Új biztonsági rendszer felállításakor meg kell győződnie arról, hogy a lehető legkevesebb sérülékenység esetén megfelelően működik-e. Ahol dollár ezer dollár értékű digitális eszközökről van szó, nem engedheti meg magának, hogy tanuljon a hibáiból, és csak olyan biztonsági réseket töltsön ki, amelyeket a hackerek korábban kihasználtak.

A hálózat biztonságának javításának és garantálásának legjobb módja az, ha folyamatosan teszteli azt, és keresi a javítandó hibákat.

Mi az a behatolási teszt?

Tehát mi az a toll teszt?

A behatolási teszt, más néven tollvizsgálat, egy fokozatos kiberbiztonsági támadás, amely egy tényleges biztonsági eseményt utánoz. A szimulált támadás megcélozhatja a biztonsági rendszer egy vagy több részét, keresve azokat a gyenge pontokat, amelyeket egy rosszindulatú hacker kihasználhat.

Ami a tényleges kibertámadástól megkülönbözteti, az az, hogy az ember egy fehér kalapos - vagy etikus - hacker, akit alkalmaz. Megvan a képességük arra, hogy fekete kalapos társaik rosszindulatú szándéka nélkül behatoljanak a védelmébe.

A pünkösd típusai

Különböző példák vannak a pentestekre, az etikus hacker által indított támadás típusától, az előzőleg megszerzett információktól és az alkalmazottaik által meghatározott korlátozásoktól függően.

Egyetlen pentest lehet az elsődleges pentestek egyike vagy kombinációja, amelyek magukban foglalják:

Bennfentes Pentest

A bennfentes vagy a belső pentest egy bennfentes internetes támadást szimulál, ahol egy rosszindulatú hacker törvényes alkalmazottként jelentkezik és hozzáférést kap a vállalat belső hálózatához.

Ez a belső biztonsági hibák, például a hozzáférési jogosultságok és a hálózatfigyelés megtalálásán alapul, nem pedig olyan külső hibákon, mint a tűzfal, a víruskereső és a végpontvédelem.

Külső Pentest

Ahogy a neve is sugallja, ez a fajta pentest nem ad hozzáférést a hackernek a vállalat belső hálózatához vagy alkalmazottaihoz. Lehetővé teszi számukra a feltörést a vállalat külső technikáján keresztül, például nyilvános weboldalakon és nyílt kommunikációs portokon keresztül.

A külső pentestek átfedhetnek a social engineering pentestekkel, ahol a hacker trükköket és manipulálja az alkalmazottat, hogy hozzáférést biztosítson számukra a vállalat belső hálózatához, a külsőjén túl védelem.

Adatvezérelt Pentest

Adatvezérelt pentesz esetén a hacker biztonsági információkkal és adatokkal szolgál a céljukról. Ez egy volt alkalmazott vagy olyan személy támadását szimulálja, aki kiszivárgott biztonsági adatokat szerzett.

Vak Pentest

Az adatvezérelt tesztekkel ellentétben a vak teszt azt jelenti, hogy a hacker a nevén kívül és a nyilvánosan elérhető adatokon kívül semmilyen információt nem kap a célpontról.

Kettős-vak Pentest

A vállalat digitális biztonsági intézkedéseinek (hardver és szoftver) tesztelése mellett ez a teszt magában foglalja a biztonsági és informatikai személyzetet is. Ebben a megrendezett támadásban a társaságban senki sem ismeri a bűnös esetet, és arra kényszeríti őket, hogy úgy reagáljanak, mintha rosszindulatú kibertámadással találkoznának.

Ez értékes adatokat szolgáltat a vállalat általános biztonságáról és a személyzet felkészültségéről, valamint a kettő kölcsönhatásáról.

Hogyan működik a behatolási tesztelés

A rosszindulatú támadásokhoz hasonlóan az etikus hackeléshez is gondos tervezés szükséges. Az etikus hackereknek több lépést kell követniük ahhoz, hogy biztosítsák a sikeres pentest, amely értékes betekintést nyújt. Itt van egy betekintés a pentest módszertanába.

1. Információgyűjtés és tervezés

Legyen szó vak vagy adatvezérelt pentestről, a hackernek először információkat kell összegyűjtenie a célpontjáról egy helyen, és meg kell terveznie a támadás pontját körülötte.

2. A sebezhetőség értékelése

A második lépés a támadási útjuk átkutatása, a kihasználandó hiányosságok és sérülékenységek keresése révén. A hacker hozzáférési pontokat keres, majd több kicsi tesztet futtat, hogy lássa, hogyan reagál a biztonsági rendszer.

3. A sebezhetőségek kihasználása

A megfelelő belépési pontok megtalálása után a hacker megpróbálja behatolni a biztonságába és hozzáférni a hálózathoz.

Ez a tényleges „hackelés” lépés, amelyben minden lehetséges módon kihasználják a biztonsági protokollok, tűzfalak és megfigyelő rendszerek megkerülését. Használhatnak olyan módszereket, mint az SQL injekciók, társadalmi mérnöki támadások, vagy helyek közötti parancsfájlok.

Mi a szociális mérnöki munka? Itt van, hogyan lehet feltörni

Ismerje meg, hogyan befolyásolhatja Önt a társadalmi tervezés, és adjon meg néhány gyakori példát, amelyek segítenek azonosítani és biztonságban maradni ezekben a rendszerekben.

4. Titkos hozzáférés fenntartása

A legtöbb modern kiberbiztonsági védelmi rendszer ugyanúgy támaszkodik az észlelésre, mint a védelemre. Annak érdekében, hogy a támadás sikeres legyen, a hackernek sokáig észrevétlenül tartózkodnia kell a hálózatban elégséges a céljuk eléréséhez, legyen szó adatok kiszivárgásáról, rendszerek vagy fájlok sérüléséről vagy telepítésről rosszindulatú.

5. Jelentés készítése, elemzése és javítása

A támadás befejezése után - sikeres vagy nem - a hacker feljelentéseivel jelentkezik munkáltatójánál. A biztonsági szakemberek ezt követően elemzik a támadás adatait, összehasonlítják azokat azzal, amit megfigyelő rendszereik jelentenek, és végrehajtják a megfelelő módosításokat a biztonságuk javítása érdekében.

6. Öblítse le és ismételje meg

Gyakran van egy hatodik lépés, amikor a vállalatok egy újabb behatolási teszt segítségével tesztelik a biztonsági rendszerükön végrehajtott fejlesztéseket. Felvehetik ugyanazt az etikai hackert, ha adatvezérelt támadásokat akarnak kipróbálni, vagy egy másikat vak bűnbánatra.

Az etikus hackelés nem csak készségek. A legtöbb etikus hacker speciális operációs rendszereket és szoftvereket használ, hogy megkönnyítse a munkáját és elkerülje a kézi hibákat, és minden bűnözőt beleadjon.

Tehát mit használnak a tolltesztelő hackerek? Íme néhány példa.

A Parrot Security egy Linux alapú operációs rendszer, amelyet penetrációs tesztelésre és sebezhetőség-felmérésre terveztek. Felhő-barát, könnyen használható és támogatja a különféle nyílt forráskódú pentest szoftvereket.

Szintén Linux operációs rendszer, a Live Hacking a pentester választása, mivel könnyű, és nincsenek magas hardverigényei. Ezenkívül a penetrációs teszteléshez és az etikus hackeléshez szükséges eszközökkel és szoftverekkel van ellátva.

Az Nmap egy nyílt forráskódú intelligencia (OSINT) eszköz amely figyeli a hálózatot, és összegyűjti és elemzi az eszközök hosztjairól és szervereiről szóló adatokat, ezáltal értékes lesz mind a fekete, mind a szürke és a fehér kalapos hackerek számára.

Ez platformokon átívelő és Linux, Windows és MacOS rendszerekkel is működik, így ideális a kezdő etikai hacker számára.

A WebShag szintén OSINT eszköz. Ez egy rendszerellenőrző eszköz, amely beolvassa a HTTPS és a HTTP protokollokat, és összegyűjti a relatív adatokat és információkat. Ezt etikus hackerek használják, amelyek nyilvános weboldalakon keresztül kívülálló penteszteket hajtanak végre.

Hová menjen a behatolási teszteléshez

A saját hálózatának tesztelése a tollal nem a legjobb megoldás, mivel valószínűleg széles körű ismeretekkel rendelkezik, ami megnehezíti a dobozon kívüli gondolkodást és a rejtett sebezhetőségek megtalálását. Vagy bérelnie kell egy független etikai hackert, vagy egy olyan cég szolgáltatásait, amely tolltesztet kínál.

Ennek ellenére kívülálló személyek alkalmazása a hálózat feltörésére nagyon kockázatos lehet, különösen, ha biztonsági információkat vagy bennfentes hozzáférést biztosít nekik. Ezért ragaszkodjon megbízható harmadik fél szolgáltatókhoz. Itt van egy kis minta a rendelkezésre álló lehetőségek közül.

A HackerOne egy San Francisco-i székhelyű vállalat, amely penetrációs tesztelést, sebezhetőség-felmérést és protokoll-megfelelőségi tesztelési szolgáltatásokat nyújt.

A Texasban található ScienceSoft sebezhetőség-felméréseket, tollvizsgálatot, megfelelőségi tesztelést és infrastruktúra-audit szolgáltatásokat kínál.

A georgiai atlantai székhelyű Raxis értékes szolgáltatásokat kínál a toll tesztelésétől és a biztonsági kód felülvizsgálatáig az eseményekre adott válaszképzésre, a sebezhetőség felmérésére és a társadalommérnöki megelőző képzésre.

A lehető legjobban kihasználni a behatolási tesztet

Bár még viszonylag új, a tolltesztek egyedülálló betekintést nyújtanak a hacker agyának működésébe, amikor támadnak. Értékes információ, amelyet a legképzettebb kiberbiztonsági szakemberek sem tudnak a felszínen dolgozni.

A tollvizsgálat lehet az egyetlen módja annak, hogy elkerüljük a fekete kalapos hackerek célzását és a következmények elszenvedését.

Kép jóváírása: Unsplash.

Email
Miért legális az etikus hackelés és miért van rá szükségünk?

Az etikus hackelés a számítógépes bűnözés által jelentett biztonsági kockázatok leküzdésére szolgál. Az etikus hackelés legális? Miért van rá szükségünk?

Kapcsolódó témák
  • Biztonság
  • Online biztonság
A szerzőről
Anina Ot (16 cikk megjelent)

Anina a MakeUseOf szabadúszó technológiai és internetes biztonsági írója. 3 éve kezdett el kiberbiztonságban írni annak reményében, hogy az átlagember számára hozzáférhetőbbé tegye. Szeret új dolgokat megtanulni és egy hatalmas csillagászati ​​majom.

További Anina Ot

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!

Még egy lépés…!

Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.

.