Apabila menyediakan sistem keselamatan baharu, anda perlu memastikan ia berfungsi dengan baik dengan sesedikit kelemahan yang mungkin. Apabila aset digital bernilai beribu-ribu dolar terlibat, anda tidak mampu untuk belajar daripada kesilapan anda dan hanya mengisi jurang dalam keselamatan anda yang dieksploitasi oleh penggodam sebelum ini.
Cara terbaik untuk menambah baik dan menjamin keselamatan rangkaian anda adalah dengan mengujinya secara berterusan, mencari kelemahan untuk diperbaiki.
Jadi apakah ujian pena?
Ujian penembusan, juga dikenali sebagai ujian pen, ialah serangan keselamatan siber berperingkat yang meniru insiden keselamatan sebenar. Serangan simulasi boleh menyasarkan satu atau beberapa bahagian sistem keselamatan anda, mencari titik lemah yang boleh dieksploitasi oleh penggodam berniat jahat.
Apa yang membezakannya daripada serangan siber sebenar ialah orang yang melakukannya ialah penggodam topi putih—atau beretika—yang anda upah. Mereka mempunyai kemahiran untuk menembusi pertahanan anda tanpa niat jahat rakan-rakan topi hitam mereka.
Terdapat pelbagai contoh pentest bergantung pada jenis serangan yang dilancarkan oleh penggodam beretika, maklumat yang mereka dapat sebelum ini, dan had yang ditetapkan oleh pekerja mereka.
Pentest tunggal boleh menjadi satu, atau gabungan, jenis pentest utama, yang termasuk:
Orang dalam atau pentest dalaman mensimulasikan serangan siber orang dalam, di mana penggodam berniat jahat menyamar sebagai pekerja yang sah dan mendapat akses kepada rangkaian dalaman syarikat.
Ini bergantung pada mencari kelemahan keselamatan dalaman seperti keistimewaan akses dan pemantauan rangkaian, dan bukannya yang luaran seperti firewall, antivirus dan perlindungan titik akhir.
Seperti namanya, pentest jenis ini tidak memberikan penggodam sebarang akses kepada rangkaian dalaman atau pekerja syarikat. Ia memberi mereka pilihan untuk menggodam masuk melalui teknologi luaran syarikat seperti laman web awam dan pelabuhan komunikasi terbuka.
Pentest luar boleh bertindih dengan pentest kejuruteraan sosial, di mana penggodam menipu dan memanipulasi pekerja untuk memberikan mereka akses kepada rangkaian dalaman syarikat, melepasi perlindungan luarannya.
Dengan pentest dipacu data, penggodam disediakan dengan maklumat keselamatan dan data mengenai sasaran mereka. Ini menyerupai serangan bekas pekerja atau seseorang yang memperoleh data keselamatan yang bocor.
Bertentangan dengan ujian dipacu data, ujian buta bermakna penggodam tidak mendapat apa-apa maklumat tentang sasaran mereka selain nama mereka dan perkara yang tersedia secara umum.
Selain menguji langkah keselamatan digital syarikat (perkakasan dan perisian), ujian ini termasuk keselamatan dan kakitangan ITnya juga. Dalam serangan berperingkat ini, tiada sesiapa dalam syarikat itu menyedari pentest, memaksa mereka untuk bertindak balas seolah-olah mereka menghadapi serangan siber berniat jahat.
Ini menyediakan data berharga tentang keselamatan keseluruhan syarikat dan kesediaan kakitangan dan cara kedua-duanya berinteraksi.
Sama seperti serangan berniat jahat, penggodaman beretika memerlukan perancangan yang teliti. Terdapat beberapa langkah yang perlu diikuti oleh penggodam beretika untuk memastikan pentest berjaya yang menghasilkan cerapan berharga. Berikut ialah pandangan tentang metodologi pentest.
Sama ada pentest buta atau terdorong data, penggodam perlu terlebih dahulu mengumpulkan maklumat mengenai sasaran mereka di satu lokasi dan merancang titik serangan di sekelilingnya.
Langkah kedua ialah mengimbas laluan serangan mereka, mencari jurang dan kelemahan untuk dieksploitasi. Penggodam mencari titik akses kemudian menjalankan beberapa ujian berskala kecil untuk melihat bagaimana sistem keselamatan bertindak balas.
Selepas mencari titik masuk yang betul, penggodam akan cuba menembusi keselamatannya dan mengakses rangkaian.
Ini ialah langkah 'penggodaman' sebenar di mana mereka menggunakan setiap cara yang mungkin untuk memintas protokol keselamatan, tembok api dan sistem pemantauan. Mereka boleh menggunakan kaedah seperti suntikan SQL, serangan kejuruteraan sosial atau skrip merentas tapak.
Kebanyakan sistem pertahanan keselamatan siber moden bergantung pada pengesanan sama seperti perlindungan. Agar serangan itu berjaya, penggodam perlu berada di dalam rangkaian tanpa dikesan cukup lama untuk mencapai matlamat mereka, sama ada membocorkan data, merosakkan sistem atau fail atau memasang perisian hasad.
Selepas serangan itu berakhir—berjaya atau tidak—penggodam akan melaporkan kepada majikan mereka dengan penemuan mereka. Pakar keselamatan kemudian menganalisis data serangan, membandingkannya dengan laporan sistem pemantauan mereka dan melaksanakan pengubahsuaian yang betul untuk meningkatkan keselamatan mereka.
Selalunya terdapat langkah keenam di mana syarikat menguji peningkatan yang mereka buat pada sistem keselamatan mereka dengan mengadakan ujian penembusan yang lain. Mereka mungkin mengupah penggodam beretika yang sama jika mereka ingin menguji serangan dipacu data atau serangan lain untuk ujian buta.
Penggodaman beretika bukan profesion kemahiran sahaja. Kebanyakan penggodam beretika menggunakan OS dan perisian khusus untuk menjadikan kerja mereka lebih mudah dan mengelakkan kesilapan manual, memberikan setiap percubaan mereka semua.
Jadi apakah yang digunakan oleh penggodam ujian pen? Berikut adalah beberapa contoh.
Parrot Security ialah OS berasaskan Linux yang direka untuk ujian penembusan dan penilaian kerentanan. Ia mesra awan, mudah digunakan dan menyokong pelbagai perisian pentest sumber terbuka.
Juga OS Linux, Live Hacking adalah pilihan pentester kerana ia ringan dan tidak mempunyai keperluan perkakasan yang tinggi. Ia juga dilengkapi dengan alat dan perisian untuk ujian penembusan dan penggodaman etika.
Nmap ialah alat perisikan sumber terbuka (OSINT) yang memantau rangkaian dan mengumpul serta menganalisis data tentang hos dan pelayan peranti, menjadikannya berharga untuk penggodam hitam, kelabu dan topi putih.
Ia juga merentas platform dan berfungsi dengan Linux, Windows dan macOS, jadi sangat sesuai untuk penggodam beretika pemula.
WebShag juga merupakan alat OSINT. Ia adalah alat pengauditan sistem yang mengimbas protokol HTTPS dan HTTP serta mengumpul data dan maklumat relatif. Ia digunakan oleh penggodam beretika yang melakukan pentest luar melalui tapak web awam.
Pen menguji rangkaian anda sendiri bukanlah pilihan terbaik anda kerana anda mungkin mempunyai pengetahuan yang luas tentangnya, menjadikannya lebih sukar untuk berfikir di luar kotak dan mencari kelemahan tersembunyi. Anda harus sama ada mengupah penggodam etika bebas atau perkhidmatan syarikat yang menawarkan ujian pen.
Namun, mengupah orang luar untuk menggodam rangkaian anda boleh menjadi sangat berisiko, terutamanya jika anda memberikan mereka maklumat keselamatan atau akses orang dalam. Inilah sebabnya mengapa anda harus berpegang kepada penyedia pihak ketiga yang dipercayai. Berikut ialah sampel kecil yang tersedia.
HackerOne ialah syarikat berpangkalan di San Francisco yang menyediakan perkhidmatan ujian penembusan, penilaian kerentanan dan ujian pematuhan protokol.
Terletak di Texas, ScienceSoft menawarkan penilaian kerentanan, ujian pen, ujian pematuhan dan perkhidmatan pengauditan infrastruktur.
Berpusat di Atlanta, Georgia, Raxis menawarkan perkhidmatan berharga daripada ujian pen dan semakan kod keselamatan kepada latihan tindak balas insiden, penilaian kelemahan dan latihan pencegahan kejuruteraan sosial.
Walaupun ia masih agak baharu, ujian pen menawarkan cerapan unik tentang cara kerja otak penggodam apabila mereka menyerang. Ia adalah maklumat berharga yang walaupun profesional keselamatan siber yang paling mahir tidak dapat memberikan kerja di permukaan.
Ujian pen boleh menjadi satu-satunya cara untuk mengelak daripada disasarkan oleh penggodam topi hitam dan mengalami akibatnya.
Kredit Gambar: Unsplash.
Shelter ialah apl berguna yang membolehkan anda membuat kotak pasir pada peranti Android anda. Ini bermakna anda boleh menjalankan salinan apl yang diklon, menyimpan dokumen dan menyelenggara akaun secara berasingan daripada ruang kerja utama anda. Ia seperti mempunyai telefon tambahan di dalam peranti anda!
Kemajuan dalam Teknologi Maklumat (IT) telah mewujudkan tempat kerja yang lebih produktif. Dan dengan jenis pengkomputeran awan, akses kepada alatan kerja digital tidak pernah semudah ini.
Rangkaian Peribadi Maya (VPN) ialah alat penting untuk menyemak imbas internet dengan selamat. Tetapi dengan semua pilihan yang tersedia di pasaran, terlalu mudah untuk mengalami keletihan membuat keputusan dan akhirnya tidak dilindungi tanpa VPN langsung.
Pemalsuan Permintaan Silang Tapak (CSRF) ialah salah satu cara tertua untuk mengeksploitasi kelemahan tapak web. Ia menyasarkan suis web sebelah pelayan yang biasanya memerlukan pengesahan seperti log masuk. Semasa serangan CSRF, penyerang bertujuan untuk memaksa mangsanya membuat permintaan web yang tidak dibenarkan dan berniat jahat bagi pihak mereka.
GoFundMe ialah salah satu platform dalam talian teratas yang digunakan orang untuk meminta derma orang lain untuk membantu diri mereka sendiri atau orang tersayang. Tapak ini mempunyai pasukan khusus untuk memastikan wang yang dikumpul disalurkan kepada penerima yang dimaksudkan. Jika sesuatu gagal dalam hal itu, pasukan GoFundMe mengeluarkan bayaran balik.
Kod bar ialah salah satu cara terbaik untuk berkongsi data pada permukaan fizikal. Apa yang perlu dilakukan oleh orang yang berminat ialah mengimbas kod terus pada telefon pintar mereka untuk mengakses tapak web atau aplikasi.
Memandangkan kami perlu melindungi akaun dalam talian kami, pengurus kata laluan membantu memudahkan tugasan. Pengurus kata laluan bukan sahaja terhad kepada mengurus bukti kelayakan, tetapi anda juga mendapat pelbagai ciri dengannya.
Insiden penggodaman sentiasa mendominasi berita, dan memang wajar. Ini adalah bukti bahawa tiada siapa yang selamat, terutamanya apabila mangsa adalah sebuah syarikat besar dengan sistem keselamatan siber yang canggih. Satu penggodaman yang mempunyai kesan besar pada landskap keselamatan siber ialah penggodaman SolarWinds.
Fikirkan berapa banyak tapak web yang anda lawati pada hari tertentu. Sekarang fikirkan berapa banyak URL yang anda taip ke dalam penyemak imbas sendiri. Kemungkinannya, anda melawati lebih banyak tapak web daripada yang anda cari secara manual. Kebanyakan kita melakukannya melalui pautan.
Jika anda pernah mencucuk hidung anda ke dalam dunia keselamatan siber, anda akan tahu bahawa penggodam cenderung untuk mencari kelemahan yang melumpuhkan dalam teknologi yang mantap, membuka eksploitasi untuk ratusan ribu peranti di seluruh dunia. Begitulah kes eksploitasi BrakTooth, yang bertujuan untuk menimbulkan masalah untuk peranti Bluetooth di seluruh dunia.
Ia telah menjadi beberapa hari yang liar dalam dunia jailbreaking PlayStation 5 yang baru muncul, dengan dua kumpulan penggodaman yang berasingan membuat penemuan besar yang boleh menyaksikan jailbreaking PS5 tiba lebih awal daripada yang difikirkan sebelum ini.
Dengan perkhidmatan DNS yang selamat, anda boleh meningkatkan privasi dalam talian anda dengan mudah. Walau bagaimanapun, sesetengah perkhidmatan DNS memberikan anda fungsi tambahan bersama-sama dengan kawalan untuk menyesuaikan pengalaman dalam talian anda.
Anda mungkin pernah melihat kereta Google dengan kamera yang dipasang, merakam rakaman untuk mod Street View. Sungguh mengagumkan bahawa kita boleh menggunakan komputer atau telefon untuk melihat tempat yang tidak pernah kita lawati.
Pada Ogos 2021, penggabungan telah diumumkan antara NortonLifeLock dan Avast.
Semua orang nampaknya mahukan data peribadi anda. Sentiasa dengan niat untuk menjual sesuatu kepada anda, syarikat berebut untuk meminta anda menyemak produk mereka. Tetapi dengan internet yang dipenuhi dengan aliran pilihan yang tidak berkesudahan, memberikan pengalaman satu-dengan-satu pelanggan adalah satu-satunya cara untuk membezakan mereka.
Aplikasi perkongsian video TikTok adalah satu fenomena. Sejak penubuhannya pada 2017, rangkaian sosial itu mempunyai hampir 90 juta pengguna aktif di AS, dan aplikasi itu telah dimuat turun dianggarkan dua bilion kali.
Adakah anda terdedah kepada gemuk jari semasa menaip? Walaupun menaip e dan bukannya a atau melupakan tanda sempang apabila menaip alamat tapak web kegemaran anda nampaknya tidak berbahaya, ia mungkin menjadikan anda mangsa amalan jahat yang dikenali sebagai typosquatting.
Menyimpan maklumat dalam talian telah menjadi kebiasaan. Lebih banyak organisasi sedang menunda bahagian ini untuk kekal relevan dalam era kesalinghubungan ini.
Dalam usaha untuk mencegah penularan COVID-19, industri restoran meninggalkan kad menu lama dan beralih kepada menu digital atau kod Respons Pantas (QR) yang boleh diimbas.
Serangan perisian hasad semakin meningkat dan semakin maju sejak akhir-akhir ini. Organisasi dibebani dengan cabaran untuk sentiasa melindungi rangkaian IT mereka daripada ancaman siber.
Kemajuan dalam Teknologi Maklumat (IT) telah mewujudkan tempat kerja yang lebih produktif. Dan dengan jenis pengkomputeran awan, akses kepada alatan kerja digital tidak pernah semudah ini.
Rangkaian Peribadi Maya (VPN) ialah alat penting untuk menyemak imbas internet dengan selamat. Tetapi dengan semua pilihan yang tersedia di pasaran, terlalu mudah untuk mengalami keletihan membuat keputusan dan akhirnya tidak dilindungi tanpa VPN langsung.
Pemalsuan Permintaan Silang Tapak (CSRF) ialah salah satu cara tertua untuk mengeksploitasi kelemahan tapak web. Ia menyasarkan suis web sebelah pelayan yang biasanya memerlukan pengesahan seperti log masuk. Semasa serangan CSRF, penyerang bertujuan untuk memaksa mangsanya membuat permintaan web yang tidak dibenarkan dan berniat jahat bagi pihak mereka.
GoFundMe ialah salah satu platform dalam talian teratas yang digunakan orang untuk meminta derma orang lain untuk membantu diri mereka sendiri atau orang tersayang. Tapak ini mempunyai pasukan khusus untuk memastikan wang yang dikumpul disalurkan kepada penerima yang dimaksudkan. Jika sesuatu gagal dalam hal itu, pasukan GoFundMe mengeluarkan bayaran balik.
Kod bar ialah salah satu cara terbaik untuk berkongsi data pada permukaan fizikal. Apa yang perlu dilakukan oleh orang yang berminat ialah mengimbas kod terus pada telefon pintar mereka untuk mengakses tapak web atau aplikasi.
Memandangkan kami perlu melindungi akaun dalam talian kami, pengurus kata laluan membantu memudahkan tugasan. Pengurus kata laluan bukan sahaja terhad kepada mengurus bukti kelayakan, tetapi anda juga mendapat pelbagai ciri dengannya.
Insiden penggodaman sentiasa mendominasi berita, dan memang wajar. Ini adalah bukti bahawa tiada siapa yang selamat, terutamanya apabila mangsa adalah sebuah syarikat besar dengan sistem keselamatan siber yang canggih. Satu penggodaman yang mempunyai kesan besar pada landskap keselamatan siber ialah penggodaman SolarWinds.
Jika anda pernah mencucuk hidung anda ke dalam dunia keselamatan siber, anda akan tahu bahawa penggodam cenderung untuk mencari kelemahan yang melumpuhkan dalam teknologi yang mantap, membuka eksploitasi untuk ratusan ribu peranti di seluruh dunia. Begitulah kes eksploitasi BrakTooth, yang bertujuan untuk menimbulkan masalah untuk peranti Bluetooth di seluruh dunia.
Dengan perkhidmatan DNS yang selamat, anda boleh meningkatkan privasi dalam talian anda dengan mudah. Walau bagaimanapun, sesetengah perkhidmatan DNS memberikan anda fungsi tambahan bersama-sama dengan kawalan untuk menyesuaikan pengalaman dalam talian anda.
Anda mungkin pernah melihat kereta Google dengan kamera yang dipasang, merakam rakaman untuk mod Street View. Sungguh mengagumkan bahawa kita boleh menggunakan komputer atau telefon untuk melihat tempat yang tidak pernah kita lawati.
