Kurdami naują apsaugos sistemą, turite įsitikinti, kad ji tinkamai veikia ir turi kuo mažiau pažeidžiamumų. Tais atvejais, kai yra skaitmeninis turtas, kurio vertė tūkstančiai dolerių, jūs negalite sau leisti mokytis iš savo klaidų ir užpildyti tik savo saugumo spragas, kurias anksčiau pasinaudojo hakeriai.

Geriausias būdas pagerinti ir garantuoti tinklo saugumą yra nuolat jį tikrinant, ieškant pašalintinų trūkumų.

Kas yra skvarbumo testavimas?

Taigi, kas yra rašiklio testas?

Skverbimosi bandymai, dar vadinami rašiklių bandymais, yra surengta kibernetinio saugumo ataka, imituojanti tikrąjį saugumo incidentą. Modeliuojama ataka gali būti nukreipta į vieną ar kelias jūsų saugumo sistemos dalis, ieškant silpnųjų vietų, kurias galėtų panaudoti kenksmingas įsilaužėlis.

Nuo faktinės kibernetinės atakos tai išskiria tai, kad tai darantis asmuo yra jūsų pasamdytas baltos kepurės (arba etikos) įsilaužėlis. Jie turi įgūdžių įsiskverbti į jūsų gynybą be piktavališkų juodos kepurės kolegų ketinimų.

instagram viewer

Pentestų tipai

Yra įvairių pentestų pavyzdžių, priklausančių nuo etiško įsilaužėlio paleidimo tipo, iš anksto gaunamos informacijos ir jų darbuotojų nustatytų apribojimų.

Vienas pentestas gali būti vienas iš pagrindinių pentestų arba jų derinys, įskaitant:

„Insider Pentest“

Viešai neatskleistas arba vidinis pentestas imituoja viešai neatskleistą kibernetinę ataką, kai kenkėjiškas įsilaužėlis pateikia teisėtą darbuotoją ir gauna prieigą prie įmonės vidinio tinklo.

Tai priklauso nuo vidinių saugumo trūkumų, tokių kaip prieigos teisės ir tinklo stebėjimas, o ne išorinių, tokių kaip užkarda, antivirusinė ir galinių taškų apsauga, radimo.

Išorinis Pentestas

Kaip rodo pavadinimas, tokio tipo pentestas nesuteikia įsilaužėliui jokios prieigos prie įmonės vidinio tinklo ar darbuotojų. Tai palieka jiems galimybę įsilaužti per įmonės išorines technologijas, tokias kaip viešosios svetainės ir atviri ryšių uostai.

Išoriniai pentestai gali sutapti su socialinės inžinerijos pentestais, kur įsilaužėlis apgauna ir manipuliuoja darbuotoju suteikdamas jiems prieigą prie įmonės vidinio tinklo, praeinančio už jo išorės apsauga.

Duomenimis pagrįstas „Pentest“

Įsilaužėlis, naudodamasis duomenimis pagrįstą pentestą, gauna saugumo informaciją ir duomenis apie jų taikinį. Tai imituoja buvusio darbuotojo ar asmens, kuris gavo nutekėjusius saugos duomenis, užpuolimą.

Aklasis Pentestas

Priešingai nei duomenimis pagrįstas testas, aklasis testas reiškia, kad įsilaužėlis negauna jokios informacijos apie savo tikslą, išskyrus vardą ir informaciją, kuri yra viešai prieinama.

Dvigubai aklas „Pentest“

Be bendrovės skaitmeninių saugumo priemonių (techninės ir programinės įrangos) testavimo, šiame teste taip pat dalyvauja jos saugos ir IT darbuotojai. Šioje inscenizuotoje atakoje niekas iš kompanijos nežino apie nuoskaudas ir neverčia reaguoti taip, tarsi susidurtų su kenkėjišku kibernetiniu išpuoliu.

Tai suteikia vertingų duomenų apie bendrą įmonės saugumą ir darbuotojų pasirengimą bei jų sąveiką.

Kaip veikia įsiskverbimo testavimas

Panašiai kaip ir kenkėjiškos atakos, etinį įsilaužimą reikia kruopščiai planuoti. Etinis įsilaužėlis turi atlikti kelis veiksmus, kad užtikrintų sėkmingą pentestą, kuris duoda vertingų įžvalgų. Štai įžvalga apie pentest metodiką.

1. Informacijos rinkimas ir planavimas

Nesvarbu, ar tai aklasis, ar duomenų valdomas pentestas, įsilaužėlis pirmiausia turi surinkti informaciją apie savo taikinį vienoje vietoje ir suplanuoti atakos tašką aplink ją.

2. Pažeidžiamumo vertinimas

Antras žingsnis - ištirti jų užpuolimo kelią, ieškant spragų ir pažeidžiamumų, kuriuos būtų galima panaudoti. Įsilaužėlis ieško prieigos taškų, tada atlieka keletą nedidelio masto bandymų, kad sužinotų, kaip reaguoja apsaugos sistema.

3. Pažeidžiamumų išnaudojimas

Radęs tinkamus įėjimo taškus, įsilaužėlis bandys įsiskverbti į savo saugumą ir patekti į tinklą.

Tai yra tikrasis „įsilaužimo“ žingsnis, kurio metu jie naudojasi visais įmanomais būdais apeiti saugos protokolus, užkardas ir stebėjimo sistemas. Jie galėtų naudoti tokius metodus kaip SQL injekcijos, socialinės inžinerijos išpuoliaiarba kelių svetainių scenarijus.

Kas yra socialinė inžinerija? Štai kaip galite būti nulaužti

Sužinokite, kaip socialinė inžinerija gali jus paveikti, taip pat įprasti pavyzdžiai, padėsiantys atpažinti šias schemas ir saugotis jų.

4. Slaptos prieigos palaikymas

Dauguma šiuolaikinių kibernetinio saugumo gynybos sistemų remiasi tiek aptikimu, tiek apsauga. Kad ataka būtų sėkminga, įsilaužėlis turi ilgai likti nepastebėtas tinklo viduje pakanka jų tikslui pasiekti, nesvarbu, ar tai nutekins duomenis, ar sugadins sistemas ar failus, ar įdiegs kenkėjiškų programų.

5. Ataskaitų teikimas, analizavimas ir taisymas

Pasibaigus atakai - sėkminga ar ne - hakeris praneš savo darbdaviui su savo išvadomis. Tada saugumo specialistai analizuoja atakos duomenis, palygina juos su tuo, ką pateikia jų stebėjimo sistemos, ir įgyvendina tinkamas modifikacijas, kad pagerintų jų saugumą.

6. Nuplaukite ir pakartokite

Dažnai yra šeštas žingsnis, kai įmonės išbando savo saugumo sistemos patobulinimus, surengdamos dar vieną įsiskverbimo testą. Jie gali samdyti tą patį etinį įsilaužėlį, jei nori išbandyti duomenimis pagrįstas atakas ar kitą už aklą pentestą.

Etinis įsilaužimas nėra tik įgūdžių profesija. Daugelis etinių įsilaužėlių naudoja specializuotas operacines sistemas ir programinę įrangą, kad palengvintų jų darbą ir išvengtų rankinių klaidų, suteikdami kiekvienam pentestui viską.

Taigi, ką naudoja įsilaužėlių testavimo rašikliai? Štai keli pavyzdžiai.

„Parrot Security“ yra „Linux“ pagrindu sukurta OS, skirta skvarbos testavimui ir pažeidžiamumo vertinimui. Tai draugiška debesims, ja paprasta naudotis ir palaikoma įvairi atvirojo kodo programinė įranga.

Taip pat „Linux“ operacinė sistema „Live Hacking“ yra pentesterio pasirinkimas, nes jis yra lengvas ir neturi didelių aparatinės įrangos reikalavimų. Jis taip pat yra iš anksto supakuotas su įsiskverbimo bandymų ir etinio įsilaužimo įrankiais ir programine įranga.

Nmap yra atvirojo kodo žvalgybos (OSINT) įrankis kuris stebi tinklą ir renka bei analizuoja duomenis apie įrenginių pagrindinius kompiuterius ir serverius, todėl jie yra vertingi ir juodos, pilkos ir baltos kepurės įsilaužėliams.

Jis taip pat yra daugiaplatformis ir veikia su „Linux“, „Windows“ ir „macOS“, todėl idealiai tinka pradedantiesiems etikos įsilaužėliams.

„WebShag“ taip pat yra OSINT įrankis. Tai sistemos audito įrankis, kuris nuskaito HTTPS ir HTTP protokolus ir renka santykinius duomenis bei informaciją. Jį naudoja etiški įsilaužėliai, vykdydami pašalinius pentestus per viešas svetaines.

Kur kreiptis dėl įsiskverbimo bandymų

Savo tinklo tikrinimas rašikliu nėra geriausias pasirinkimas, nes greičiausiai turite daug žinių apie tai, todėl sunkiau galvoti už lango ribų ir rasti paslėptų pažeidžiamumų. Turėtumėte samdyti nepriklausomą etišką įsilaužėlį arba įmonės, siūlančios testuoti rašiklius, paslaugas.

Vis dėlto samdyti pašalinį asmenį įsilaužti į jūsų tinklą gali būti labai rizikinga, ypač jei teikiate jiems saugos informaciją ar prieigą prie viešai neatskleistos informacijos. Štai kodėl turėtumėte laikytis patikimų trečiųjų šalių teikėjų. Pateikiame nedidelį turimų pavyzdžių.

„HackerOne“ yra San Franciske įsikūrusi įmonė, teikianti skverbimosi testavimo, pažeidžiamumo vertinimo ir protokolo atitikties testavimo paslaugas.

Teksase įsikūrusi „ScienceSoft“ siūlo pažeidžiamumo vertinimus, rašiklių testavimą, atitikties testavimą ir infrastruktūros audito paslaugas.

Įsikūręs Atlantoje, Džordžijos valstijoje, „Raxis“ siūlo vertingas rašiklio testavimo ir saugos kodo peržiūros paslaugas į reagavimo į incidentus mokymus, pažeidžiamumo vertinimus ir socialinės inžinerijos prevencinius mokymus.

Kaip maksimaliai išnaudoti įsiskverbimo bandymus

Nors tai vis dar gana nauja, rašiklių bandymai suteikia unikalių įžvalgų apie įsilaužėlių smegenų darbą, kai jie puola. Tai vertinga informacija, kurios net ir kvalifikuoti kibernetinio saugumo specialistai negali pateikti darbui ant paviršiaus.

Rašiklių testavimas gali būti vienintelis būdas išvengti „juodos kepurės“ įsilaužėlių taikymo ir patirti pasekmes.

Vaizdo kreditas: Nenuplėšti.

El
Kodėl etiškas įsilaužimas yra teisėtas ir kam jis mums reikalingas?

Etinis įsilaužimas yra būdas kovoti su kibernetinių nusikaltimų keliama rizika saugumui. Ar etinis įsilaužimas yra teisėtas? Kodėl mums to apskritai reikia?

Susijusios temos
  • Saugumas
  • Internetinis saugumas
Apie autorių
Anina Ot (Paskelbta 16 straipsnių)

Anina yra laisvai samdoma technologijų ir interneto rašytoja, dirbanti „MakeUseOf“. Rašyti kibernetinio saugumo srityje ji pradėjo prieš 3 metus tikėdamasi, kad tai būtų labiau prieinama paprastam žmogui. Nori mokytis naujų dalykų ir didžiulio astronomijos vėpla.

Daugiau iš Aninos Ot

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kuriame rasite techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Dar vienas žingsnis…!

Prašome patvirtinti savo el. Pašto adresą el. Laiške, kurį jums ką tik išsiuntėme.

.