások tesztelésére szolgáló eszköz.
  • Empire: PowerShell és Python post-exploitation keretrendszer.
  • Cobalt Strike: Komplex támadásszimuláció és red teaming eszköz.

Jelszóvisszafejtő eszközök

  • Hashcat: Gyors, GPU-támogatott jelszóvisszafejtő eszköz.
  • John the Ripper: Nyílt forráskódú jelszóvisszafejtő eszköz.
  • Hydra: Hálózati bejelentkezés bruteforce eszköz.

Mobilalkalmazás-biztonsági eszközök

  • MobSF (Mobile Security Framework): Automatizált mobilalkalmazás-biztonsági tesztelési keretrendszer.
  • Drozer: Android alkalmazások biztonsági tesztelésére szolgáló eszköz.

Következtetések és ajánlások

A biztonsági tesztelés elengedhetetlen része a modern szoftverfejlesztési és IT-üzemeltetési folyamatoknak. Az alábbiakban összefoglaljuk a legfontosabb ajánlásokat:

  1. Biztonsági tesztelés integrálása a fejlesztési életciklusba: A biztonságot a projekt kezdetétől figyelembe kell venni, nem csak a végén.
  2. Rendszeres biztonsági tesztelés és auditálás: A rendszeres ellenőrzések segítenek naprakészen tartani a biztonsági kontrollokat és időben azonosítani az új sebezhetőségeket.
  3. Automatizálás: Az automatizált biztonsági tesztek beépítése a CI/CD pipeline-ba biztosítja a folyamatos ellenőrzést.
  4. Többrétegű megközelítés: Különböző típusú biztonsági tesztek kombinálása (SAST, DAST, penetrációs tesztelés, auditálás) átfogóbb képet ad a biztonsági helyzetről.
  5. Képzés és tudatosság: A fejlesztők és IT-szakemberek rendszeres biztonsági képzése segít megelőzni a biztonsági problémákat.
  6. Biztonsági metrikák és folyamatos fejlesztés: A biztonsági tesztelés eredményeinek mérése és elemzése segít a folyamatok és kontrollok folyamatos fejlesztésében.

A biztonsági tesztelés nem egyszeri tevékenység, hanem folyamatos erőfeszítés a szervezet biztonsági helyzetének javítására. A modern fenyegetési környezetben a proaktív biztonsági megközelítés elengedhetetlen a sikeres védelemhez.

Szabó Péter

Szabó Péter

Péter etikus hacker és biztonsági szakértő, aki a penetrációs tesztelésre és biztonsági auditokra specializálódott. Több mint 9 éves tapasztalattal rendelkezik a kiberbiztonsági területen, és számos jelentős sebezhetőséget fedezett már fel nagyvállalati rendszerekben.