Etický hacking - ověřené metodiky a postupy krok za krokem
Většina lidí si pentestera představuje jako někoho, kdo se do systémů vlamuje intuitivně, bez plánu. To je omyl. Profesionální etický hacking stojí na přesně definovaných metodických rámcích, které určují každou fázi práce, od prvního průzkumu až po závěrečnou zprávu pro klienta. Bez této struktury se bezpečnostní audit mění v náhodnou sadu skenů a pokusů, které snadno přehlédnou kritické zranitelnosti. V tomto článku uvidíš, jaké standardy oboru vládnou a jak vypadají jednotlivé fáze profesionálního pentestu.
Obsah
Klíčové poznatky
| Bod | Detail |
|---|---|
| Význam metodiky | Systematický přístup zajišťuje účinnost a věrohodnost bezpečnostních auditů. |
| Standardy NIST a OWASP | NIST a OWASP tvoří základní pilíře profesionálních penetračních testů. |
| Modely black/white/grey box | Volba modelu závisí na cíli auditu a úrovni dodaných znalostí, vždy vyžaduje písemný souhlas. |
| Metriky a benchmarking | RAV a podobné metriky umožňují měřit riziko a profesionálně komunikovat výsledky. |
Proč je metodika v etickém hackingu nezbytná?
Pentest bez metodiky připomíná lékařskou diagnózu bez vyšetřovacího protokolu. Něco se zachytit dá, stejně snadno se ale přehlédnou nejdůležitější problémy. Bez formálního plánu jsou různé oblasti testovaného systému pokryty nerovnoměrně. Některé zdroje jsou kontrolovány opakovaně, jiné zcela vynechány.
Standardizovaný přístup řeší tento problém přímo. NIST SP 800-115 dělí pentest do 4 fází: Planning, Discovery, Attack a Reporting. Každá fáze má jasně definované cíle, vstupy a výstupy. Pentester pracující podle této struktury nemusí improvizovat pořadí činností, protože za něj to dělá metodika.
Metodika má také právní rozměr. Každá činnost pentestera musí mít doložený podklad. Písemný souhlas vlastníka systému, rozsah testů a harmonogram prací jsou prvky nezbytné pro vedení auditu v souladu s právem. Bez těchto dokumentů se i nejetičtěji smýšlející specialista vystavuje trestní odpovědnosti za neoprávněný přístup.
Níže nejdůležitější důvody, proč je metodika základem práce každého pentestera:
-
Zabraňuje vynechání kritických oblastí systému
-
Zaručuje opakovatelnost a porovnatelnost výsledků mezi audity
-
Dodává klientovi přehlednou zprávu s doloženou stopou činností
-
Právně chrání jak pentestera, tak zadavatele
-
Usnadňuje týmovou práci na velkých projektech
"Účinný pentester nejen umí útočit. Ví také, kdy se zastavit a jak zdokumentovat každý krok, aby výsledky měly hodnotu pro klienta a byly právně bezpečné."
Stojí za to si také pamatovat, že metodika pokrývá nestandardní oblasti. Například sociotechnický útok v pentestech vyžaduje vlastní postupy souhlasu a dokumentace, protože narušuje nejen technické systémy, ale i soukromí zaměstnanců testované organizace.
Tip profesionála: Před každým projektem sepiš dokument Rules of Engagement. Zahrň do něj rozsah IP, metody testování, časová okna a kontaktní údaje pro eskalaci incidentů. Je to dokument, který chrání obě strany po celou dobu auditu.
Klíčové fáze procesu dle NIST SP 800-115
NIST SP 800-115 patří k nejrozšířenějším standardům v odvětví pentestu. Jeho popularita pramení z přesnosti. Každá fáze má konkrétní úkoly a měřitelné výsledky. Standard byl publikován v roce 2008 organizací National Institute of Standards and Technology, je veřejně dostupný a navzdory věku zůstává základním referenčním dokumentem, pravidelně citovaným v podrobnějších rámcích.
Podle tohoto standardu jsou čtyři fáze pentestu Planning, Discovery, Attack a Reporting. Níže popis každé z nich krok za krokem.
-
Planning (Plánování) - Úvodní fáze. Definuje se cíl auditu, rozsah činností, model testování a právní požadavky. Podepisují se smlouvy a doklady o souhlasu. Určují se také lidské a hardwarové zdroje potřebné pro projekt.
-
Discovery (Objevování) - Dvoustupňový průzkum. První část je pasivní sběr informací o cíli, jako jsou subdomény, údaje WHOIS, e-mailové adresy a serverové technologie. Druhá část je aktivní skenování: detekce otevřených portů, verzí služeb, operačních systémů a potenciálních zranitelností. Sem patří nástroje jako Nmap, Shodan či Nessus.
-
Attack (Útok) - Zneužívání zjištěných zranitelností. Pentester se snaží získat neoprávněný přístup, eskalovat oprávnění, pohybovat se laterálně po síti a sbírat data. Každá činnost je dokumentována v reálném čase. Tato fáze potvrzuje reálnost hrozeb zjištěných při Discovery.
-
Reporting (Reportování) - Předání výsledků klientovi. Zpráva obsahuje popis metodiky, seznam zjištěných zranitelností s hodnocením rizika, důkazy zneužití a doporučení k nápravě. Dobrá zpráva odděluje technické výsledky od shrnutí pro management.
| Fáze | Hlavní cíl | Typické nástroje |
|---|---|---|
| Planning | Definice rozsahu a souhlasu | Šablony smluv, dokumenty RoE |
| Discovery | Průzkum a skenování zranitelností | Nmap, Shodan, Nessus, Maltego |
| Attack | Zneužívání a eskalace oprávnění | Metasploit, Burp Suite, Sliver, Mythic |
| Reporting | Dokumentace výsledků a doporučení | Dradis, PlexTrac, Word/PDF |
Fáze Discovery si zaslouží zvláštní pozornost, protože chyby zde udělané se šíří celým zbytkem auditu. Pokud pentester při skenování přehlédne celou podsíť, fáze Attack se jí nikdy nedotkne. Přesnost průzkumu rozhoduje o kvalitě konečných výsledků.
Tip profesionála: Ve fázi Discovery používej jak aktivní skenování, tak pasivní techniky. Spoustu cenných informací o infrastruktuře cíle najdeš ve veřejně dostupných repozitářích kódu, jako je GitHub, bez generování síťového provozu. Obzvlášť užitečné je projít historii commitů hledající úniky API klíčů a hesel. Podobné techniky se hodí i u fuzzingu aplikací, kde znalost architektury před začátkem testu umožňuje směřovat fuzzing na nejrizikovější endpointy.
Metodika testování webových aplikací: OWASP Testing Guide
Pokud je cílem auditu webová aplikace, obecná metodika NIST SP 800-115 vyžaduje doplnění o specializovaný rámec. Nastupuje OWASP Web Security Testing Guide (WSTG, dříve OWASP Testing Guide), který je de facto standardem pro tuto oblast.
OWASP Testing Guide obsahuje 11 hlavních testovacích kategorií: Information Gathering, Configuration and Deployment Management, Identity Management, Authentication, Authorization, Session Management, Input Validation, Error Handling, Cryptography, Business Logic a Client-Side Testing. Každá kategorie obsahuje podrobné testovací vektory s popisem techniky, nástrojů a očekávaných výsledků.
Praktická hodnota OWASP Testing Guide spočívá v tom, že nejde jen o seznam hrozeb. Každý test je popsán na technické úrovni. Pentester dostává hotový recept: co hledat, jak to ověřit a jak vyhodnotit výsledek.
Níže přehled vybraných kategorií z OWASP Testing Guide:
-
Information Gathering - sběr dat o frameworku, serveru, backendových technologiích a struktuře URL
-
Configuration Management - kontrola konfigurace serveru, HTTPS, bezpečnostních hlaviček, konfigurace TLS
-
Authentication Testing - testy politiky hesel, mechanismů lockout, vícefaktorového ověření, zranitelností na brute-force
-
Session Management Testing - analýza session tokenů, bezpečnosti cookies, zranitelností na session fixation a CSRF
-
Authorization Testing - ověření řízení přístupu, testy privilege escalation, insecure direct object reference
-
Input Validation Testing - SQL Injection, XSS, Command Injection, Path Traversal, XML Injection
-
Business Logic Testing - detekce chyb business logiky, které se těžko identifikují automatizovaně
-
Client-Side Testing - analýza JavaScriptu, DOM-based XSS, HTML Injection, WebSocket security
| Kategorie OWASP | Nástroje | Typické zranitelnosti |
|---|---|---|
| Information Gathering | Nmap, Wappalyzer, Shodan | Odhalené technologie, verze software |
| Authentication Testing | Burp Suite, Hydra | Slabá hesla, žádný lockout, zranitelné MFA |
| Input Validation | SQLMap, Burp Repeater | SQL Injection, XSS, Command Injection |
| Session Management | Burp Suite, Cookie Editor | Session fixation, CSRF, slabé tokeny |
| Business Logic | Burp Intruder, manuální analýza | Race conditions, chyby v platebním toku |
Systematická dokumentace výsledků během testů je stejně důležitá jako samotné testy. Každý nalezený vektor útoku by měl být okamžitě zaznamenán s důkazem: screenshotem, logem HTTP požadavku nebo výstupem nástroje. Rekonstrukce stop po skončení auditu je obtížná a časově náročná. Praktické tipy ke strukturování testovací fáze najdeš v podrobném průvodci fuzzingem, kde je také popsán způsob organizace výsledků automatických skenů.
Tip profesionála: Kategorii Business Logic Testing vždy považuj za manuální test, ne automatický. Žádný automatický nástroj nerozumí business logice aplikace tak jako člověk. Toky nákupních procesů, kuponových systémů a omezení účtů kontroluj ručně, krok za krokem, protože právě tam se skrývají zranitelnosti, které automatické skenery přehlédnou.
Specifika modelů testování: black box, white box, grey box
Volba modelu testování je jedním z prvních rozhodnutí při plánování auditu. Každý model předpokládá jinou úroveň úvodních znalostí o testovaném systému. Rozhodnutí ovlivňuje realističnost testu, dobu trvání projektu a rozsah možných výsledků.
Black box, white box a grey box jsou tři základní přístupy k penetračním testům. Každý z nich vyžaduje písemný souhlas vlastníka systému bez výjimky.
| Model | Úroveň znalostí | Výhody | Nevýhody |
|---|---|---|---|
| Black box | Žádné znalosti o systému | Realistická simulace externího útočníka | Dlouhý čas, riziko přehlédnutí skrytých oblastí |
| White box | Úplné znalosti: kód, architektura, dokumentace | Hluboká analýza, vysoké pokrytí testy | Neodráží perspektivu externího útočníka |
| Grey box | Částečné znalosti: testovací účty, struktura sítě | Rovnováha mezi realismem a efektivitou | Vyžaduje pečlivou volbu rozsahu znalostí |
Model black box je nejčastěji volen firmami, které chtějí prověřit, co vidí externí útočník, než se dostane k přihlašovacím údajům. Pentester startuje bez jakýchkoli informací kromě cílové adresy. Je to časově nejnáročnější přístup, ale dává nejrealističtější obraz externí expozice organizace.
White box dává pentesterovi plný přístup ke zdrojovému kódu, dokumentaci architektury, konfiguracím serverů a síťovým diagramům. Tester tak může analyzovat logiku aplikace a infrastrukturu na úrovni, která u black boxu není možná. Tento přístup je obzvlášť účinný při auditu bezpečnosti kódu před produkčním nasazením.
Grey box je kompromis nejčastěji používaný v praxi. Pentester dostává například uživatelský účet se základními oprávněními a znalost segmentace sítě, ale nemá přístup ke zdrojovému kódu. To umožňuje soustředit testovací čas na reálné vektory útoku při zachování částečné perspektivy externího útočníka.
Klíčové zásady při volbě modelu:
-
Cíl auditu určuje model. Audit před nasazením aplikace nejlépe pokrývá white box. Ověření zralosti zabezpečení proti externím útokům vyžaduje black box nebo grey box.
-
Čas a rozpočet mají význam. Black box je časově nejdražší. White box je nejdražší co do požadovaných analytických znalostí.
-
Písemný souhlas vlastníka systému je vyžadován bez ohledu na model. Bez souhlasu je audit nezákonný, i kdyby byl veden metodami pasivního průzkumu.
-
Geografický rozsah testů a časová okna musí být definovány zvlášť pro každý model.
"Žádný testovací model nenahrazuje jiný. Bezpečnostně zralé organizace pravidelně kombinují přístupy a provádějí black box jednou ročně a white box při každé významné změně systému."
Metriky hodnocení bezpečnosti - PTES, OSSTMM a praxe
Najít zranitelnosti je jedna věc. Popsat je měřitelně a srozumitelně pro klienta je úplně jiná dovednost. Metodické rámce PTES (Penetration Testing Execution Standard) a OSSTMM (Open Source Security Testing Methodology Manual) na tuto výzvu odpovídají konkrétními měřicími nástroji.
PTES a OSSTMM nabízejí metriky jako RAV (Risk Assessment Value), které umožňují empiricky změřit stav bezpečnosti systému. RAV je balance metrika počítaná ze tří komponent: Operational Security, Controls a Limitations. Operational Security se měří přes Porosity, na kterou se skládají tři prvky: Visibility (viditelnost zdrojů), Access (body přístupu do systému) a Trust (úroveň důvěry mezi komponentami). Výsledek dává kvantifikované hodnocení rizika ve škále vůči hodnotě 100.
V oborové praxi je používání takových metrik stále menšinové. Většina pentest zpráv obsahuje seznamy zranitelností s hodnocením CVSS (Common Vulnerability Scoring System), ale neposkytuje celkovou metriku stavu bezpečnosti systému. Tuto mezeru se snaží zaplnit OSSTMM.
Praktické použití metrik RAV vypadá následovně:
-
Visibility - kolik styčných bodů se systémem je veřejně dostupných? Každý otevřený port, veřejný API endpoint či subdoména zvyšuje tento ukazatel.
-
Access - jaká je míra skutečné zranitelnosti zjištěných zdrojů? Sem patří výsledky skenování zranitelností s vahami CVSS.
-
Trust - důvěřují si komponenty systému nadměrně? Neomezené vztahy trust mezi segmenty sítě drasticky zvyšují riziko laterálního pohybu útočníka.
Stojí za to také vědět, že PTES definuje sedm fází pentestingu: Pre-engagement Interactions, Intelligence Gathering, Threat Modeling, Vulnerability Analysis, Exploitation, Post Exploitation a Reporting. Jde o podrobnější rozdělení než čtyři fáze NIST SP 800-115, což činí PTES užitečným doplňkem, zejména u velkých korporátních projektů.
Tip profesionála: Ve zprávách pro business klienty převeď technický popis zranitelností do jazyka finančního a provozního rizika. Místo "zjištěn SQL Injection v parametru ID" napiš "útočník může získat přístup k celé databázi klientů, čímž firmu vystaví pokutám GDPR až 20 milionů eur a ztrátě reputace." Stejná hrozba, ale mnohem srozumitelnější pro rozhodovatele.
Používání standardizovaných metrik zvyšuje také srovnatelnost auditů v čase. Klient, který zadává pentesty cyklicky, může sledovat změny ukazatele RAV mezi projekty a objektivně hodnotit, zda jeho investice do bezpečnosti přinášejí měřitelné výsledky. Bez takových metrik se každá zpráva hodnotí subjektivně, což ztěžuje řízení rizik na úrovni organizace.
Náš pohled na metodiku etického hackingu
Pentest trh má problém, o kterém se otevřeně mluví málo. Mnoho firem, které zadávají bezpečnostní audity, považuje metodiku za formalitu. Zajímá je finální certifikát, ne kvalita procesu. Tím vznikají situace, kdy audit provedený "podle metodiky" je ve skutečnosti zběžným scanem několika portů a zprávou vygenerovanou automatickým skenerem.
Metodika je nástroj, ne cíl sám o sobě. NIST SP 800-115, OWASP Testing Guide, PTES, OSSTMM. Každý z těchto standardů dodává strukturu, ale kvalita auditu závisí na pentesterovi, který ji aplikuje. Nástroj v rukou někoho, kdo nerozumí, proč daný krok dělá, dává horší výsledky než zkušený specialista pracující bez formálního standardu.
Z dlouhodobé perspektivy budování znalostí v tomto oboru se vyplatí obrátit typický vzdělávací přístup. Místo učení nástrojů a teprve potom hledání jejich místa v metodice je lepší začít porozuměním cílům každé fáze. Když víš, co hledáš ve fázi Discovery, sahání po správných nástrojích se stává přirozeným. Když znáš cíl fáze Attack, vidíš, které exploity stojí za pozornost a které jsou ztrátou času.
Druhá často přehlížená otázka je rozdíl mezi pentestem a bezpečnostním hodnocením. Pentest je pokus o zneužití konkrétních zranitelností. Bezpečnostní hodnocení je širší přehled architektury, politik a postupů. Metodiky popsané v tomto článku se týkají hlavně pentestů, ale profesionální bezpečnostní poradce by měl znát oba přístupy a vědět, kdy který použít. Klient často žádá o "penetrační test", když jeho skutečný problém vyžaduje revizi bezpečnostních politik nebo konfigurace infrastruktury.
Nakonec otázka hardware. Nejlepší metodika na světě nic nepomůže, pokud tester používá nevhodné vybavení pro konkrétní testovací scénáře. Testy bezdrátových sítí vyžadují jiné síťové karty než testy webových aplikací. Testy fyzické bezpečnosti vyžadují vybavení pro RFID/NFC. Soulad mezi metodikou, softwarovými nástroji a hardware definuje profesionální dílnu.
Profesionální vybavení pro každý testovací scénář
Dobře zvolená metodika vyžaduje odpovídající vybavení. V Sapsanu nabízíme specializovaná zařízení pro pentestery pracující v terénu i v laboratoři.
V našem obchodě najdeš nástroje pro testování Wi-Fi sítí, RFID/NFC zařízení pro audity fyzické bezpečnosti, SDR vybavení pro rádiové testy, BadUSB příslušenství a kompletní výbavu pro Flipper Zero. Každý produkt je vybrán pro pentest využití, ne pro běžné použití. Sapsan dodává vybavení profesionálům po celé Evropě a USA s rychlým vyřízením objednávek. Ať už děláš black box audit firemní sítě nebo testy webových aplikací, máme hardware, který doplní tvou metodickou dílnu.
Často kladené otázky
Vyžaduje jeden audit vždy aplikaci všech fází NIST SP 800-115?
Ne každá fáze musí být aplikována na 100 %, ale úplný cyklus výrazně zvyšuje detekci zranitelností a kvalitu zprávy. Čtyři fáze NIST SP 800-115 lze přizpůsobit rozsahu projektu, vynechání fáze Discovery nebo Reporting ale snižuje hodnotu celého auditu.
Lze kombinovat metodiky (např. OWASP s NIST) při jednom pentestu?
Ano, metodiky se často kombinují, zejména u složitých systémů vyžadujících různorodé nástroje a přístupy. OWASP Testing Guide s 12 kategoriemi výborně doplňuje obecný rámec NIST SP 800-115 u auditů zahrnujících webové aplikace.
Jak vybrat model testování: black box, white box nebo grey box?
Rozhodnutí se přijímá na základě cíle projektu, dostupných informací a striktního souhlasu vlastníka systému. Jak uvádí písemný souhlas vlastníka systému je vyžadován nezávisle na zvoleném modelu a samotná volba mezi black, white a grey box vyplývá z priority realismu versus hloubky analýzy.
Proč používat metriky typu RAV v praxi pentestera?
Metriky usnadňují komunikaci rizika a pokroku v zabezpečení, klienti získávají měřitelný obraz stavu systému. RAV z rámce OSSTMM umožňuje srovnávat výsledky mezi cyklickými audity a objektivně hodnotit účinnost zavedených zabezpečení v čase.