Când configurați un nou sistem de securitate, trebuie să vă asigurați că funcționează corect cu cât mai puține vulnerabilități posibil. Acolo unde sunt implicate active digitale în valoare de mii de dolari, nu vă puteți permite să învățați din greșelile dvs. și doar să completați golurile în securitatea dvs. pe care hackerii le-au exploatat anterior.
Cea mai bună modalitate de a îmbunătăți și de a garanta securitatea rețelei dvs. este testarea continuă a acesteia, căutând defecte de remediat.
Ce este testarea de penetrare?
Deci, ce este un test pe stilou?
Testarea de penetrare, cunoscută și sub denumirea de testare a stiloului, este un atac de securitate cibernetică în etape care imită un incident de securitate real. Atacul simulat poate viza una sau mai multe părți ale sistemului dumneavoastră de securitate, căutând punctele slabe pe care le-ar putea exploata un hacker rău intenționat.
Ceea ce îl diferențiază de un atac cibernetic real este că persoana care îl face este un hacker cu pălărie albă – sau etic – pe care îl angajezi. Ei au abilitățile de a vă pătrunde în apărarea fără intenția rău intenționată a omologilor lor cu pălărie neagră.
Tipuri de Pentest
Există diverse exemple de pentesturi în funcție de tipul de atac pe care îl lansează hackerul etic, de informațiile pe care le primește în prealabil și de limitările stabilite de angajatul lor.
Un singur pentest poate fi unul sau o combinație dintre tipurile de pentest primare, care includ:
Insider Pentest
Un pentest intern sau intern simulează un atac cibernetic din interior, în care un hacker rău intenționat se prezintă drept angajat legitim și obține acces la rețeaua internă a companiei.
Acest lucru se bazează pe găsirea defectelor interne de securitate, cum ar fi privilegiile de acces și monitorizarea rețelei, mai degrabă decât pe cele externe, cum ar fi firewall, antivirus și protecția punctelor finale.
Pentestul din exterior
După cum sugerează și numele, acest tip de pentest nu oferă hackerului niciun acces la rețeaua internă sau angajații companiei. Le lasă opțiunea de a accesa prin intermediul tehnologiei externe a companiei, cum ar fi site-urile web publice și porturile de comunicare deschise.
Pentesturile externe se pot suprapune cu cele de inginerie socială, în care hackerul păcălește și manipulează un angajat pentru a le acorda acces la rețeaua internă a companiei, peste protecția sa externă.
Pentest bazat pe date
Cu un pentest bazat pe date, hackerului i se oferă informații de securitate și date despre ținta lor. Aceasta simulează un atac al unui fost angajat sau al unei persoane care a obținut date de securitate scurse.
Pentest orb
Spre deosebire de un test bazat pe date, un test orb înseamnă că hackerul nu primește nicio informație despre ținta lor, în afară de numele și ceea ce este disponibil public.
Pentest dublu-orb
Pe lângă testarea măsurilor de securitate digitală ale companiei (hardware și software), acest test include și personalul său de securitate și IT. În acest atac în etape, nimeni din companie nu știe despre Pentest, forțându-i să reacționeze ca și cum s-ar confrunta cu un atac cibernetic rău intenționat.
Acest lucru oferă date valoroase despre securitatea generală a companiei și despre pregătirea personalului și despre modul în care cei doi interacționează.
Cum funcționează testarea de penetrare
Similar atacurilor rău intenționate, hacking-ul etic necesită o planificare atentă. Există mai mulți pași pe care hackerul etic trebuie să-i urmeze pentru a asigura un pentest de succes care oferă informații valoroase. Iată o perspectivă asupra metodologiei pentest.
Indiferent dacă este vorba de un pentest orb sau bazat pe date, hackerul trebuie mai întâi să adune informații despre ținta lor într-o singură locație și să planifice punctul de atac în jurul acestuia.
2. Evaluarea Vulnerabilității
Al doilea pas este să-și scaneze calea de atac, căutând lacune și vulnerabilități de exploatat. Hackerul caută puncte de acces, apoi execută mai multe teste la scară mică pentru a vedea cum reacționează sistemul de securitate.
3. Exploatarea vulnerabilităților
După ce a găsit punctele de intrare potrivite, hackerul va încerca să pătrundă în securitatea sa și să acceseze rețeaua.
Acesta este pasul real de „hacking” în care ei folosesc toate modalitățile posibile pentru a ocoli protocoalele de securitate, firewall-urile și sistemele de monitorizare. Ar putea folosi metode precum injecții SQL, atacuri de inginerie socială sau scripturi între site-uri.
4. Menținerea accesului ascuns
Majoritatea sistemelor moderne de apărare în domeniul securității cibernetice se bazează atât pe detectare, cât și pe protecție. Pentru ca atacul să aibă succes, hackerul trebuie să rămână în interiorul rețelei nedetectat suficient de mult pentru a-și atinge obiectivul, fie că este vorba de scurgeri de date, coruperea sistemelor sau fișierelor sau instalarea de malware.
5. Raportarea, analizarea și repararea
După ce atacul se încheie – cu succes sau nu – hackerul va raporta angajatorului cu constatările lor. Profesioniștii în securitate analizează apoi datele atacului, le compară cu ceea ce raportează sistemele lor de monitorizare și implementează modificările adecvate pentru a le îmbunătăți securitatea.
6. Clătiți și repetați
Există adesea un al șaselea pas în care companiile testează îmbunătățirile pe care le-au adus sistemului lor de securitate prin realizarea unui alt test de penetrare. Ei pot angaja același hacker etic dacă doresc să testeze atacuri bazate pe date sau altul pentru un pentest orb.
Hackingul etic nu este o profesie numai de aptitudini. Majoritatea hackerilor etici folosesc sisteme de operare și software specializate pentru a-și ușura munca și pentru a evita greșelile manuale, oferind fiecărui pentest totul.
Deci, ce folosesc hackerii care testează stiloul? Iată câteva exemple.
Parrot Security este un sistem de operare bazat pe Linux care a fost conceput pentru testarea de penetrare și evaluarea vulnerabilităților. Este prietenos cu cloud-ul, ușor de utilizat și acceptă diverse software-uri pentest open source.
De asemenea, un sistem de operare Linux, Live Hacking este o alegere pentru un pentester, deoarece este ușor și nu are cerințe hardware ridicate. De asemenea, vine pre-ambalat cu instrumente și software pentru testarea de penetrare și hacking etic.
Nmap este un instrument de inteligență cu sursă deschisă (OSINT) care monitorizează o rețea și colectează și analizează date despre gazdele și serverele dispozitivelor, făcându-l valoros atât pentru hackerii negru, gri și alb.
Este, de asemenea, multi-platformă și funcționează cu Linux, Windows și macOS, deci este ideal pentru hackerul etic începător.
WebShag este, de asemenea, un instrument OSINT. Este un instrument de audit al sistemului care scanează protocoalele HTTPS și HTTP și colectează date și informații relative. Este folosit de hackeri etici care efectuează pentest-uri externe prin site-uri web publice.
Unde să mergi pentru testarea de penetrare
Testarea propriei rețele nu este cea mai bună opțiune, deoarece probabil că aveți cunoștințe extinse despre aceasta, ceea ce face mai dificil să gândiți în afara cutiei și să găsiți vulnerabilități ascunse. Ar trebui să angajați fie un hacker etic independent, fie serviciile unei companii care oferă testare stilou.
Totuși, angajarea unui străin pentru a pirata rețeaua ta poate fi foarte riscantă, mai ales dacă îi oferiți informații de securitate sau acces din interior. Acesta este motivul pentru care ar trebui să rămâneți la furnizori terți de încredere. Iată o mică mostră dintre cele disponibile.
HackerOne este o companie cu sediul în San Francisco, care oferă servicii de testare la penetrare, evaluare a vulnerabilităților și testare a conformității protocolului.
Situat în Texas, ScienceSoft oferă evaluări ale vulnerabilităților, testare stilou, testare de conformitate și servicii de auditare a infrastructurii.
Cu sediul în Atlanta, Georgia, Raxis oferă servicii valoroase, de la testarea stiloului și revizuirea codului de securitate până la formare de răspuns la incidente, evaluări ale vulnerabilităților și instruire preventivă în inginerie socială.
Profitați la maximum de testele de penetrare
Deși este încă relativ nou, testarea pe stilou oferă perspective unice asupra funcționării creierului unui hacker atunci când atacă. Sunt informații valoroase pe care nici măcar cei mai calificați profesioniști în securitate cibernetică nu le pot oferi lucrând la suprafață.
Testarea stiloului poate fi singura modalitate de a evita să fii vizat de hackeri cu pălărie neagră și de a suferi consecințele.
Credit imagine: Unsplash.