Testování za pomoci manuálně realizovaných penetračních testů patří mezi základní metody ověřování bezpečnosti. Tento typ testování je maximálně účinný, ale bohužel časově velice náročný a tím pádem i drahý.
Mezi nevýhody manuálního penetračního testování patří například
- Velká závislost na zkušenostech penetračního testera
- Velké množství jednoúčelových nástrojů, které jsou během testu používány
- Složitá koordinace při realizaci testů v týmech
- Vysoké nároky na systematičnost a dokumentaci
- Časově náročná tvorba závěrečné zprávy
Během testování musí tester nejprve identifikovat použité technologie a následně zmapovat cílové prostředí pro odhalení všech zdrojů a jejich vstupů. Tester může uvedené činnosti provádět buďto zcela manuálně, nebo si může vypomoci nejrůznějšími jednoúčelovými skripty.
Následně musí tester manuálně, nebo opět za pomoci specializovaných jednoúčelových skriptů, otestovat jednotlivé vstupy na výskyt mnoha typů zranitelností. Pokud si uvědomíme, že je těchto vstupů stovky až tisíce, je zřejmé, že tato práce bude časově velice náročná a zabere desítky až stovky hodin práce.
Protože neexistují detailní kontrolní seznamy, které by testera prováděly testem krok za krokem, je tato práce také velice závislá na zkušenostech a znalostech pracovníka, který testy vykonává. Pouze na něm záleží, na kolik kompletně budou testy provedeny a kolik zranitelností bude nakonec odhaleno. Do testování tak běžně není možné zapojit začínající, méně zkušené testery bez toho, aby na ně dohlížel zkušenější pracovník.
Aby si tester během své práce udržel přehled a postupoval opravdu systematicky, musí vytvářet různá schémata testovaného prostředí a vytvářet velké množství poznámek. Během manuálního testování vzniká také velké množství podpůrných dat, jako jsou různé screenshoty a výpisy. Je pouze na testerovi, jak se mu podaří udržet si ve všech vznikajících materiálech pořádek a přehled.
U rozsáhlejších projektů je často nutné zapojit do testování větší množství pracovníků. Testeři by tak měli být schopni procházet testem současně bez toho, aby se jejich práce dublovala nebo aby naopak nezůstaly některé součásti neotestovány. Pracovníci by tedy mezi sebou měli efektivně sdílet všechny poznámky a dokumenty a mít přehled o všech činnostech ostatních členů týmu.
Je samozřejmostí, že by získání kontroly a přehledu nad průběhem testování měli mít i manažeři. Bez velkého množství nástrojů, mezi které patří například specializované nástroje pro správu projektů, jejichž použití je pro tento účel dosti neefektivní, by nebylo možné si přehled udržet. Týmová spolupráce je tedy jedním z mnoha úskalí manuálního testování.
Tester musí dále stanovit závažnost každé odhalené zranitelnosti a důkladně ji popsat pro pracovníky, kteří budou zodpovědní za její odstranění. Tester by měl detailně popsat, jak se zranitelnost projevuje a jak ji opakovaně vyvolat. Měl by popsat dopady zneužití zranitelnosti a navrhnout vhodný způsob nápravy. Text popisující zranitelnost by měl být dále doplněn referencemi na relevantní zdroje informací.
Popisy jednotlivých nálezů se na konci testování stávají zdrojem pro závěrečnou zprávu, kterou je nutné rozšířit ještě o další nezbytné součásti, mezi které patří úvodní informace, obsah, manažerské shrnutí, nebo závěrečné shrnutí. Sepsání všech textů potřebných pro závěrečnou zprávu je mnohdy časově náročnější než samotné testování a běžně zabere i několik desítek hodin práce.
Z uvedených informací vyplývá, že testeři často tráví až ¾ času jinými záležitostmi, než samotným testováním, přičemž řešit penetrační testy pouze plně automatizovanými nástroji není vhodným řešením. Bez použití specializovaného nástroje, který by vhodně propojit automatizované nástroje s manuálním testováním, je práce testerů bohužel velice neefektivní.
Pokud byste rádi zvýšili efektivitu manuálního testování jeho propojením s automatizovanými nástroji, získali lepší přehled nad jednotlivými projekty, zlepšili týmovou spolupráci nebo maximálně zjednodušili tvorbu závěrečných zpráv, zvažte, zda by platforma Penterep nemohla být právě tím řešením, které vám dokáže pomoci. Platforma Penterep oplývá celou řadou skvělých vlastností, které dokáží výrazným způsobem usnadnit a zefektivnit práci nejenom penetračním testerům.