Penetration testing a ethical hacking není totéž
Mnohými firmami, a to jak těmi, co penetrační testy a etické hackování poptávají, tak dokonce i těmi, co je nabízejí, jsou tyto dva přístupy k ověření bezpečnosti považovány za totéž.
Leč oba přístupy sledují úplně jiné cíle a mají společné snad jen to, že je zpravidla provádí vysoce kvalifikovaná osoba nebo dokonce tým profesionálů.
Penetrační test je zpravidla zaměřen na nějaký konkrétní systém nebo aplikaci a jeho cílem je pak identifikace pokud možno všech zranitelností a ověření, zda by jich skutečný útočník mohl zneužít k průniku do daného systému. Tester zpravidla obdrží detailní informaci o daném systému a o probíhajícím testu jsou informováni i zaměstnanci.
Ethical hacking je pak zpravidla zaměřen na prověření odolnosti organizace vůči útoku zvenku, takže ethical hacker může zneužít jakékoliv zranitelnosti k průniku do organizace a jeho cílem je pak zpravidla dostat se co nejdále. O probíhajícím testu zpravidla ví jen vlastník nebo vrcholový management. Rozdíl mezi těmito dvěma přístupy je pak zachycen v následující tabulce.
Penetrační test | Ethical hacking | |
Vysoce formalizovaný přístup k provedení testu | ANO | NE |
Test je zpravidla omezen jen na určitý systém a použité techniky | ANO | NE |
Odhalení pokud možno všech známých zranitelností | ANO | NE |
Zpravidla dochází ke zneužití nalezené zranitelnosti | NE | ANO |
Je poskytnuta detailní informace o systému | ANO | NE |
Je poskytnuta součinnost ze strany organizace | ANO | NE |
O probíhajícím testu bývá informováno IT | ANO | NE |
O proběhnutém testu je k dispozici detailní dokumentace | NE | ANO |
Délka trvání včetně přípravy, realizace a vyhodnocení | týdny | měsíce |
Náklady na provedení daného testu | statisíce | několik stovek tisíc |
Samozřejmě, že nic není až tak černobílé, takže existují i různé varianty. Ostatně vše je věc dohody mezi zákazníkem a dodavatelem.
ČERMÁK, Miroslav, 2018. Penetration testing a ethical hacking není totéž. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/penetration-testing-a-ethical-hacking-neni-totez/. [citováno 07.12.2024].
Štítky: informační bezpečnost
K článku “Penetration testing a ethical hacking není totéž” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.