Při nastavování nového bezpečnostního systému se musíte ujistit, že funguje správně s co nejmenším počtem chyb zabezpečení. Pokud jde o digitální aktiva v hodnotě tisíců dolarů, nemůžete si dovolit poučit se ze svých chyb a vyplnit pouze mezery v zabezpečení, které hackeři dříve zneužili.

Nejlepším způsobem, jak zlepšit a zaručit zabezpečení vaší sítě, je neustálé testování a hledání chyb, které je třeba opravit.

Co je to penetrační testování?

Co je to test perem?

Penetrační testování, známé také jako testování perem, je fázovaný útok kybernetické bezpečnosti, který napodobuje skutečný bezpečnostní incident. Simulovaný útok může cílit na jednu nebo více částí vašeho bezpečnostního systému a hledat slabá místa, která by mohl zneužít škodlivý hacker.

To, co ho odlišuje od skutečného kybernetického útoku, je to, že osoba, která to dělá, je hacker s bílým kloboukem - nebo etický -, kterého si najmete. Mají schopnosti proniknout do vaší obrany bez škodlivého úmyslu svých protějšků v černém klobouku.

instagram viewer

Druhy Pentestů

Existuje několik příkladů pentestů v závislosti na typu útoku, který etický hacker zahájí, informacích, které předem získá, a omezeních stanovených jejich zaměstnanci.

Jeden pentest může být jeden nebo kombinace primárních typů pentestu, které zahrnují:

Insider Pentest

Zasvěcený nebo interní pentest simuluje zasvěcený kybernetický útok, kdy se škodlivý hacker vydává za legitimního zaměstnance a získává přístup k interní síti společnosti.

To se spoléhá na hledání interních bezpečnostních nedostatků, jako jsou přístupová oprávnění a monitorování sítě, spíše než externí, jako je brána firewall, antivirus a ochrana koncových bodů.

Outsider Pentest

Jak název napovídá, tento typ pentestu nedává hackerům žádný přístup k interní síti nebo zaměstnancům společnosti. Nechává jim možnost hacknutí prostřednictvím externích technologií společnosti, jako jsou veřejné webové stránky a otevřené komunikační porty.

Outsider pentests se mohou překrývat s pentests sociálního inženýrství, kde hacker triky a manipuluje zaměstnance, aby mu poskytl přístup k interní síti společnosti, mimo její externí ochrana.

Datově řízený Pentest

S pentestem založeným na datech jsou hackerům poskytovány bezpečnostní informace a údaje o jejich cíli. To simuluje útok bývalého zaměstnance nebo někoho, kdo získal uniklá bezpečnostní data.

Slepý Pentest

Na rozdíl od testu založeného na datech znamená slepý test, že hacker nezíská o svém cíli vůbec žádné informace kromě svého jména a toho, co je veřejně dostupné.

Double-Blind Pentest

Kromě testování digitálních bezpečnostních opatření společnosti (hardware a software) zahrnuje tento test také její bezpečnostní a IT pracovníky. V rámci tohoto postupného útoku si nikdo ve společnosti neuvědomuje, že je to nejhorší, což je nutí reagovat, jako by narazili na nebezpečný kybernetický útok.

To poskytuje cenné údaje o celkovém zabezpečení společnosti a připravenosti zaměstnanců a jejich vzájemném působení.

Jak funguje penetrační testování

Podobně jako u škodlivých útoků je třeba i etické hackerství pečlivě naplánovat. Existuje několik kroků, které etický hacker musí dodržet, aby zajistil úspěšný pentest, který přináší cenné poznatky. Zde je vhled do pentest metodiky.

1. Shromažďování informací a plánování

Ať už se jedná o slepý test nebo test na základě dat, hacker musí nejprve shromáždit informace o svém cíli na jednom místě a naplánovat kolem něj bod útoku.

2. Vyhodnocení zranitelnosti

Druhým krokem je skenování jejich cesty útoku a hledání mezer a zranitelností, které by bylo možné zneužít. Hacker hledá přístupové body a poté provede několik testů malého rozsahu, aby zjistil, jak bezpečnostní systém reaguje.

3. Využívání zranitelností

Po nalezení správných vstupních bodů se hacker pokusí proniknout do jeho zabezpečení a získat přístup k síti.

Jedná se o skutečný „hackerský“ krok, při kterém se všemi možnými způsoby obcházejí bezpečnostní protokoly, brány firewall a monitorovací systémy. Mohli by používat metody jako SQL injekce, útoky sociálního inženýrstvínebo skriptování napříč weby.

Co je sociální inženýrství? Zde je návod, jak vás může napadnout hacker

Zjistěte, jak vás může sociální inženýrství ovlivnit, plus běžné příklady, které vám pomohou tyto schémata identifikovat a zůstat v bezpečí.

4. Údržba skrytého přístupu

Většina moderních systémů obrany proti kybernetické bezpečnosti spoléhá na detekci stejně jako na ochranu. Aby byl útok úspěšný, musí hacker zůstat uvnitř sítě nezjištěný dlouho dost na to, aby dosáhli svého cíle, ať už jde o únik dat, poškození systémů nebo souborů nebo instalaci malware.

5. Podávání zpráv, analýza a opravy

Poté, co útok skončí - úspěšný nebo ne -, hacker nahlásí zaměstnavateli své nálezy. Bezpečnostní profesionálové poté analyzují data útoku, porovnávají je s tím, co hlásí jejich monitorovací systémy, a implementují správné úpravy, aby zlepšili své zabezpečení.

6. Opláchněte a opakujte

Často se jedná o šestý krok, kdy společnosti testují vylepšení svého bezpečnostního systému provedením dalšího penetračního testu. Mohou si najmout stejného etického hackera, pokud chtějí otestovat útoky založené na datech, nebo jiného na slepý pokus.

Etické hackerství není povoláním pouze pro dovednosti. Většina etických hackerů používá specializované operační systémy a software, aby si usnadnili práci a vyhnuli se manuálním chybám.

Co tedy hackeři používají k testování pera? Zde je několik příkladů.

Parrot Security je operační systém založený na Linuxu, který byl navržen pro penetrační testování a hodnocení zranitelnosti. Je přátelský ke cloudu, snadno se používá a podporuje různý open source software pentest.

Živý hacking, který je také operačním systémem Linux, je nástrojem pentesteru, protože je lehký a nemá vysoké hardwarové požadavky. Dodává se také předem zabalený s nástroji a softwarem pro penetrační testování a etické hacking.

Nmap je nástroj pro otevřenou inteligenci (OSINT) který monitoruje síť a shromažďuje a analyzuje data o hostitelích a serverech zařízení, takže je cenný pro hackery v černém, šedém i bílém klobouku.

Je také multiplatformní a funguje s Linuxem, Windows a macOS, takže je ideální pro začínajícího etického hackera.

WebShag je také nástrojem OSINT. Jedná se o nástroj pro audit systému, který skenuje protokoly HTTPS a HTTP a shromažďuje relativní data a informace. Používají to etičtí hackeři, kteří prostřednictvím veřejných webových stránek provádějí pokusy o outsider.

Kam jít na testování penetrace

Testování vlastní sítě perem není vaší nejlepší volbou, protože o ní pravděpodobně máte rozsáhlé znalosti, což ztěžuje myšlení mimo krabici a hledání skrytých zranitelností. Měli byste si najmout nezávislého etického hackera nebo služby společnosti, která nabízí testování perem.

Najímání outsiderů, kteří by mohli proniknout do vaší sítě, může být velmi riskantní, zvláště pokud jim poskytujete bezpečnostní informace nebo přístup zasvěcených osob. Proto byste se měli držet důvěryhodných poskytovatelů třetích stran. Zde je malý vzorek těch, které jsou k dispozici.

HackerOne je společnost se sídlem v San Francisku, která poskytuje služby penetračního testování, hodnocení zranitelnosti a testování souladu protokolu.

ScienceSoft, který se nachází v Texasu, nabízí služby hodnocení zranitelnosti, testování pera, testování souladu a auditování infrastruktury.

Společnost Raxis se sídlem v Atlantě ve státě Georgia nabízí cenné služby od testování pera a kontroly bezpečnostních kódů na školení reakce na incidenty, hodnocení zranitelnosti a preventivní školení sociálního inženýrství.

Jak co nejlépe využít penetrační testování

I když je to stále relativně nové, testování perem nabízí jedinečný pohled na fungování mozku hackera, když útočí. Jsou to cenné informace, které ani ti nejzkušenější odborníci v oblasti kybernetické bezpečnosti nemohou poskytnout při práci na povrchu.

Testování pomocí pera může být jediným způsobem, jak se vyhnout tomu, aby na vás útočníci black-hat zaměřili a utrpěli následky.

Image Credit: Unsplash.

E-mailem
Proč je etický hacking legální a proč ho potřebujeme

Etické hackerství je způsob, jak bojovat proti bezpečnostním rizikům, která představuje počítačová kriminalita. Je etické hackerství legální? Proč to vůbec potřebujeme?

Související témata
  • Bezpečnostní
  • Zabezpečení online
O autorovi
Anina Ot (16 článků publikováno)

Anina je nezávislá autorka pro technologie a internetovou bezpečnost v MakeUseOf. V kybernetické bezpečnosti začala psát před 3 lety v naději, že jej zpřístupní průměrnému člověku. Rád se učí nové věci a obrovský astronomický blbeček.

Více od Aniny Ot

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!

Ještě jeden krok…!

V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.

.