Kako kibernetski kriminalci vdrejo v sisteme? Kako se lahko zaščitite pred njimi? Etični hekerji vam lahko pokažejo prek pentestov.
Povsem varnega sistema ni. Penetration test, skrajšano pentesting, je specializiran postopek testiranja, ki vključuje skeniranje, ocenjevanje in krepitev vseh gradnikov informacijskega sistema proti morebitnemu kibernetskemu delovanju napadi. Korporacije uporabljajo spletna mesta za nagrado za napake, da odkrijejo varnostne pomanjkljivosti v svojih sistemih. Strokovnjaki za kibernetsko varnost, ki so strokovnjaki za testiranje penetracije, zakonito odkrijejo in razkrijejo organizacijske pomanjkljivosti s sistemi nagrad za napake. Kako torej ta proces deluje?
1. Pasivno zbiranje in sledenje informacij
V prvi fazi preizkusa nagrade za hrošče in prodora mora preizkuševalec zbrati informacije o ciljnem sistemu. Ker obstaja precej napadalnih in testnih metod, mora preizkuševalec penetracije določiti prednost na podlagi zbranih informacij, da določi najprimernejšo testno metodo.
Ta korak vključuje pridobivanje dragocenih podrobnosti o infrastrukturi ciljnega sistema, kot so imena domen, omrežni bloki, usmerjevalniki in naslovi IP v njegovem obsegu. Poleg tega je treba zbrati vse pomembne informacije, ki bi lahko izboljšale uspeh napada, kot so podatki o zaposlenih in telefonske številke.
Podatki, pridobljeni iz odprtih virov v tej fazi, lahko presenetljivo prinesejo kritične podrobnosti. Da bi to dosegel, mora etični heker uporabiti različne vire, s posebnim poudarkom na spletni strani ciljne institucije in platformah družbenih medijev. Z natančnim zbiranjem teh podatkov preizkuševalec postavi temelje za uspešno prizadevanje za nagrado za napake.
Vendar pa večina organizacij preizkuševalcu penetracije med nagrado za hrošče naloži različna pravila. S pravnega vidika je bistveno, da se od teh pravil ne odstopa.
2. Aktivno zbiranje in skeniranje informacij
Preizkuševalec penetracije zazna, katere aktivne in pasivne naprave delujejo v območju IP, običajno s pasivnim zbiranjem med nagrado za napake. S pomočjo informacij, pridobljenih med tem pasivnim zbiranjem, mora pentester določiti pot – določiti mora prednost in natančno določiti, kateri testi so potrebni.
Na tej stopnji je neizogibno, da heker pridobi informacije o operacijskem sistemu (OS), odprtih vratih in storitvah ter informacije o njihovi različici v sistemih v živo.
Poleg tega, če organizacija, ki zahteva nagrado za hrošče, zakonito dovoljuje preizkuševalca penetracije za spremljanje omrežnega prometa, je mogoče zbrati kritične informacije o sistemski infrastrukturi, vsaj kolikor je to mogoče. Vendar večina organizacij ne želi izdati tega dovoljenja. V takšni situaciji preizkuševalec penetracije ne sme preseči pravil.
3. Korak analiziranja in testiranja
Na tej stopnji preizkuševalec penetracije, potem ko ugotovi, kako se bo ciljna aplikacija odzvala na različne vdore poskuša vzpostaviti aktivne povezave s sistemi, za katere zazna, da so živi, in jih poskuša vzpostaviti neposredno poizvedbe. Z drugimi besedami, to je stopnja, kjer etični heker komunicira s ciljnim sistemom z učinkovito uporabo storitev, kot so FTP, Netcat in Telnet.
Čeprav na tej stopnji ne uspe, je glavni namen tukaj preizkusiti podatke, pridobljene pri zbiranju informacij korake in si o tem delajte zapiske.
4. Poskus manipulacije in izkoriščanja
Tester penetracije zbira vse podatke, zbrane v predhodnih procesih, za en cilj: poskuša pridobiti dostop do ciljnega sistema na enak način kot pravi, zlonamerni heker bi. Zato je ta korak tako kritičen. Ker bi morali preizkuševalci penetracije pri načrtovanju nagrade za hrošče razmišljati kot sovražni hekerji.
Na tej stopnji se pentester poskuša infiltrirati v sistem z uporabo operacijskega sistema, ki se izvaja v ciljnem sistemu, odprtih vrat in storitve, ki služijo v teh pristaniščih, ter metode izkoriščanja, ki jih je mogoče uporabiti v luči njih različice. Ker spletni portali in aplikacije sestavljajo toliko kode in toliko knjižnic, obstaja večja površina za napad zlonamernega hekerja. V zvezi s tem bi moral dober preizkuševalec penetracije upoštevati vse možnosti in uporabiti vse možne vektorje napadov, ki so dovoljeni v okviru pravil.
Za uspešno uporabo obstoječih metod izkoriščanja je potrebno resno strokovno znanje in izkušnje fleksibilno, brez poškodb sistema in brez kakršnih koli sledi, med postopkom prevzema sistem. Ta stopnja penetracijskega testa je zato najbolj kritičen korak. Da lahko forenzične računalniške ekipe posredujejo med morebitnim napadom, mora kibernetski napadalec slediti sledi, ki jih pusti za seboj.
5. Privilege Elevation Poskus
Sistem je močan toliko, kolikor je močan njegov najšibkejši člen. Če etični heker uspe dostopati do sistema, se običajno prijavi v sistem kot uporabnik z nizkimi pooblastili. Na tej stopnji bi moral tester penetracije potrebujejo pooblastilo na ravni skrbnika, izkoriščanje ranljivosti v operacijskem sistemu ali okolju.
Nato si morajo prizadevati zasesti druge naprave v omrežnem okolju s temi dodatnimi privilegiji ki so jih pridobili, in končno najvišjo raven uporabniških pravic, kot je skrbnik domene ali zbirka podatkov Administrator.
6. Poročanje in predstavitev
Ko so koraki preizkusa prodora in nagrade za hrošče končani, mora preizkuševalec prodora ali lovec na hrošče predstaviti varnostne ranljivosti, ki jih zaznane v ciljnem sistemu, koraki, ki so sledili, in kako so lahko izkoristili te ranljivosti v organizaciji s podrobnim poročilo. To mora vključevati informacije, kot so posnetki zaslona, vzorčne kode, stopnje napada in kaj lahko povzroči ta ranljivost.
Končno poročilo mora vključevati tudi predlog rešitve, kako odpraviti vsako varnostno vrzel. Občutljivost in neodvisnost penetracijskih testov naj ostaneta skrivnost. Etični heker ne bi smel nikoli deliti zaupnih informacij, pridobljenih na tej stopnji, in nikoli ne bi smel zlorabiti teh informacij z zagotavljanjem napačnih informacij, saj je to na splošno nezakonito.
Zakaj je penetracijski test pomemben?
Končni cilj penetracijskega testiranja je razkriti, kako varna je sistemska infrastruktura z vidika napadalca, in zapreti morebitne ranljivosti. Poleg prepoznavanja šibkih točk v varnostni drži organizacije meri tudi ustreznost njene varnostne politike, testiranje ozaveščenosti osebja o varnostnih vprašanjih in ugotavljanje, v kolikšni meri je podjetje uvedlo kibernetsko varnost načela.
Penetracijski testi postajajo vse pomembnejši. Za analizo varnosti v infrastrukturi korporativnih struktur in osebnih aplikacij je nujno pridobiti podporo certificiranih preizkuševalcev etične penetracije.