1.4 Metodologie a Standardy (PTES, OWASP)
Neexistuje jedna univerzální metoda na pentesting (závisí na platformě). Bylo však vyvinuto několik populárních standardů:
- PTES (Penetration Test Execution Standard): Široce využívaný univerzální framework. Skládá se ze 7 fází a udává, jak strukturovat pentest (nikoli jak jej exekutovat technicky).
- OWASP (Open Web Application Security Project): Komplexní metodologie orientovaná výhradně na webové aplikace. Udržuje známý žebříček zranitelností OWASP Top 10 (např. Injection, Broken Authentication, XSS).
- NIST: Důraz na kybernetickou bezpečnost kritické infrastruktury a vládní shodu.
7 Fází PTES
Proces pentestu je rozdělen do těchto postupných fází:
1. Pre-engagement Interactions: Definice rozsahu testu (IP rozsahy, domény, zapojené třetí strany), odhad zdrojů a času (man-days), stanovení cílů klienta, dohodnutí povolených praktik (např. Social Engineering, DoS) a sepsání „Rules of Engagement“ (časová osa, NDA, legální aspekty).
2. Intelligence Gathering: Sběr co největšího množství informací o cíli (Reconnaissance). Využití OSINT (otevřené zdroje - zjišťování uživatelských jmen, IP, sociálních sítí). Fyzický průzkum, Footprinting (mapování infrastruktury a protokolů), identifikace ochranných mechanismů (firewally). Může být aktivní či pasivní.
3. Threat Modeling: Analýza obchodních aktiv (duševní vlastnictví, data zákazníků), analýza hrozeb (interní uživatelé, konkurence) a zhodnocení kapacit útočníka. Zmapování infrastruktury a napárování hrozeb na dané aktiva. Nutná kooperace s klientem.
4. Vulnerability Analysis: Hledání a detekce zranitelností, které lze potenciálně zneužít. Proces může být aktivní, pasivní či automatizovaný (využití skenerů, které ale produkují spoustu „false positives“). Nejdražší částí je know-how testera.
5. Exploitation: Hlavní fáze pentestu. Tester se na základě nasbíraných informací snaží aktivně prolomit a potvrdit nalezené zranitelnosti (využití exploitů na míru, univerzálních nástrojů, fuzzing, reverse engineering).
6. Post Exploitation: Cílem je udržet přístup a ovládat systém i do budoucna pro další analýzu. Zahrnuje ochranu sebe i klienta, eskalaci privilegií, krádež citlivých osobních dat (PII). Na závěr probíhá Cleanup (vyčištění systémů od back-doorů a testovacích skriptů).
7. Reporting: Tvorba závěrečné zprávy, což je jediný reálný výstupní „produkt“ pentestu. Skládá se z Executive Summary (vysokoúrovňové manažerské shrnutí rizik a business dopadů) a z Technical Reportu (detaily zranitelností s postupy k reprodukci, bodovým ohodnocením (CVSS) a doporučeními na nápravu).