Када постављате нови безбедносни систем, морате да се уверите да исправно ради са што мање рањивости. Тамо где је реч о дигиталној имовини вредној хиљадама долара, не можете себи приуштити да учите на грешкама и само попуњавате празнине у својој сигурности које су хакери раније користили.
Најбољи начин да побољшате и загарантујете сигурност своје мреже је непрекидно тестирање, тражење недостатака које треба отклонити.
Шта је испитивање пенетрације?
Па, шта је тест оловком?
Тестирање пенетрације, такође познато и као тестирање оловке, је инсценирани напад на сајбер сигурност који опонаша стварни сигурносни инцидент. Симулирани напад може циљати један или више делова вашег сигурносног система, тражећи слабе тачке које би злонамерни хакер могао искористити.
Оно што га разликује од стварног кибернетичког напада је то што је особа која га чини хакер са белим шеширом - или етички - који ангажујете. Они имају вештине да продру у вашу одбрану без злонамерне намере њихових колега из црног шешира.
Врсте Духова
Постоје различити примери пентеста, у зависности од врсте напада који етички хакер покреће, информација које претходно добију и ограничења која је поставио њихов запослени.
Појединачни пентест може бити један или комбинација примарних типова пентест-а, који укључују:
Инсидер Пентест
Инсидер или интерни пентест симулира сајбер напад на инсајдера, где се злонамерни хакер представља као легитимни запосленик и добија приступ интерној мрежи компаније.
Ово се ослања на проналажење унутрашњих безбедносних недостатака попут привилегија приступа и надгледања мреже, уместо на спољне попут заштитног зида, антивирусне заштите и заштите крајње тачке.
Оутсидер Пентест
Као што и само име говори, ова врста пентеста не даје хакеру никакав приступ интерној мрежи компаније или запосленима. Оставља им могућност хаковања кроз спољне технологије компаније, попут јавних веб локација и отворених комуникационих портова.
Ванземаљски пентести могу се преклапати са пентестима социјалног инжењеринга, где хакерски трикови и манипулише запосленим тако што ће му омогућити приступ интерној мрежи компаније, ван њене спољне заштиту.
Пентест на основу података
Са пентестом на основу података, хакер добија безбедносне информације и податке о свом циљу. Ово симулира напад бившег запосленог или некога ко је добио процуриле безбедносне податке.
Слепи пентест
Супротно тесту на основу података, слепи тест значи да хакер не добија никакве информације о својој мети, осим њиховог имена и онога што је јавно доступно.
Доубле-Блинд Пентест
Поред тестирања дигиталних мера безбедности компаније (хардвер и софтвер), овај тест укључује и њено безбедносно и ИТ особље. У овом инсценираном нападу нико у компанији није свестан пентета, приморавајући их да реагују као да наилазе на злонамерни сајбер напад.
Ово пружа драгоцене податке о целокупној безбедности компаније и спремности особља и начину на који то двоје међусобно комуницирају.
Како функционише испитивање пенетрације
Слично злонамерним нападима, етичко хаковање захтева пажљиво планирање. Етички хакер мора да следи више корака како би обезбедио успешан пентест који доноси драгоцене увиде. Ево увида у пентест методологију.
1. Прикупљање информација и планирање
Било да се ради о слепом или пентесту на основу података, хакер прво треба да прикупи информације о својој мети на једном месту и око тога испланира тачку напада.
2. Процена рањивости
Други корак је скенирање њихове авеније напада, тражећи празнине и рањивости које треба искористити. Хакер тражи приступне тачке, а затим покреће више тестова малих размера да би видео како безбедносни систем реагује.
3. Искоришћавање рањивости
Након проналаска правих улазних тачака, хакер ће покушати да продре у своју сигурност и приступи мрежи.
Ово је стварни корак „хаковања“ у којем они користе све могуће начине да заобиђу сигурносне протоколе, заштитне зидове и системе за надзор. Могли би да користе методе попут СКЛ ињекција, напади социјалног инжењеринга, или скриптирање на више локација.
Научите како социјални инжењеринг може утицати на вас, плус уобичајене примере који ће вам помоћи да се идентификујете и заштитите од ових шема.
4. Одржавање тајног приступа
Већина савремених одбрамбених система за кибернетску сигурност ослањају се на откривање колико и на заштиту. Да би напад био успешан, хакер мора дуго остати неоткривен у мрежи довољно да постигну свој циљ, било да се ради о цурењу података, кварењу система или датотека или инсталирању злонамерних програма.
5. Извештавање, анализирање и поправљање
Након што се напад закључи - успешан или не - хакер ће се пријавити свом послодавцу са својим налазима. Стручњаци за безбедност затим анализирају податке о нападу, упоређују их са оним што извештавају њихови системи за надзор и спроводе одговарајуће модификације како би побољшали своју безбедност.
6. Исперите и поновите
Често постоји шести корак где компаније тестирају побољшања која су направиле у свом систему безбедности постављањем још једног теста продора. Они могу ангажовати истог етичког хакера ако желе да тестирају нападе вођене подацима или неки други за слепу пентест.
Етичко хаковање није професија само вештина. Већина етичких хакера користи специјализоване оперативне системе и софтвер како би олакшали свој рад и избегли ручне грешке, дајући сваком пентесту све од себе.
Па шта користе хакери за тестирање оловака? Ево неколико примера.
Паррот Сецурити је ОС заснован на Линуку који је дизајниран за тестирање пенетрације и процене рањивости. Прилагођен је облаку, једноставан за употребу и подржава разне пентест софтвере отвореног кода.
Такође је Линук ОС, Ливе Хацкинг је пракса пентестера, јер је лаган и нема високе хардверске захтеве. Такође долази у пакету са алатима и софтвером за тестирање пенетрације и етичко хаковање.
Нмап је алат за интелигенцију отвореног кода (ОСИНТ) која надгледа мрежу и прикупља и анализира податке о хостовима и серверима уређаја, чинећи је вредном и за хакере црних, сивих и белих шешира.
Такође је на више платформи и ради са Линуком, Виндовсом и мацОС-ом, тако да је идеалан за етичке хакере почетнике.
ВебСхаг је такође ОСИНТ алат. То је алатка за ревизију система која скенира ХТТПС и ХТТП протоколе и прикупља релативне податке и информације. Користе га етички хакери који изводе аутсајдерске пентестове путем јавних веб локација.
Где ићи на испитивање пенетрације
Тестирање сопствене мреже оловком није ваша најбоља опција, јер вероватно имате широко знање о њој, што отежава размишљање изван оквира и проналажење скривених рањивости. Требали бисте унајмити независног етичког хакера или услуге компаније која нуди тестирање оловке.
Ипак, ангажовање спољног лица за хаковање ваше мреже може бити веома ризично, посебно ако им пружате безбедносне информације или приступ инсајдеру. Због тога бисте се требали држати поузданих независних добављача. Ево малог узорка доступних.
ХацкерОне је компанија са седиштем у Сан Франциску која пружа услуге тестирања пенетрације, процене рањивости и тестирања усаглашености протокола.
Смештен у Тексасу, СциенцеСофт нуди процену рањивости, тестирање оловке, тестирање усаглашености и услуге ревизије инфраструктуре.
Са седиштем у Атланти, Џорџија, Ракис нуди драгоцене услуге тестирања оловака и прегледа сигурносних кодова на обуку за реаговање на инциденте, процену рањивости и превентивну обуку за социјални инжењеринг.
Искористити максимум из испитивања пенетрације
Иако је још увек релативно ново, тестирање оловке нуди јединствени увид у рад хакерског мозга када напада. Драгоцене су информације које ни најквалификованији стручњаци за кибернетичку сигурност не могу пружити радећи на површини.
Тестирање оловке може бити једини начин да избегнете да вас нападају црни шешири и не претрпите последице.
Имаге Цредит: Унспласх.
Етичко хаковање је начин за борбу против безбедносних ризика које представља кибернетички криминал. Да ли је етичко хаковање легално? Зашто нам је уопште потребан?
- Сигурност
- Безбедност на мрежи
Анина је слободна писац технологије и сигурности на Интернету у МакеУсеОф-у. Почела је да пише у цибер-сигурности пре 3 године у нади да ће је учинити доступнијом просечној особи. Желео да научи нове ствари и огромног астрономског штребера.
Претплатите се на наш билтен
Придружите се нашем билтену за техничке савете, прегледе, бесплатне е-књиге и ексклузивне понуде!
Још један корак…!
Потврдите своју адресу е-поште у е-поруци коју смо вам управо послали.
