A penetrációs tesztelés kulcsfontosságú módja az adatok biztonságának megőrzésének, de sokan közülünk elég sok téves feltételezést fogalmaz meg ezzel kapcsolatban.
A számítógépes rendszerek biztonsági rései nem feltétlenül jelentenek problémát mindaddig, amíg a behatolók fel nem fedezik és ki nem használják őket. Ha olyan kultúrát ápol, amely a kiskapukat a fenyegető szereplők előtt azonosítja, meg tudja oldani azokat, így nem okoznak jelentős kárt. Ezt a lehetőséget kínálja a penetrációs tesztelés.
A penetrációs tesztelést azonban több tévhit övezi, amelyek visszatarthatják Önt a biztonság javítása érdekében tett lépésektől.
1. A penetrációs tesztelés csak szervezetek számára készült
Van egy olyan elképzelés, hogy a penetrációs tesztelés szervezetek, nem pedig egyének tevékenysége. Ennek tisztázásához kulcsfontosságú a pentest céljának megértése. A teszt végjátéka az adatok biztonsága. Nem csak a szervezetek rendelkeznek érzékeny adatokkal. A mindennapi emberek érzékeny adatokkal is rendelkeznek, például banki adatokkal, hitelkártyaadatokkal, egészségügyi dokumentációval stb.
Ha személyként nem azonosít sebezhetőséget rendszerében vagy fiókjában, a fenyegetés szereplői kihasználják őket, hogy hozzáférjenek az Ön adataihoz, és felhasználják azokat Ön ellen. Használhatják csaliként zsarolóvírus-támadásokhoz, ahol egyösszeg kifizetését követelik, mielőtt visszaállítják a hozzáférést.
2. A behatolási tesztelés szigorúan proaktív intézkedés
Az az elképzelés, hogy a rendszerben fenyegetéseket fedeznek fel a behatolók előtt, azt jelzi, hogy a behatolási tesztelés igen proaktív biztonsági intézkedés, de ez nem mindig van így. Néha reaktív lehet, különösen, ha kibertámadást vizsgál.
Egy támadást követően pentestet hajthat végre, hogy betekintést nyerjen a támadás természetébe, és megfelelően kezelje azt. Ha feltárja, hogyan történt az incidens, milyen technikákat alkalmaztak, és milyen adatokat céloztak meg, a hiányosságok bezárásával megakadályozhatja, hogy megismétlődjön.
3. A penetrációs tesztelés a sebezhetőségi vizsgálat másik neve
Mivel a behatolási tesztelés és a sebezhetőségi vizsgálat egyaránt a fenyegetési vektorok azonosításáról szól, az emberek gyakran felcserélhetően használják őket, azt gondolva, hogy ugyanazok.
A sebezhetőség-ellenőrzés egy automatizált folyamat a rendszer megállapított sebezhetőségeinek azonosítása. Felsorolja a lehetséges hibákat, és átvizsgálja a rendszert, hogy meghatározza azok jelenlétét és a rendszerre gyakorolt hatását. A behatolási tesztelés viszont arról szól, hogy a támadóhálókat az egész rendszerre vetítsd, ugyanúgy, ahogyan azt egy kiberbűnözők tennék, abban a reményben, hogy azonosítani tudják a gyenge láncszemeket. A sebezhetőség-ellenőrzéssel ellentétben Önnek nincs előre meghatározott listája a fenyegetésekről, amelyekre figyelnie kell, de mindent meg kell próbálnia.
4. A penetrációs tesztelés teljesen automatizálható
A penetrációs tesztelés automatizálása elméletben jól néz ki, de a valóságban messziről jött. A penteszt automatizálása során sebezhetőségi vizsgálatot végez. Előfordulhat, hogy a rendszer nem képes megoldani a problémákat.
A penetrációs tesztelés emberi közreműködést igényel. Át kell gondolnia a fenyegetések azonosításának lehetséges módjait, még akkor is, ha a felszínen nem létezik. Próba próbára kell tennie az etikus hackeléssel kapcsolatos tudását, minden rendelkezésre álló technikát felhasználva, hogy betörjön hálózata legbiztonságosabb területeire, akárcsak egy hacker. És amikor azonosítja a sebezhetőséget, keresi a módját, hogyan kezelje azokat, így azok többé nem léteznek.
5. A penetrációs tesztelés túl drága
A penetrációs tesztelés elvégzése emberi és technikai erőforrásokat is igényel. Aki elvégzi a tesztet, annak nagyon képzettnek kell lennie, és az ilyen képességek nem olcsók. A szükséges eszközökkel is rendelkezniük kell. Bár ezek az erőforrások nem könnyen hozzáférhetők, megérik azt az értéket, amelyet a fenyegetések megelőzésében kínálnak.
A penetrációs tesztelésbe való befektetés költsége semmi a kibertámadások anyagi káraihoz képest. Egyes adatkészletek megfizethetetlenek. Amikor a fenyegetés szereplői leleplezik őket, a következmények pénzügyi mérhetetlenek. A megváltáson túl tönkretehetik a hírnevét.
Ha a hackerek pénzt akarnak kicsikarni Öntől egy támadás során, akkor nagy összegeket követelnek, amelyek általában magasabbak, mint a pentest költségvetése.
6. Behatolási tesztet csak kívülállók végezhetnek
Régóta fennáll az a mítosz, hogy a penetrációs tesztelés akkor a leghatékonyabb, ha külső felek végzik, mint a belső felek. Ennek az az oka, hogy a külső személyzet objektívebb lesz, mivel nincs kapcsolatban a rendszerrel.
Míg az objektivitás kulcsfontosságú a teszt érvényességében, a rendszerhez való kötődés még nem teszi objektívvé az embert. A behatolási teszt szabványos eljárásokból és teljesítménymutatókból áll. Ha a tesztelő betartja az irányelveket, az eredmények érvényesek.
Sőt, a rendszer ismerete előnyt jelenthet, mivel birtokában van a törzsi ismereteknek, amelyek segítenek jobban eligazodni a rendszerben. Nem a külső vagy belső tesztelő beszerzésén kell a hangsúlyt helyezni, hanem azon, aki rendelkezik a jó munka elvégzéséhez szükséges képességekkel.
7. A penetrációs tesztet időnként el kell végezni
Vannak, akik időnként szívesebben végeznének penetrációs tesztet, mert úgy gondolják, hogy a teszt hatása hosszú távú. Ez kontraproduktív, figyelembe véve a kibertér volatilitását.
A kiberbűnözők éjjel-nappal dolgoznak a rendszerekben feltárható sebezhetőségek után kutatva. Ha hosszú időközök vannak a pentestek között, elegendő idejük van új kiskapuk felfedezésére, amelyeket esetleg nem ismer.
Nem kell minden második napon penetrációs tesztet végeznie. A megfelelő egyensúly az lenne, ha rendszeresen, hónapokon belül megtenné. Ez megfelelő, különösen akkor, ha más biztonsági védelmi eszközökkel is rendelkezik a helyszínen, hogy értesítse Önt a fenyegetési vektorokról, még akkor is, ha nem keresi őket aktívan.
8. A penetrációs tesztelés lényege a technikai sebezhetőségek feltárása
Van egy tévhit, hogy a penetrációs tesztelés a rendszerek technikai sebezhetőségeire összpontosít. Ez érthető, mert azok a végpontok, amelyeken keresztül a behatolók hozzáférnek a rendszerekhez, technikai jellegűek, de vannak nem műszaki elemek is.
Vegyük például a social engineering-et. Egy kiberbûnözõ megtehetné szociális mérnöki technikák alkalmazása hogy rávegye Önt a bejelentkezési adatainak és a fiókjával vagy rendszerével kapcsolatos egyéb kényes információk felfedésére. Egy alapos penteszt feltárja a nem műszaki területeket is, hogy meghatározza annak valószínűségét, hogy áldozatául esik.
9. Minden penetrációs teszt ugyanaz
Hajlamosak az emberek arra a következtetésre jutni, hogy minden penetrációs teszt azonos, különösen, ha figyelembe veszik a költségeket. Az ember dönthet úgy, hogy költségtakarékossági okokból egy olcsóbb tesztelési szolgáltatót választ, és azt hiszi, hogy a szolgáltatása ugyanolyan jó, mint egy drágább, de ez nem igaz.
A legtöbb szolgáltatáshoz hasonlóan a penetrációs tesztelésnek is különböző fokozatai vannak. Lehetősége van egy kiterjedt tesztre, amely a hálózat minden területére kiterjed, és egy nem kiterjedt tesztet, amely a hálózat néhány területét rögzíti. A legjobb, ha a tesztből származó értékre összpontosít, és nem a költségekre.
10. A tiszta teszt azt jelenti, hogy minden rendben van
Jó jel, ha a teszt eredménye tiszta, de ez nem teheti önelégültté a kiberbiztonságot illetően. Amíg a rendszere működőképes, ki van téve az új fenyegetéseknek. Ha valami, a tiszta eredménynek arra kell ösztönöznie, hogy megduplázza biztonságát. Rendszeresen végezzen behatolási tesztet a felmerülő fenyegetések megoldása és a fenyegetésmentes rendszer fenntartása érdekében.
Szerezzen teljes hálózati láthatóságot a penetrációs teszteléssel
A penetrációs tesztelés egyedülálló betekintést nyújt a hálózatába. Hálózattulajdonosként vagy rendszergazdaként másképp látja a hálózatot, mint ahogyan egy behatoló látja azt, így lemarad bizonyos információkról, amelyekről esetleg tudomást szerezhet. A teszttel azonban megtekintheti hálózatát egy hacker szemüvegéből, így teljes áttekintést kaphat az összes szempontról, beleértve a fenyegetési vektorokat is, amelyek általában a holttérben vannak.
