Kada postavljate novi sigurnosni sustav, morate biti sigurni da radi ispravno sa što manje ranjivosti. Tamo gdje je riječ o digitalnoj imovini vrijednoj tisućama dolara, ne možete si priuštiti da učite na svojim pogreškama i samo popunjavate praznine u svojoj sigurnosti koju su hakeri prethodno iskorištavali.
Najbolji način za poboljšanje i jamstvo sigurnosti vaše mreže jest kontinuirano testiranje, traženje nedostataka za otklanjanje.
Što je ispitivanje penetracije?
Pa, što je test olovkom?
Testiranje prodiranja, poznato i kao testiranje olovkom, namješteni je napad na cyber sigurnost koji oponaša stvarni sigurnosni incident. Simulirani napad može ciljati jedan ili više dijelova vašeg sigurnosnog sustava, tražeći slabe točke koje bi zlonamjerni haker mogao iskoristiti.
Ono što ga razlikuje od stvarnog kibernetičkog napada jest to što je osoba koja ga čini haker s bijelim šeširom - ili etički - kojeg angažirate. Oni imaju vještine da prodru u vašu obranu bez zlonamjerne namjere njihovih kolega iz crnog šešira.
Vrste Duhova
Postoje razni primjeri pentesta, ovisno o vrsti napada koji etički haker pokreće, informacijama koje prethodno dobiju i ograničenjima koja postavi njihov zaposlenik.
Pojedinačni pentest može biti jedan ili kombinacija primarnih vrsta pentesta, koji uključuju:
Insider Pentest
Insider ili interni pentest simulira internetski napad na interno, gdje se zlonamjerni haker predstavlja legitimnim zaposlenikom i dobiva pristup internoj mreži tvrtke.
To se oslanja na pronalaženje unutarnjih sigurnosnih nedostataka poput privilegija pristupa i nadgledanja mreže, umjesto na vanjske poput vatrozida, antivirusne zaštite i zaštite krajnje točke.
Autsajder Pentest
Kao što i samo ime govori, ova vrsta pentesta ne daje hakeru nikakav pristup internoj mreži tvrtke ili zaposlenicima. Ostavlja im mogućnost hakiranja putem vanjske tehnologije tvrtke poput javnih web stranica i otvorenih komunikacijskih portova.
Pentesti autsajdera mogu se preklapati sa pentestima socijalnog inženjeringa, gdje se hakerski trikovi i manipulira zaposlenikom kako bi mu omogućio pristup internoj mreži tvrtke, izvan njezine vanjske zaštita.
Pentest na temelju podataka
S pentestom na temelju podataka, haker dobiva sigurnosne informacije i podatke o svom cilju. Ovo simulira napad bivšeg zaposlenika ili nekoga tko je dobio procurile sigurnosne podatke.
Slijepi Pentest
Suprotno ispitivanju na temelju podataka, slijepi test znači da haker ne dobiva nikakve informacije o svojoj meti, osim njihovog imena i onoga što je javno dostupno.
Dvostruko slijepi pentest
Uz testiranje digitalnih sigurnosnih mjera tvrtke (hardver i softver), ovaj test uključuje i njezino sigurnosno i informatičko osoblje. U ovom insceniranom napadu nitko u tvrtki nije svjestan pentesta, prisiljavajući ih da reagiraju kao da nailaze na zlonamjerni cyberattack.
To pruža dragocjene podatke o cjelokupnoj sigurnosti tvrtke i spremnosti osoblja te o njihovoj interakciji.
Kako funkcionira ispitivanje penetracije
Slično zlonamjernim napadima, etičko hakiranje treba pažljivo planirati. Etički haker mora slijediti više koraka kako bi osigurao uspješan pentest koji donosi vrijedne uvide. Evo uvida u pentest metodologiju.
1. Prikupljanje informacija i planiranje
Bez obzira radi li se o slijepom ili pentestu na temelju podataka, haker prvo mora prikupiti informacije o svojoj meti na jednom mjestu i oko toga planirati točku napada.
2. Procjena ranjivosti
Drugi je korak skeniranje njihove avenije napada, tražeći praznine i ranjivosti koje bi se moglo iskoristiti. Haker traži pristupne točke, a zatim pokreće više testova malih razmjera kako bi vidio kako reagira sigurnosni sustav.
3. Iskorištavanje ranjivosti
Nakon pronalaska pravih ulaznih točaka, haker će pokušati prodrijeti u svoju sigurnost i pristupiti mreži.
Ovo je stvarni korak "hakiranja" u kojem oni koriste sve moguće načine za zaobilaženje sigurnosnih protokola, vatrozida i sustava nadzora. Mogli bi koristiti metode poput SQL injekcija, napadi socijalnog inženjeringaili skriptiranje na više web lokacija.
Saznajte kako socijalni inženjering može utjecati na vas, plus uobičajene primjere koji će vam pomoći da se identificirate i zaštitite od ovih shema.
4. Održavanje tajnog pristupa
Većina modernih obrambenih sustava za kibernetsku sigurnost oslanjaju se na otkrivanje jednako kao i na zaštitu. Da bi napad bio uspješan, haker mora dugo ostati neotkriven u mreži dovoljno da postignu svoj cilj, bilo da se radi o curenju podataka, oštećivanju sustava ili datoteka ili instaliranju zlonamjerni softver.
5. Izvještavanje, analiziranje i popravljanje
Nakon što napad zaključi - uspješan ili ne - haker će se s njihovim nalazima prijaviti svom poslodavcu. Stručnjaci za sigurnost zatim analiziraju podatke o napadu, uspoređuju ih s onim što izvještavaju njihovi sustavi za nadzor i provode odgovarajuće izmjene kako bi poboljšali svoju sigurnost.
6. Isperite i ponovite
Često postoji šesti korak u kojem tvrtke testiraju poboljšanja koja su napravile u svom sigurnosnom sustavu izvodeći još jedan test penetracije. Oni mogu angažirati istog etičkog hakera ako žele testirati napade na temelju podataka ili neki drugi za slijepu pentest.
Etičko hakiranje nije profesija samo vještina. Većina etičkih hakera koristi specijalizirane OS-e i softver kako bi olakšali svoj rad i izbjegli ručne pogreške, dajući svakom pentestu sve od sebe.
Pa što koriste hakeri za testiranje olovaka? Evo nekoliko primjera.
Parrot Security je OS zasnovan na Linuxu osmišljen za testiranje penetracije i procjene ranjivosti. Prilagođen je oblaku, jednostavan je za upotrebu i podržava razne pentest softvere otvorenog koda.
Također Linux OS, Hakiranje uživo je ideja pentestera jer je lagan i nema visoke hardverske zahtjeve. Također dolazi predpakiran s alatima i softverom za testiranje penetracije i etičko hakiranje.
Nmap je alat za inteligenciju otvorenog koda (OSINT) koja nadzire mrežu i prikuplja i analizira podatke o hostovima i poslužiteljima uređaja, čineći je vrijednom i za hakere crnih, sivih i bijelih šešira.
Također je na više platformi i radi s Linuxom, Windowsom i macOS-om, pa je idealan za početnike koji etički hakuju.
WebShag je također OSINT alat. To je alat za reviziju sustava koji skenira HTTPS i HTTP protokole i prikuplja relativne podatke i informacije. Koriste ga etički hakeri koji izvode autsajderske mobitele putem javnih web stranica.
Kamo ići na ispitivanje penetracije
Testiranje vlastite mreže olovkom nije vaša najbolja opcija jer o njoj vjerojatno imate široko znanje, što otežava razmišljanje izvan okvira i pronalaženje skrivenih ranjivosti. Trebali biste unajmiti neovisnog etičkog hakera ili usluge tvrtke koja nudi testiranje olovke.
Ipak, unajmljivanje autsajdera za hakiranje vaše mreže može biti vrlo rizično, pogotovo ako im pružate sigurnosne podatke ili pristup iznutra. Zbog toga biste se trebali držati pouzdanih dobavljača treće strane. Evo malog uzorka dostupnih.
HackerOne je tvrtka sa sjedištem u San Franciscu koja pruža usluge testiranja penetracije, procjene ranjivosti i testiranja usklađenosti protokola.
Smješten u Teksasu, ScienceSoft nudi procjene ranjivosti, testiranje olovaka, testiranje usklađenosti i usluge revizije infrastrukture.
Sa sjedištem u Atlanti u državi Georgia, Raxis nudi vrijedne usluge testiranja olovaka i pregleda sigurnosnih kodova na obuku za odgovor na incidente, procjene ranjivosti i preventivni trening za socijalni inženjering.
Iskoristiti maksimum iz ispitivanja prodiranja
Iako je još uvijek relativno novo, testiranje olovke nudi jedinstveni uvid u rad hakerskog mozga kada napada. Dragocjena je informacija koju čak i najvještiji profesionalci za kibernetsku sigurnost ne mogu pružiti radeći na površini.
Testiranje olovke može biti jedini način da izbjegnete da vas napadaju crni šeširi i ne pretrpite posljedice.
Kredit za sliku: Rasprši.
Etičko hakiranje način je za borbu protiv sigurnosnih rizika koje predstavlja cyber kriminal. Je li etičko hakiranje legalno? Zašto nam uopće treba?
- Sigurnost
- Sigurnost na mreži
Anina je slobodna autorica tehnologije i internetske sigurnosti na MakeUseOf-u. Počela je pisati u cyber sigurnosti prije 3 godine u nadi da će ga učiniti dostupnijim prosječnoj osobi. Želio naučiti nove stvari i ogroman astronomski štreber.
Pretplatite se na naše obavijesti
Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!
Još jedan korak…!
Potvrdite svoju e-adresu u e-pošti koju smo vam upravo poslali.