Κατά τη δημιουργία ενός νέου συστήματος ασφαλείας, πρέπει να βεβαιωθείτε ότι λειτουργεί σωστά με όσο το δυνατόν λιγότερες ευπάθειες. Όπου εμπλέκονται ψηφιακά στοιχεία αξίας χιλιάδων δολαρίων, δεν μπορείτε να μάθετε από τα λάθη σας και να συμπληρώσετε μόνο κενά στην ασφάλειά σας που είχαν εκμεταλλευτεί προηγουμένως οι χάκερ.

Ο καλύτερος τρόπος για να βελτιώσετε και να εγγυηθείτε την ασφάλεια του δικτύου σας είναι να το δοκιμάζετε συνεχώς, αναζητώντας ελαττώματα που πρέπει να διορθωθούν.

Τι είναι η δοκιμή διείσδυσης;

Τι είναι λοιπόν ένα τεστ πένας;

Η δοκιμή διείσδυσης, γνωστή και ως δοκιμή πένας, είναι μια σταδιακή επίθεση στον κυβερνοχώρο που μιμείται ένα πραγματικό συμβάν ασφαλείας. Η προσομοιωμένη επίθεση μπορεί να στοχεύσει ένα ή περισσότερα μέρη του συστήματος ασφαλείας σας, αναζητώντας αδύνατα σημεία που ένας κακόβουλος χάκερ θα μπορούσε να εκμεταλλευτεί.

Αυτό που το ξεχωρίζει από μια πραγματική επίθεση στον κυβερνοχώρο είναι ότι το άτομο που το κάνει είναι ένα χάκερ με λευκό καπέλο ή ηθικό που προσλαμβάνετε. Έχουν τις δεξιότητες να διεισδύσουν στην άμυνα σας χωρίς την κακόβουλη πρόθεση των ομολόγων τους με το μαύρο καπέλο.

instagram viewer

Τύποι Pentests

Υπάρχουν διάφορα παραδείγματα πεντάλ, ανάλογα με τον τύπο επίθεσης που ξεκινά ο δεοντολογικός χάκερ, τις πληροφορίες που λαμβάνουν εκ των προτέρων και τους περιορισμούς που θέτει ο υπάλληλός τους.

Ένα μεμονωμένο πεντάλ μπορεί να είναι ένα ή ένας συνδυασμός των πρωταρχικών τύπων πενestest, οι οποίοι περιλαμβάνουν:

Εσωτερικό Pentest

Ένα insider ή εσωτερικό pentest προσομοιώνει μια επίθεση στον κυβερνοχώρο, όπου ένας κακόβουλος χάκερ εμφανίζεται ως νόμιμος υπάλληλος και αποκτά πρόσβαση στο εσωτερικό δίκτυο της εταιρείας.

Αυτό βασίζεται στην εύρεση εσωτερικών αδυναμιών ασφαλείας, όπως προνόμια πρόσβασης και παρακολούθηση δικτύου, και όχι εξωτερικά όπως τείχος προστασίας, προστασία από ιούς και προστασία τελικού σημείου.

Εξωτερικό Pentest

Όπως υποδηλώνει το όνομα, αυτός ο τύπος pentest δεν παρέχει στον χάκερ πρόσβαση στο εσωτερικό δίκτυο της εταιρείας ή στους υπαλλήλους του. Τους αφήνει την επιλογή εισβολής μέσω της εξωτερικής τεχνολογίας της εταιρείας, όπως δημόσιων ιστότοπων και ανοιχτών θυρών επικοινωνίας.

Τα πεντεσέτ εξωτερικού μπορούν να αλληλεπικαλύπτονται με τα πεντάλ κοινωνικής μηχανικής, όπου τα χάκερ ξεκινούν και χειρίζεται έναν υπάλληλο ώστε να του παρέχει πρόσβαση στο εσωτερικό δίκτυο της εταιρείας, πέρα ​​από το εξωτερικό ΠΡΟΣΤΑΣΙΑ.

Pentest βάσει δεδομένων

Με ένα pentest βάσει δεδομένων, ο χάκερ διαθέτει πληροφορίες ασφάλειας και δεδομένα σχετικά με τον στόχο του. Αυτό προσομοιώνει μια επίθεση ενός πρώην υπαλλήλου ή κάποιου που έλαβε διαρροή δεδομένων ασφαλείας.

Τυφλό Pentest

Σε αντίθεση με μια δοκιμή βάσει δεδομένων, μια τυφλή δοκιμή σημαίνει ότι ο εισβολέας δεν λαμβάνει καμία απολύτως πληροφορία για τον στόχο του εκτός από το όνομά του και τι είναι διαθέσιμο στο κοινό.

Διπλό τυφλό Pentest

Εκτός από τη δοκιμή των ψηφιακών μέτρων ασφάλειας της εταιρείας (υλικό και λογισμικό), αυτή η δοκιμή περιλαμβάνει επίσης το προσωπικό ασφάλειας και πληροφορικής. Σε αυτήν τη σταδιακή επίθεση, κανείς στην εταιρεία δεν γνωρίζει το πεντάλ, αναγκάζοντάς τους να αντιδράσουν σαν να αντιμετωπίζουν κακόβουλη επίθεση στον κυβερνοχώρο.

Αυτό παρέχει πολύτιμα δεδομένα σχετικά με τη συνολική ασφάλεια της εταιρείας και την ετοιμότητα του προσωπικού και τον τρόπο αλληλεπίδρασης των δύο.

Πώς λειτουργεί η δοκιμή διείσδυσης

Παρόμοια με κακόβουλες επιθέσεις, η ηθική πειρατεία χρειάζεται προσεκτικό σχεδιασμό. Υπάρχουν πολλά βήματα που πρέπει να ακολουθήσει ο δεοντολογικός χάκερ για να εξασφαλίσει ένα επιτυχημένο πεντάλ που θα αποφέρει πολύτιμες πληροφορίες. Ακολουθεί μια εικόνα για τη μεθοδολογία πεντεσέτ.

1. Συγκέντρωση πληροφοριών και προγραμματισμός

Είτε πρόκειται για ένα τυφλό είτε με βάση τα δεδομένα, ο εισβολέας πρέπει πρώτα να συγκεντρώσει πληροφορίες σχετικά με τον στόχο του σε μια τοποθεσία και να σχεδιάσει το σημείο επίθεσης γύρω από αυτό.

2. Αξιολόγηση ευπάθειας

Το δεύτερο βήμα είναι να σαρώσουν τη λεωφόρο επίθεσης, αναζητώντας κενά και τρωτά σημεία για εκμετάλλευση. Ο χάκερ αναζητά σημεία πρόσβασης και στη συνέχεια εκτελεί πολλαπλές δοκιμές μικρής κλίμακας για να δει πώς αντιδρά το σύστημα ασφαλείας.

3. Εκμετάλλευση ευπαθειών

Αφού βρει τα σωστά σημεία εισόδου, ο εισβολέας θα προσπαθήσει να διεισδύσει στην ασφάλειά του και να αποκτήσει πρόσβαση στο δίκτυο.

Αυτό είναι το πραγματικό βήμα «πειρατείας» στο οποίο χρησιμοποιούν κάθε δυνατό τρόπο για να παρακάμψουν πρωτόκολλα ασφαλείας, τείχη προστασίας και συστήματα παρακολούθησης. Θα μπορούσαν να χρησιμοποιήσουν μεθόδους όπως SQL injections, επιθέσεις κοινωνικής μηχανικήςή δέσμες ενεργειών μεταξύ ιστότοπων.

Τι είναι η Κοινωνική Μηχανική; Εδώ είναι πώς μπορείτε να παραβιαστείτε

Μάθετε πώς η κοινωνική μηχανική μπορεί να σας επηρεάσει, καθώς και κοινά παραδείγματα που θα σας βοηθήσουν να προσδιορίσετε και να παραμείνετε ασφαλείς από αυτά τα προγράμματα.

4. Διατήρηση μυστικής πρόσβασης

Τα περισσότερα σύγχρονα συστήματα άμυνας στον κυβερνοχώρο βασίζονται στην ανίχνευση όσο και στην προστασία. Προκειμένου η επίθεση να είναι επιτυχής, ο εισβολέας πρέπει να παραμείνει μέσα στο δίκτυο χωρίς να εντοπιστεί πολύ αρκετά για να επιτύχουν τον στόχο τους, είτε πρόκειται για διαρροή δεδομένων, καταστροφή συστημάτων ή αρχείων είτε για εγκατάσταση κακόβουλο λογισμικό.

5. Αναφορά, ανάλυση και επισκευή

Αφού ολοκληρωθεί η επίθεση - επιτυχημένη ή όχι - ο χάκερ θα αναφέρει στον εργοδότη του τα ευρήματά του. Οι επαγγελματίες ασφαλείας στη συνέχεια αναλύουν τα δεδομένα της επίθεσης, τα συγκρίνουν με αυτά που αναφέρουν τα συστήματα παρακολούθησής τους και εφαρμόζουν τις κατάλληλες τροποποιήσεις για να βελτιώσουν την ασφάλειά τους.

6. Ξεπλύνετε και επαναλάβετε

Υπάρχει συχνά ένα έκτο βήμα όπου οι εταιρείες δοκιμάζουν τις βελτιώσεις που πραγματοποίησαν στο σύστημά τους ασφαλείας πραγματοποιώντας ένα άλλο τεστ διείσδυσης. Μπορούν να προσλάβουν τον ίδιο ηθικό χάκερ εάν θέλουν να δοκιμάσουν επιθέσεις βάσει δεδομένων ή άλλη για τυφλό πεντάστ.

Η ηθική πειρατεία δεν είναι μόνο επάγγελμα δεξιοτήτων. Οι περισσότεροι ηθικοί χάκερ χρησιμοποιούν εξειδικευμένα λειτουργικά συστήματα και λογισμικό για να κάνουν τη δουλειά τους ευκολότερη και να αποφεύγουν χειροκίνητα λάθη, δίνοντας σε κάθε πεντάλ τα πάντα.

Τι χρησιμοποιούν λοιπόν οι χάκερ δοκιμής πένας; Ακολουθούν μερικά παραδείγματα.

Το Parrot Security είναι ένα λειτουργικό σύστημα Linux που έχει σχεδιαστεί για δοκιμές διείσδυσης και αξιολογήσεις ευπάθειας. Είναι φιλικό προς το σύννεφο, εύκολο στη χρήση και υποστηρίζει διάφορα λογισμικά ανοιχτού κώδικα.

Επίσης, ένα λειτουργικό σύστημα Linux, το Live Hacking είναι ένα βήμα για το πεντέστερ, καθώς είναι ελαφρύ και δεν έχει υψηλές απαιτήσεις υλικού. Διατίθεται επίσης συσκευασμένο με εργαλεία και λογισμικό για δοκιμές διείσδυσης και δεοντολογικό hacking.

Το Nmap είναι ένα εργαλείο ανοιχτής πηγής (OSINT) που παρακολουθεί ένα δίκτυο και συλλέγει και αναλύει δεδομένα σχετικά με τους κεντρικούς υπολογιστές και τους διακομιστές των συσκευών, καθιστώντας το πολύτιμο για τους χάκερ με μαύρο, γκρι και λευκό καπέλο.

Είναι επίσης cross-platform και λειτουργεί με Linux, Windows και macOS, οπότε είναι ιδανικό για αρχάριους ηθικούς χάκερ.

Το WebShag είναι επίσης ένα εργαλείο OSINT. Είναι ένα εργαλείο ελέγχου συστήματος που σαρώνει πρωτόκολλα HTTPS και HTTP και συλλέγει σχετικά δεδομένα και πληροφορίες. Χρησιμοποιείται από ηθικούς χάκερς που εκτελούν εξωτερικά pentests μέσω δημόσιων ιστότοπων.

Πού να πάτε για δοκιμή διείσδυσης

Το στυλό που δοκιμάζει το δικό σας δίκτυο δεν είναι η καλύτερη επιλογή σας, καθώς πιθανότατα έχετε εκτενή γνώση αυτού, καθιστώντας πιο δύσκολο να σκεφτείτε έξω από το κουτί και να βρείτε κρυμμένες ευπάθειες. Θα πρέπει είτε να προσλάβετε έναν ανεξάρτητο ηθικό χάκερ είτε τις υπηρεσίες μιας εταιρείας που προσφέρει δοκιμές πένας.

Ωστόσο, η πρόσληψη ενός εξωτερικού για να εισβάλει στο δίκτυό σας μπορεί να είναι πολύ επικίνδυνη, ειδικά εάν τους παρέχετε πληροφορίες ασφαλείας ή πρόσβαση σε άτομα. Αυτός είναι ο λόγος για τον οποίο πρέπει να παραμείνετε σε αξιόπιστους τρίτους παρόχους. Εδώ είναι ένα μικρό δείγμα από αυτά που είναι διαθέσιμα.

Το HackerOne είναι μια εταιρεία με έδρα το Σαν Φρανσίσκο που παρέχει δοκιμές διείσδυσης, αξιολόγηση ευπάθειας και υπηρεσίες δοκιμής συμμόρφωσης με πρωτόκολλα.

Βρίσκεται στο Τέξας, το ScienceSoft προσφέρει αξιολογήσεις ευπάθειας, δοκιμές στυλό, δοκιμές συμμόρφωσης και υπηρεσίες ελέγχου υποδομής.

Με έδρα την Ατλάντα της Γεωργίας, η Raxis προσφέρει πολύτιμες υπηρεσίες από τη δοκιμή στυλό και τον έλεγχο κώδικα ασφαλείας στην εκπαίδευση αντιμετώπισης συμβάντων, αξιολογήσεις ευπάθειας και προληπτική εκπαίδευση κοινωνικής μηχανικής.

Αξιοποιώντας στο έπακρο τις δοκιμές διείσδυσης

Ενώ είναι ακόμα σχετικά νέο, η δοκιμή με στυλό προσφέρει μοναδικές πληροφορίες για τη λειτουργία του εγκεφάλου ενός χάκερ όταν επιτίθενται. Είναι πολύτιμες πληροφορίες που ακόμη και οι πιο εξειδικευμένοι επαγγελματίες στον τομέα της ασφάλειας στον κυβερνοχώρο δεν μπορούν να προσφέρουν εργασία στην επιφάνεια.

Η δοκιμή με στυλό μπορεί να είναι ο μόνος τρόπος για να αποφευχθεί η στόχευση από χάκερ μαύρου καπέλου και να υποστούν τις συνέπειες.

Πιστωτική εικόνα: Απεμπλοκή.

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
Γιατί το Ethical Hacking είναι νόμιμο και γιατί το χρειαζόμαστε

Η ηθική εισβολή είναι ένας τρόπος για την καταπολέμηση των κινδύνων ασφαλείας που δημιουργεί το έγκλημα στον κυβερνοχώρο. Είναι το ηθικό hacking νόμιμο; Γιατί το χρειαζόμαστε ακόμη;

Σχετικά θέματα
  • Ασφάλεια
  • Διαδικτυακή ασφάλεια
Σχετικά με τον Συγγραφέα
Anina Ot (Δημοσιεύθηκαν 16 άρθρα)

Η Anina είναι ανεξάρτητη τεχνολογία και συγγραφέας ασφάλειας στο Διαδίκτυο στο MakeUseOf. Άρχισε να γράφει στην ασφάλεια στον κυβερνοχώρο πριν από 3 χρόνια με την ελπίδα να το καταστήσει πιο προσιτό στο μέσο άτομο. Θέλετε να μάθετε νέα πράγματα και ένα τεράστιο αστρονομικό nerd.

Περισσότερα από την Anina Ot

Εγγραφείτε στο Newsletter μας

Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!

Ένα ακόμη βήμα…!

Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.

.