Veidojot jaunu drošības sistēmu, jums jāpārliecinās, ka tā darbojas pareizi un pēc iespējas mazāk ievainojamību. Ja ir iesaistīti tūkstošiem dolāru vērti digitālie aktīvi, jūs nevarat atļauties mācīties no kļūdām un aizpildīt tikai savas drošības nepilnības, kuras hakeri iepriekš izmantoja.
Labākais veids, kā uzlabot un garantēt tīkla drošību, ir nepārtraukti pārbaudīt to, meklējot novēršamus trūkumus.
Kas ir iespiešanās pārbaude?
Tātad, kas ir pildspalvas tests?
Iespiešanās pārbaude, kas pazīstama arī kā pildspalvu pārbaude, ir pakāpenisks kiberdrošības uzbrukums, kas atdarina reālu drošības incidentu. Imitētais uzbrukums var būt vērsts uz vienu vai vairākām jūsu drošības sistēmas daļām, meklējot vājās vietas, kuras ļaunprātīgs hakeris varētu izmantot.
Tas, kas to atšķir no faktiskā kiberuzbrukuma, ir tas, ka persona, kas to dara, ir baltā cepure jeb ētisks hakeris, kuru jūs algojat. Viņiem ir prasmes iekļūt jūsu aizsardzībā bez viņu melno cepuru kolēģu ļaunprātīgiem nodomiem.
Pentestu veidi
Ir dažādi pentestu piemēri atkarībā no uzbrukuma veida, kuru uzsāk ētiskais hakeris, informācija, ko viņi saņem iepriekš, un ierobežojumi, kurus nosaka viņu darbinieks.
Viens pentests var būt viens no galvenajiem pentest veidiem vai to kombinācija, kas ietver:
Iekšējās ziņas Pentest
Iekšējās informācijas objekts vai iekšējais pentests imitē iekšēju kiberuzbrukumu, kur ļaunprātīgs hakeris izvirza likumīgu darbinieku un iegūst piekļuvi uzņēmuma iekšējam tīklam.
Tas balstās uz iekšējo drošības kļūdu, piemēram, piekļuves privilēģiju un tīkla uzraudzības, atrašanu, nevis uz ārējiem, piemēram, ugunsmūri, antivīrusu un galapunktu aizsardzību.
Ārējais Pentests
Kā norāda nosaukums, šāda veida pentests nedod hakerim nekādu piekļuvi uzņēmuma iekšējam tīklam vai darbiniekiem. Tas viņiem dod iespēju uzlauzt, izmantojot uzņēmuma ārējās tehnoloģijas, piemēram, publiskas vietnes un atvērtas komunikācijas ostas.
Ārējie pentesti var pārklāties ar sociālās inženierijas pentestiem, kur hakeris triko un manipulē ar darbinieku, piešķirot viņam piekļuvi uzņēmuma iekšējam tīklam, ārpus tā ārējā tīkla aizsardzība.
Ar datiem pamatots Pentest
Izmantojot uz datiem balstītu pentestu, hakerim tiek nodrošināta drošības informācija un dati par viņu mērķi. Tas simulē bijušā darbinieka vai kāda cilvēka, kurš ieguva noplūdušus drošības datus, uzbrukumu.
Neredzīgais Pentests
Pretēji datu testam aklais tests nozīmē, ka hakeris nesaņem nekādu informāciju par savu mērķi, izņemot vārdu un publiski pieejamo.
Double-Blind Pentest
Papildus uzņēmuma digitālo drošības pasākumu (aparatūras un programmatūras) pārbaudei šajā testā ietilpst arī tā drošības un IT darbinieki. Šajā inscenētajā uzbrukumā uzņēmumā neviens nezina par visgrūtākajiem, liekot viņiem reaģēt tā, it kā viņi saskartos ar ļaunprātīgu kiberuzbrukumu.
Tas sniedz vērtīgus datus par uzņēmuma vispārējo drošību un personāla gatavību un to, kā abi mijiedarbojas.
Kā darbojas iespiešanās pārbaude
Līdzīgi ļaunprātīgiem uzbrukumiem, arī ētiskai uzlaušanai ir nepieciešama rūpīga plānošana. Ētiskajam hakerim ir jāveic vairākas darbības, lai nodrošinātu veiksmīgu pentestu, kas sniedz vērtīgu ieskatu. Šeit ir ieskats pentest metodikā.
1. Informācijas vākšana un plānošana
Neatkarīgi no tā, vai tas ir akls vai ar datiem pamatots pentests, hakerim vispirms ir jāapkopo informācija par savu mērķi vienā vietā un jāplāno uzbrukuma punkts ap to.
2. Neaizsargātības novērtēšana
Otrais solis ir pārbaudīt viņu uzbrukuma iespējas, meklējot nepilnības un ievainojamības, kuras izmantot. Hakeris meklē piekļuves punktus, pēc tam veic vairākus maza mēroga testus, lai redzētu, kā reaģē drošības sistēma.
3. Ievainojamību izmantošana
Pēc pareizo ieejas punktu atrašanas hakeris mēģinās iekļūt tās drošībā un piekļūt tīklam.
Šis ir faktiskais “uzlaušanas” solis, kurā viņi izmanto visus iespējamos veidus, lai apietu drošības protokolus, ugunsmūrus un uzraudzības sistēmas. Viņi varētu izmantot tādas metodes kā SQL injekcijas, sociālās inženierijas uzbrukumivai vairāku vietņu skriptu izveidošana.
Uzziniet, kā sociālā inženierija var jūs ietekmēt, kā arī izplatītākos piemērus, kas palīdzēs jums identificēt šīs shēmas un saglabāt to drošību.
4. Slepenas piekļuves uzturēšana
Lielākā daļa mūsdienu kiberdrošības aizsardzības sistēmu paļaujas uz atklāšanu tikpat daudz kā uz aizsardzību. Lai uzbrukums būtu veiksmīgs, hakerim ilgi jāpaliek tīkla iekšienē pietiekami, lai sasniegtu viņu mērķi, vai tas būtu datu noplūde, sistēmu vai failu bojāšana vai instalēšana ļaunprātīgu programmatūru.
5. Ziņošana, analīze un labošana
Pēc uzbrukuma beigām - veiksmīgs vai nē - hakeris ziņos savam darba devējam ar atklājumiem. Pēc tam drošības speciālisti analizē uzbrukuma datus, salīdzina tos ar to, ko ziņo viņu uzraudzības sistēmas, un ievieš atbilstošas modifikācijas, lai uzlabotu viņu drošību.
6. Noskalojiet un atkārtojiet
Bieži notiek sestais solis, kurā uzņēmumi pārbauda uzlabojumus, ko viņi veikuši savā drošības sistēmā, organizējot vēl vienu iespiešanās testu. Viņi var nolīgt to pašu ētikas hakeri, ja viņi vēlas pārbaudīt ar datiem pamatotus uzbrukumus vai citu uzbrukumu aklajam pentestam.
Ētiskā uzlaušana nav tikai prasmju apguve. Lielākā daļa ētisko hakeru izmanto specializētas operētājsistēmas un programmatūru, lai atvieglotu viņu darbu un izvairītos no manuālām kļūdām, dodot katram pentestam visu.
Ko tad izmanto pildspalvas testēšanas hakeri? Šeit ir daži piemēri.
Parrot Security ir Linux balstīta operētājsistēma, kas bija paredzēta iespiešanās testēšanai un ievainojamības novērtēšanai. Tā ir piemērota mākonim, ir viegli lietojama un atbalsta dažādu atvērtā koda programmatūru.
Arī Linux operētājsistēma Live Hacking ir pentestera izvēle, jo tā ir viegla un tai nav augstas aparatūras prasības. Tas ir arī iepriekš iesaiņots ar instrumentiem un programmatūru iespiešanās pārbaudei un ētiskai uzlaušanai.
Nmap ir atvērtā pirmkoda izlūkošanas (OSINT) rīks kas uzrauga tīklu un vāc un analizē datus par ierīču resursdatoriem un serveriem, padarot to vērtīgu gan melno, gan pelēko, gan baltcepuru hakeriem.
Tas ir arī starpplatforms un darbojas ar Linux, Windows un MacOS, tāpēc tas ir ideāli piemērots iesācējiem ētiskajam hakerim.
WebShag ir arī OSINT rīks. Tas ir sistēmas audita rīks, kas skenē HTTPS un HTTP protokolus un apkopo relatīvos datus un informāciju. To izmanto ētiski hakeri, veicot nepiederošos pentestus, izmantojot publiskas vietnes.
Kurp doties iekļūšanas pārbaudēs
Jūsu tīkla testēšana ar pildspalvu nav labākais risinājums, jo jums, iespējams, ir plašas zināšanas par to, tāpēc ir grūtāk domāt ārpus kastes un atrast slēptās ievainojamības. Jums vai nu ir jāpieņem neatkarīgs ētisks hakeris, vai arī uzņēmuma pakalpojumi, kas piedāvā pildspalvu testēšanu.
Tomēr, piesaistot nepiederīgu personu, lai uzlauztu jūsu tīklu, var būt ļoti riskanti, it īpaši, ja jūs viņiem sniedzat drošības informāciju vai iekšēju piekļuvi. Tāpēc jums vajadzētu pieturēties pie uzticamiem trešo pušu pakalpojumu sniedzējiem. Piedāvājam nelielu pieejamo paraugu.
HackerOne ir Sanfrancisko uzņēmums, kas nodrošina iespiešanās testēšanu, ievainojamības novērtēšanu un protokolu atbilstības testēšanas pakalpojumus.
Teksasā esošais ScienceSoft piedāvā ievainojamības novērtējumus, pildspalvu testēšanu, atbilstības testēšanu un infrastruktūras audita pakalpojumus.
Atrodas Atlantā, Džordžijas štatā, Raxis piedāvā vērtīgus pakalpojumus no pildspalvu testēšanas un drošības kodu pārskatīšanas uz reaģēšanas mācībām uz incidentiem, ievainojamības novērtēšanu un sociālās inženierijas profilaktisko apmācību.
Gūt maksimālu labumu no iespiešanās testēšanas
Lai gan tas joprojām ir salīdzinoši jauns, pildspalvu testēšana piedāvā unikālu ieskatu hakeru smadzeņu darbībā, kad viņi uzbrūk. Tā ir vērtīga informācija, ko pat visprasmīgākie kiberdrošības profesionāļi nevar nodrošināt darbu uz virsmas.
Pildspalvu pārbaude var būt vienīgais veids, kā izvairīties no melno cepuru hakeru mērķauditorijas un ciešanām no sekām.
Attēlu kredīts: Atvienot.
Ētiskā uzlaušana ir veids, kā apkarot kibernoziegumu radītos drošības riskus. Vai ētiskā uzlaušana ir likumīga? Kāpēc mums tas vispār ir vajadzīgs?
- Drošība
- Tiešsaistes drošība
Anina ir ārštata tehnoloģiju un interneta drošības autore vietnē MakeUseOf. Viņa kiberdrošībā sāka rakstīt pirms 3 gadiem, cerot padarīt to pieejamāku vidusmēra cilvēkam. Labprāt mācās jaunas lietas un milzīgu astronomijas izveicību.
Abonējiet mūsu biļetenu
Pievienojieties mūsu informatīvajam izdevumam par tehniskiem padomiem, atsauksmēm, bezmaksas e-grāmatām un ekskluzīviem piedāvājumiem!
Vēl viens solis !!!
Lūdzu, apstipriniet savu e-pasta adresi e-pastā, kuru tikko nosūtījām.