Konfigurując nowy system bezpieczeństwa, musisz upewnić się, że działa on poprawnie z jak najmniejszą liczbą luk. Tam, gdzie zaangażowane są zasoby cyfrowe warte tysiące dolarów, nie możesz pozwolić sobie na wyciąganie wniosków na własnych błędach i wypełnianie tylko luk w zabezpieczeniach, które wcześniej wykorzystywali hakerzy.
Najlepszym sposobem na poprawę i zagwarantowanie bezpieczeństwa sieci jest jej ciągłe testowanie w poszukiwaniu usterek do naprawienia.
Co to są testy penetracyjne?
Czym więc jest test pióra?
Testy penetracyjne, zwane również testami penetracyjnymi, to etapowy atak cyberbezpieczeństwa, który naśladuje rzeczywisty incydent bezpieczeństwa. Symulowany atak może atakować jedną lub wiele części systemu bezpieczeństwa, szukając słabych punktów, które mógłby wykorzystać złośliwy haker.
To, co odróżnia go od rzeczywistego cyberataku, polega na tym, że osoba, która to robi, jest wynajętym przez ciebie hakerem z białym kapeluszem lub etycznym. Mają umiejętności, aby przebić się przez twoją obronę bez złośliwych intencji ich odpowiedników w czarnych kapeluszach.
Rodzaje Pentestów
Istnieją różne przykłady pentestów w zależności od rodzaju ataku, jaki przeprowadza etyczny haker, informacji, które uzyskają wcześniej, oraz ograniczeń nałożonych przez ich pracownika.
Pojedynczy test może być jednym lub kombinacją podstawowych typów testu, które obejmują:
Wtajemniczony Pentest
Test wewnętrzny lub wewnętrzny test penetracyjny symuluje wewnętrzny cyberatak, w którym złośliwy haker udaje legalnego pracownika i uzyskuje dostęp do wewnętrznej sieci firmy.
Polega to na znajdowaniu wewnętrznych luk w zabezpieczeniach, takich jak uprawnienia dostępu i monitorowanie sieci, a nie zewnętrznych, takich jak zapora, oprogramowanie antywirusowe i ochrona punktów końcowych.
Obcy Pentest
Jak sama nazwa wskazuje, ten rodzaj testu pentest nie daje hakerowi żadnego dostępu do wewnętrznej sieci firmy ani do pracowników. Daje im możliwość włamania się przez zewnętrzne technologie firmy, takie jak publiczne strony internetowe i otwarte porty komunikacyjne.
Pentesty outsiderów mogą pokrywać się z testami socjotechnicznymi, w których haker oszukuje i manipuluje pracownikiem, aby przyznał mu dostęp do wewnętrznej sieci firmy, poza jej zewnętrzną ochroną.
Pentest oparty na danych
Dzięki testowi opartemu na danych haker otrzymuje informacje dotyczące bezpieczeństwa i dane dotyczące celu. Symuluje to atak byłego pracownika lub kogoś, kto uzyskał wyciek danych bezpieczeństwa.
Ślepy Pentest
W przeciwieństwie do testu opartego na danych, ślepy test oznacza, że haker nie otrzymuje żadnych informacji o swoim celu poza jego nazwą i tym, co jest publicznie dostępne.
Pentest z podwójnie ślepą próbą
Oprócz testowania cyfrowych zabezpieczeń firmy (sprzętu i oprogramowania), test ten obejmuje również pracowników ds. bezpieczeństwa i IT. W tym etapowym ataku nikt w firmie nie zdaje sobie sprawy z próby, co zmusza ich do reagowania tak, jakby mieli do czynienia ze złośliwym cyberatakiem.
Zapewnia to cenne dane na temat ogólnego bezpieczeństwa firmy, gotowości personelu i interakcji między nimi.
Jak działa test penetracyjny
Podobnie jak w przypadku złośliwych ataków, etyczne hakowanie wymaga starannego planowania. Istnieje wiele kroków, które etyczny haker musi wykonać, aby zapewnić udany test, który dostarczy cennych informacji. Oto wgląd w metodologię pentestów.
Niezależnie od tego, czy jest to test w ciemno, czy na podstawie danych, haker musi najpierw zebrać informacje o swoim celu w jednym miejscu i zaplanować wokół niego punkt ataku.
2. Ocena podatności
Drugim krokiem jest przeskanowanie ich drogi ataku w poszukiwaniu luk i luk, które można wykorzystać. Haker szuka punktów dostępu, a następnie przeprowadza wiele testów na małą skalę, aby zobaczyć, jak reaguje system bezpieczeństwa.
3. Wykorzystywanie luk
Po znalezieniu odpowiednich punktów wejścia haker będzie próbował przeniknąć do jego zabezpieczeń i uzyskać dostęp do sieci.
Jest to właściwy etap „hackowania”, w którym wykorzystują każdy możliwy sposób, aby ominąć protokoły bezpieczeństwa, zapory sieciowe i systemy monitorowania. Mogą używać metod takich jak iniekcje SQL, ataki socjotechniczne lub cross-site scripting.
4. Utrzymywanie tajnego dostępu
Większość nowoczesnych systemów obrony cyberbezpieczeństwa opiera się na wykrywaniu w równym stopniu, co na ochronie. Aby atak się powiódł, haker musi pozostać w sieci wystarczająco długo, aby osiągnąć swój cel, niezależnie od tego, czy jest to wyciek danych, uszkodzenie systemów lub plików, czy instalacja złośliwego oprogramowania.
5. Raportowanie, analiza i naprawa
Po zakończeniu ataku — pomyślnym lub nie — haker zgłosi swojemu pracodawcy swoje ustalenia. Następnie specjaliści ds. bezpieczeństwa analizują dane ataku, porównują je z raportami ich systemów monitorowania i wdrażają odpowiednie modyfikacje w celu poprawy bezpieczeństwa.
6. Opłucz i powtórz
Często istnieje szósty krok, w którym firmy testują ulepszenia, które wprowadziły do swojego systemu bezpieczeństwa, przeprowadzając kolejny test penetracyjny. Mogą zatrudnić tego samego hakera etycznego, jeśli chcą przetestować ataki oparte na danych lub inny na ślepy test.
Etyczne hakowanie nie jest zawodem składającym się wyłącznie z umiejętności. Większość etycznych hakerów używa wyspecjalizowanych systemów operacyjnych i oprogramowania, aby ułatwić sobie pracę i uniknąć ręcznych błędów, dając z siebie wszystko.
Więc czego używają hakerzy testujący pióra? Oto kilka przykładów.
Parrot Security to system operacyjny oparty na Linuksie, który został zaprojektowany do testów penetracyjnych i oceny podatności. Jest przyjazny dla chmury, łatwy w użyciu i obsługuje różne otwarte oprogramowanie typu pentest.
Live Hacking, będący również systemem operacyjnym Linux, jest ulubionym rozwiązaniem dla pentesterów, ponieważ jest lekki i nie ma wysokich wymagań sprzętowych. Jest również wyposażony w narzędzia i oprogramowanie do testów penetracyjnych i etycznego hakowania.
Nmap to narzędzie typu open source do inteligencji (OSINT), które monitoruje sieć oraz zbiera i analizuje dane o hostach i serwerach urządzeń, dzięki czemu jest cenne zarówno dla hakerów z czarnymi, szarymi, jak i białymi kapeluszami.
Jest również wieloplatformowy i działa z systemami Linux, Windows i macOS, więc jest idealny dla początkującego hakera etycznego.
WebShag jest również narzędziem OSINT. Jest to narzędzie do audytu systemu, które skanuje protokoły HTTPS i HTTP oraz zbiera względne dane i informacje. Jest używany przez etycznych hakerów przeprowadzających testy zewnętrzne na publicznych stronach internetowych.
Gdzie się udać na testy penetracyjne
Testowanie pisakiem własnej sieci nie jest najlepszą opcją, ponieważ prawdopodobnie masz na jej temat rozległą wiedzę, co utrudnia myślenie nieszablonowe i znajdowanie ukrytych luk w zabezpieczeniach. Powinieneś zatrudnić niezależnego hakera etycznego lub skorzystać z usług firmy, która oferuje testy piórkowe.
Mimo to zatrudnianie osoby z zewnątrz do włamania się do sieci może być bardzo ryzykowne, zwłaszcza jeśli zapewniasz im informacje zabezpieczające lub dostęp poufny. Dlatego powinieneś trzymać się zaufanych dostawców zewnętrznych. Oto mała próbka dostępnych.
HackerOne to firma z siedzibą w San Francisco, która świadczy usługi w zakresie testów penetracyjnych, oceny podatności i testowania zgodności protokołów.
Zlokalizowana w Teksasie firma ScienceSoft oferuje usługi oceny podatności na zagrożenia, testy penetracyjne, testy zgodności i usługi audytu infrastruktury.
Firma Raxis z siedzibą w Atlancie w stanie Georgia oferuje wartościowe usługi, od testów pisemnych i przeglądu kodu bezpieczeństwa po szkolenia dotyczące reagowania na incydenty, oceny podatności na zagrożenia i szkolenia z zakresu inżynierii społecznej.
Jak najlepiej wykorzystać testy penetracyjne
Choć wciąż jest to stosunkowo nowe, testowanie piórem oferuje unikalny wgląd w działanie mózgu hakera podczas ataku. To cenne informacje, których nawet najbardziej wykwalifikowani specjaliści od cyberbezpieczeństwa nie mogą dostarczyć, pracując na powierzchni.
Testy pisakowe mogą być jedynym sposobem na uniknięcie bycia celem ataków hakerów z czarnymi kapeluszami i poniesienia konsekwencji.
Źródło obrazu: Unsplash.