Penetration testing a ethical hacking není totéž

Publikováno: 11. 06. 2018, v rubrice: Bezpečnost, autor: , zobrazeno: 1 335x

Mnohými firmami, a to jak těmi, co penetrační testy a etické hackování poptávají, tak dokonce i těmi, co je nabízejí, jsou tyto dva přístupy k ověření bezpečnosti považovány za totéž.

Leč oba přístupy sledují úplně jiné cíle a mají společné snad jen to, že je zpravidla provádí vysoce kvalifikovaná osoba nebo dokonce tým profesionálů.

Penetrační test je zpravidla zaměřen na nějaký konkrétní systém nebo aplikaci a jeho cílem je pak identifikace pokud možno všech zranitelností a ověření, zda by jich skutečný útočník mohl zneužít k průniku do daného systému. Tester zpravidla obdrží detailní informaci o daném systému a o probíhajícím testu jsou informováni i zaměstnanci.

Ethical hacking je pak zpravidla zaměřen na prověření odolnosti organizace vůči útoku zvenku, takže ethical hacker může zneužít jakékoliv zranitelnosti k průniku do organizace a jeho cílem je pak zpravidla dostat se co nejdále. O probíhajícím testu zpravidla ví jen vlastník nebo vrcholový management. Rozdíl mezi těmito dvěma přístupy je pak zachycen v následující tabulce.

Penetrační test Ethical hacking
Vysoce formalizovaný přístup k provedení testu ANO NE
Test je zpravidla omezen jen na určitý systém a použité techniky ANO NE
Odhalení pokud možno všech známých zranitelností ANO NE
Zpravidla dochází ke zneužití nalezené zranitelnosti NE ANO
Je poskytnuta detailní informace o systému ANO NE
Je poskytnuta součinnost ze strany organizace ANO NE
O probíhajícím testu bývá informováno IT ANO NE
O proběhnutém testu je k dispozici detailní dokumentace NE ANO
Délka trvání včetně přípravy, realizace a vyhodnocení týdny měsíce
Náklady na provedení daného testu statisíce několik stovek tisíc

Samozřejmě, že nic není až tak černobílé, takže existují i různé varianty. Ostatně vše je věc dohody mezi zákazníkem a dodavatelem.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Social hacking test
  2. Audit, prověrka konfigurace, skenování zranitelností, penetrační test a analýza rizik
  3. Je bezpečnostní chyba, error, bug, flaw, defekt a hole totéž?
  4. Co je a není penetrační test
  5. Penetrační testování jako součást životního cyklu vývoje SW

Štítky:


K článku “Penetration testing a ethical hacking není totéž” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: