Registrácia do služby Ares
V prípade záujmu o bezpečnostné testovanie najskôr odporúčame sa prihlásiť do služby (nielen) vyhľadávania zraniteľností, Achilles.
Všeobecné informácie k službe Ares [PDF]
Ako mi (mojej inštitúcii) služba Ares pomôže?
Ministerstvo investícií, regionálneho rozvoja informatizácie Slovenskej republiky (MIRRI) prostredníctvom Vládnej jednotky CSIRT (VJ CSIRT) poskytuje svojej konštituencii službu hodnotenia zraniteľností formou penetračného testu. Výsledkom penetračného testovania je ucelená správa (report), ktorej obsahom je zoznam objavených zraniteľností testovaného systému. Tieto zraniteľnosti sú kategorizované podľa ich závažnosti (nízka, stredná, vysoká alebo kritická) a pravdepodobnosti ich zneužitia (nízka, stredná alebo vysoká). Ku každej zraniteľnosti náleží popis, špecifikácia miesta výskytu, príklad možného zneužitia a odporúčané opatrenia na jej odstránenie alebo zníženie rizika jej zneužitia. S touto správou ďalej pracujú vývojári systému a jednotlivé zraniteľnosti odstraňujú. Je možné vykonať aj opätovné testovanie. V takom prípade kontrolujeme, či sú už nájdené zraniteľnosti opravené, a či pri ich odstraňovaní neboli zavedené nové. Pre optimálny výsledok treba odporúčania VJ CSIRT vždy implementovať bezodkladne.
Rozdiel medzi penetračným testovaním a vyhľadávaním zraniteľností (skenovaním)
Veľmi často sa môžete stretnúť so zámenou týchto pojmov.
Vyhľadávanie zraniteľností (skenovaním) trvá od niekoľkých hodín do niekoľkých dní a je vykonávané automatizovane nástrojom na to určeným (napr. Nessus, OpenVAS, Artemis alebo tzv. Vulnerability Assesment modul v rámci XDR riešenia). Odhalí vybrané zraniteľnosti systému, pričom sa opiera o hlavičky stránok, verzie softvéru alebo prednastavené odpovede softvéru. Nedokáže identifikovať chyby v biznis logike, ani neodhalí slabé, ale ľahko zneužiteľné miesta v aplikácii. Takúto formu testovanie ponúka VJ CSIRT v rámci svojej konštituencie bezplatne v rámci služby Achilles.
Penetračné testovanie trvá v závislosti od dohodnutého rozsahu od niekoľkých týždňov
po niekoľko mesiacov a jeho úlohou je prekonávať bezpečnostné mechanizmy na odhalenie zraniteľných miest v rámci infraštruktúry a aplikácií. Identifikuje aj také zraniteľnosti, ktoré nie je možné identifikovať automatizovaným nástrojom v rámci vyhľadávania zraniteľností. Je to teda dlhší, ale precíznejší proces.
Penetračné testovanie ako služba od VJ CSIRT
VJ CSIRT poskytuje bezodplatne svojej konštituencii službu hodnotenia zraniteľností formou penetračného testu podľa dostupných kapacít. Na vyjadrenie záujmu o túto službu je potrebné zaslať dopyt na podmienky poskytnutia penetračného testovania oficiálne na adresu ares@csirt.sk (kvôli kapacitným obmedzeniam) aspoň 4 mesiace pred Vami plánovaným termínom penetračného testovania.
Podmienkou vykonania penetračného testovania je uzatvorenie písomnej dohody o penetračnom testovaní medzi MIRRI a Vašou organizáciou, v ktorej sa bližšie dohodne najmä predmet testovania a podmienky výkonu testovania, a následne podanie záväznej žiadosti o výkon penetračného testovania. Zapojením sa do služby Ares a výkonom penetračného testovania získavate podklad pre zabezpečenie súladu s vybranými požiadavkami, najmä v oblasti hodnotenia zraniteľností, bezpečnostných aktualizácií a auditu/kontrolných činností, vyplývajúci predovšetkým zo Zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe v platnom znení a jeho vykonávajúcich predpisov a Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti.
VJ CSIRT sa v rámci služby Ares zameriava najmä na penetračné testovanie webových aplikácií metódou white-box. Pri tomto druhu penetračného testu sa jedná o testovanie zraniteľností s prístupom ku zdrojovému kódu. Zdrojový kód spolu s používateľskými účtami so všetkými rolami, ktorých oprávnenia sú súčasťou testov, je nutné poskytnúť pred vykonaním samotného penetračného testu.