21. Penetrační testování

Penetrační test je provedení testu s cílem identifikovat zranitelnosti, které by mohly být přítomny v aktivu: na počítači, serveru, v informačním systému, síti, aplikaci nebo v organizaci. Penetrační testy také mohou identifikovat schopnost organizace reagovat na incident bezpečnosti informací.

Penetrační testy provádí vyškolení, kvalifikovaní experti s použitím postupů, které předpokládají, že by mohli použít skuteční hackeři.

Cíle penetračního testování:

1. Identifikovat rizika a/nebo potvrdit rizikový scénář (scénáře).
2. Ujistit se o úrovni zabezpečení před předáním aktiva, aplikace nebo služby do provozu.
3. Ujistit na vyžádání zákazníka a/nebo partnera o zabezpečení aktiva, aplikace nebo služby .
4. Prokázat náležitou péči (due diligence) s ohledem na rizika bezpečnosti informací.
5. Zajistit shoda se zákonem, předpisy nebo smluvními požadavky (audit, compliance).

Nástroje pro penetrační testování si každý pentester volí sám, stejně jako metodiky, na nichž zakládá postupy a hodnocení.
Existují však specializované linuxové distribuce, navržené pro digitální forenzní analýzu a penetrační testy. Jsou určeny především pro bezpečnostní experty, kteří v nich najdou předinstalované všechny příslušné bezpečnostní nástroje a mohou je použít k vyhledávání zranitelností.
Dobře však poslouží i uživatelům, kteří se zajímají o bezpečnost a chtějí přijít na kloub související problematice.

Za zmínku stojí následující operační systémy, které obsahují mnoho těchto nástrojů již připravených pro okamžité použití.

Kali Linux (https://www.kali.org)
ParrotOS (https://www.parrotsec.org)
BlackArch (https://blackarch.org)

Zdroje:

• https://hsoc.cesnet.cz/_media/cs/dokumenty/tech/penetracni_testovani-summary.pdf
• https://cs.wikipedia.org/wiki/Kali_Linux
• https://www.chip.cz/temata/kali-linux-2021-hackersky-system-nyni-bezi-lepe-pod-windows/