Preizkušanje penetracije je ključni način za zaščito vaših podatkov, vendar mnogi od nas o tem naredimo kar nekaj napačnih predpostavk.
Ranljivosti v vaših računalniških sistemih niso nujno problematične, dokler jih vsiljivci ne odkrijejo in izkoristijo. Če gojite kulturo prepoznavanja vrzeli pred akterji groženj, jih lahko odpravite, tako da ne predstavljajo večje škode. To je priložnost, ki vam jo ponuja penetracijsko testiranje.
Vendar obstaja več kot nekaj mitov, ki obkrožajo penetracijsko testiranje, ki vas lahko ovirajo pri sprejemanju ukrepov za izboljšanje vaše varnosti.
1. Preizkušanje prodora je samo za organizacije
Obstaja mnenje, da je penetracijsko testiranje dejavnost za organizacije, ne za posameznike. Za razjasnitev tega je ključnega pomena razumevanje cilja pentesta. Končna igra testa je zavarovati podatke. Organizacije niso edine z občutljivimi podatki. Vsakdanji ljudje imajo tudi občutljive podatke, kot so bančni podatki, podatki o kreditnih karticah, zdravstveni kartoni itd.
Če kot oseba ne prepoznate ranljivosti v svojem sistemu ali računu, jih bodo akterji groženj izkoristili za dostop do vaših podatkov in jih uporabili proti vam. Lahko bi ga uporabili kot vabo za napade z izsiljevalsko programsko opremo, kjer zahtevajo, da plačate pavšalni znesek, preden obnovite dostop do vas.
2. Testiranje prodora je izključno proaktiven ukrep
Zamisel o odkrivanju groženj v sistemu pred vsiljivci kaže, da je testiranje prodora proaktivni varnostni ukrep, vendar ni vedno tako. Včasih je lahko reaktiven, zlasti ko preiskujete kibernetski napad.
Po napadu lahko izvedete pentest, da pridobite vpogled v naravo napada in se ga ustrezno lotite. Če odkrijete, kako se je incident zgodil, uporabljene tehnike in ciljne podatke, lahko preprečite, da bi se ponovil tako, da zapolnite vrzeli.
3. Testiranje prodora je drugo ime za skeniranje ranljivosti
Ker gre pri testiranju prodora in pregledovanju ranljivosti za prepoznavanje vektorjev groženj, ju ljudje pogosto uporabljajo zamenljivo, saj mislijo, da sta enaka.
Iskanje ranljivosti je avtomatiziran postopek prepoznavanje ugotovljenih ranljivosti v sistemu. Navedete možne pomanjkljivosti in pregledate svoj sistem, da ugotovite njihovo prisotnost in vpliv na vaš sistem. Po drugi strani gre pri testiranju penetracije za razmeščanje vaših napadalnih mrež po celotnem sistemu na enak način, kot bi to naredil kibernetski kriminalec, v upanju, da bo prepoznal šibke povezave. Za razliko od skeniranja ranljivosti nimate vnaprej določenega seznama groženj, na katere bi morali biti pozorni, ampak poskusite vse mogoče.
4. Testiranje prodora je lahko popolnoma avtomatizirano
Avtomatizirano testiranje penetracije je v teoriji videti dobro, v resnici pa je pretirano. Ko avtomatizirate pentest, izvajate skeniranje ranljivosti. Sistem morda nima zmogljivosti za reševanje težav.
Testiranje prodora zahteva človeški vnos. Razmisliti morate o možnih načinih za prepoznavanje groženj, tudi ko je videti, kot da na površini ne obstaja. Svoje znanje o etičnem hekanju morate preizkusiti z uporabo vseh razpoložljivih tehnik za vdor v najbolj varna področja vašega omrežja, tako kot bi to storil heker. In ko prepoznate ranljivosti, iščete načine, kako jih odpraviti, tako da ne obstajajo več.
5. Testiranje prodora je predrago
Izvajanje penetracijskega testiranja zahteva tako človeške kot tehnične vire. Kdor koli opravlja test, mora biti zelo spreten, in te veščine niso poceni. Imeti morajo tudi potrebna orodja. Čeprav ti viri morda niso lahko dostopni, so vredni vrednosti, ki jo ponujajo pri preprečevanju groženj.
Stroški vlaganja v penetracijsko testiranje so nič v primerjavi s finančno škodo kibernetskih napadov. Nekateri nabori podatkov so neprecenljivi. Ko jih akterji groženj razkrijejo, posledice presegajo finančne mere. Lahko nepopravljivo uničijo vaš ugled.
Če želijo hekerji med napadom od vas izsiliti denar, zahtevajo velike vsote, ki so običajno višje od vašega pentest proračuna.
6. Testiranje prodora lahko izvajajo samo zunanji uporabniki
Obstaja dolgoletni mit, da je penetracijsko testiranje najučinkovitejše, če ga izvajajo zunanje stranke kot notranje. To je zato, ker bo zunanje osebje bolj objektivno, ker ni povezano s sistemom.
Medtem ko je objektivnost ključnega pomena za veljavnost testa, povezava s sistemom še ne pomeni, da je neobjektiven. Preizkus penetracije je sestavljen iz standardnih postopkov in meritev učinkovitosti. Če tester upošteva smernice, so rezultati veljavni.
Še več, poznavanje sistema je lahko prednost, saj ste seznanjeni s plemenskim znanjem, ki vam bo pomagalo bolje krmariti po sistemu. Poudarek ne bi smel biti na pridobivanju zunanjega ali notranjega preizkuševalca, ampak na tistega, ki ima veščine za dobro opravljanje dela.
7. Preizkus penetracije je treba opraviti občasno
Nekateri ljudje bi raje občasno opravili penetracijski test, ker verjamejo, da je učinek njihovega testa dolgoročen. Glede na nestanovitnost kibernetskega prostora je to kontraproduktivno.
Kibernetski kriminalci delajo 24 ur na dan in iščejo ranljivosti v sistemih za raziskovanje. Dolgi presledki med pentestom jim dajejo dovolj časa za raziskovanje novih vrzeli, ki jih morda ne poznate.
Ni vam treba izvajati penetracijskega testa vsak drugi dan. Pravo ravnotežje bi bilo, da bi to počeli redno, v nekaj mesecih. To je primerno, zlasti če imate na terenu druge varnostne obrambe, ki vas obveščajo o vektorjih groženj, tudi če jih aktivno ne iščete.
8. Pri penetracijskem testiranju gre le za iskanje tehničnih ranljivosti
Obstaja napačno prepričanje, da se penetracijsko testiranje osredotoča na tehnične ranljivosti v sistemih. To je razumljivo, saj so končne točke, prek katerih vsiljivci dobijo dostop do sistemov, tehnične, vendar so v njih tudi nekateri netehnični elementi.
Vzemimo na primer socialni inženiring. Kibernetski kriminalec bi lahko uporabljajo tehnike socialnega inženiringa da bi vas zvabili v razkritje vaših poverilnic za prijavo in drugih občutljivih informacij o vašem računu ali sistemu. S temeljitim pentestom bomo raziskali tudi netehnična področja, da bi ugotovili vašo verjetnost, da postanete njihova žrtev.
9. Vsi penetracijski testi so enaki
Obstaja težnja, da ljudje sklepajo, da so vsi penetracijski testi enaki, zlasti če upoštevajo stroške. Morda bi se nekdo odločil za cenejšega ponudnika testiranja samo zato, da bi prihranil stroške, saj verjame, da je njegova storitev enako dobra kot dražja, vendar to ni res.
Kot pri večini storitev ima testiranje penetracije različne stopnje. Izvedete lahko obsežen test, ki zajema vsa področja vašega omrežja, in neobširnega, ki zajame nekaj področij vašega omrežja. Najbolje je, da se osredotočite na vrednost, ki jo dobite s testom, in ne na stroške.
10. Čist test pomeni, da je vse v redu
Če imate čist rezultat testa, je dober znak, vendar zaradi tega ne bi smeli biti zadovoljni s svojo kibernetsko varnostjo. Dokler vaš sistem deluje, je ranljiv za nove grožnje. Čisti rezultat bi vas moral motivirati, da podvojite svojo varnost. Redno izvajajte preizkus prodora, da razrešite nastajajoče grožnje in vzdržujete sistem brez groženj.
Pridobite popolno vidljivost omrežja s testiranjem prodora
Testiranje prodora vam omogoča edinstven vpogled v vaše omrežje. Kot lastnik ali skrbnik omrežja na svoje omrežje gledate drugače kot vsiljivec, zaradi česar zamudite nekatere informacije, s katerimi so morda seznanjeni. Toda s preizkusom si lahko svoje omrežje ogledate s hekersko lečo, kar vam daje popolno vidljivost vseh vidikov, vključno z vektorji groženj, ki bi bili običajno v vaši slepi koti.
