Intrusio-testa (penetration test, pentest)

Intrusio-testa sistema baten edo gehiagoren segurtasuna egiaztatzeko eraso bat simulatzean datza. Proba kontrolatu eta baimendua da, eta sistema baten segurtasuna ebaluatzeko egiten da, bizitza errealean erasotzaileek egingo lituzketen ekintzak imitatuz.

Intrusio-test baten irismena aldakorra izan daiteke. Erakunde baten azpiegitura teknologiko osoan nahiz sistema edo aplikazio jakin batean zentra daiteke. Intrusio-test batean, metodologia- eta teknika-multzo bat aplikatzen da, erakunde bateko informazio-sistemei benetako eraso bat simulatzeko aukera ematen dutenak, bertako segurtasun-maila eta benetako eraso batek asmo gaiztoz lor dezakeen sarbide-maila zehazteko. Hainbat metodologia daude intrusio-test bat egiteko xehetasunak zehazten dituztenak, hala nola hauetan deskribatutakoak: PTES (Penetration Testing Execution Standard) edo OSSTMM (Open-Source Security Testing Methodology Manual).

Intrusio-testak aldizka egiteak erakunde bateko sistema informatikoen segurtasuna hobetzen lagun dezake, eta, besteak beste, onura hauek ekartzen ditu:

  • Kalteberatasunak aurkitzea software- edo hardware-aldaketen ondoren.
  • Okerreko konfigurazioak identifikatzea.
  • Sistemen kalteberatasun-maila ezagutaraztea.
  • Enpresaren informazioaren segurtasun-estrategia betetzen laguntzea.
  • Dagozkion zuzenketa-neurriak aplikatuz, mehatxuak gauzatzeko probabilitatea murrizten da.

Intrusio-testak hiru motatakoak izan daitezke:

  1. Kutxa beltzaren probak (Black Box testing). Probaren exekutatzaileak ez du inolako ezagutzarik aztertu beharreko sistemari buruz. Erakundeak kontratatutako hirugarren bat izaten da, kanpoko erasotzaile gisa.
  2. Kutxa zuriaren probak (White Box testing). Probaren exekutatzaileak oso ondo ezagutzen du aztertu beharreko sistema.
  3. Kaxa griseko probak (Grey Box testing). Probaren exekutatzaileak erakundeko langile bat dela simulatzen du, informazio jakin bat duena (adibidez, sistemara sartzeko kredentzialak), baina pribilegiorik gabe. Kasu honetan, erabiltzaile horiei zilegi ez den pribilegioak lortzeko aukera emango dieten kalteberatasunak detektatu nahi dira.

Intrusio-testean probatzen diren elementuak hauek izan ohi dira: softwarea (sistema eragilea, zerbitzuak, programak eta aplikazioak), hardwarea, sarea, prozesu korporatiboak eta erabiltzailearen portaera. Proba lau etapatan egin ohi da:

  1. Datuen bilketa. 
  2. Kalteberatasunen ebaluazioa.
  3. Ustiapena.
  4. Emaitzen analisia eta txosten xehatuen prestaketa, arriskuak eta kalteberatasunak murrizteko har daitezkeen neurri zuzentzaileak iradokitzen dituztenak.