Mis on pentest?

Tarkvaras on vigu garanteeritud. Tarkvaras võib olla tuhandeid koodiridu ja inimlik eksitavus tähendab, et vähemalt mõned neist ei ole terved, nagu ette nähtud. Tarkvaraarenduse elutsükkel on protsess, mille eesmärk on püüda neid probleeme regulaarse testimise teel minimeerida.

Probleem on selles, et testimist teevad sageli arendajad, kes võivad olla õppinud, kuidas midagi kodeerida, kuid ei pruugi olla õppinud turvalise kodeerimise tavasid. Isegi põhjalikult testitud süsteemides võib välisvaatleja vaatamine ja uue vaatenurga toomine aidata tuvastada uusi probleeme.

Levinud viis seda tehakse läbitungimistesti abil, mida tavaliselt lühendatakse pentestiks. See hõlmab professionaalse, eetilise häkkeri, pentesteri, süsteemi vaatama ja turbeprobleemide leidmist.

Näpunäide: see on "pentest" ja "pentester", mitte "pliiatsitest". Pentester ei testi pastakaid. "Pliiatsitest" on veidi vastuvõetavam kui "pliiatsitest", kuid üldiselt tuleks ka seda vältida.

Pentesti eesmärk

Iga pentesti eesmärk on tuvastada testitava süsteemi kõik turvaaukud ja teavitada neist klienti. Tavaliselt on töövõttude kulud siiski mõnevõrra ajalised. Kui ettevõttel on sisemine pentester või pentesti meeskond, võivad nad ettevõttes alaliselt töötada. Siiski on paljudel selle skaalaga ettevõtetel lai valik süsteeme, mida tuleb testida. See hõlmab nii müüdavaid tooteid kui ka ettevõtte ärisüsteeme.

Seetõttu ei saa nad kogu oma aega ühe asja testimiseks kulutada. Paljud ettevõtted eelistavad palgata töövõtu teostamiseks välise eeltestimisettevõtte. See on siiski ajaliselt piiratud, lähtudes kuludest. Kulud on tingitud asjaolust, et pentest on väga käsitsi tehtav protsess ja oskustest napib.

Tavaliselt hõlmab pentest teatud ajavahemikku. Seda tehakse kõnealuse eesmärgi ja selle põhjal, kui kaua peaks kuluma, et olla piisavalt kindel, et kõik on leitud. Turvaaukude leidmise ajakava on üldiselt kellakõver. Kohe palju ei leita, kuna pentester rakenduses ringi vaatab. Siis saab suurema osa leidudest saavutada kindla aja jooksul, enne kui need vähenevad. Mingil hetkel ei ole otsimisele kulutamise kulu väärt võimalust, et pole midagi muud leida.

Mõnikord on isegi soovitatud aja hind liiga palju. Sel juhul võib test olla "ajakastiga". See on koht, kus klient nõustub, et ta ei testi nii palju kui soovitatud, kuid soovib, et testijad annaksid lühendatud aja jooksul endast parima. Tavaliselt lisatakse see aruandesse hoiatusena.

Käsitsi protsess

Mõned tööriistad on saadaval turvatesti automaatseks läbiviimiseks. Need võivad olla kasulikud. Siiski on neil sageli kõrge valepositiivsete ja valenegatiivsete määr. See tähendab, et peate kulutama aega probleemide kontrollimiseks, teades, et see ei pruugi olla kõikehõlmav. Enamik neist tööriistadest otsib konkreetseid näitajaid, nagu tarkvara teadaolevad haavatavad versioonid või teadaolevad haavatavad funktsioonid. Siiski on palju viise, kuidas need tegelikud probleemid ei muutuks ega neid praktikas leevendada.

Turvanõrkused võivad kokku tulla hunnikust näiliselt kahjututest tükkidest. Parim viis seda märgata on käsitsi tehtud jõupingutused. Pentestijad kasutavad tööriistu, kuid teavad, kuidas tulemusi tõlgendada, neid käsitsi kontrollida ja iseseisvaid käsitsi toiminguid teha. See käsitsi toiming eraldab pentesti haavatavuse skannimisest või haavatavuse hindamisest.

Pentesti tüübid

Tavaliselt hõlmab pentest kogu toote testimist nii, nagu see kasutusele võetakse. Ideaalis juhtub see reaalses tootmiskeskkonnas. See pole aga alati praktiline. Esiteks kardetakse, et pentest võib sihtmärgi võrguühenduseta koputada. Üldiselt on see hirm sisuliselt alusetu. Pentestid ei tekita üldiselt liiga palju võrguliiklust, võib-olla samaväärne mõne aktiivse kasutajaga. Pentesterid ei testi ka tahtlikult teenuse keelamise tüüpi probleeme, eriti tootmiskeskkondades. Selle asemel teatavad nad tavaliselt kahtlustatavatest teenuse keelamise probleemidest, et klient saaks seda ise uurida.

Lisaks väärib märkimist, et kui süsteem on ühendatud Internetti, siis tehakse sellele pidevalt “tasuta penteste” tõeliste musta mütsi häkkerite ja nende robotite poolt. Teine põhjus tootmiskeskkondade vältimiseks on reaalajas kasutajaandmetega seotud privaatsusprobleemid. Pentestijad on NDA-de ja lepingute alusel eetilised häkkerid, kuid kui testkeskkond on olemas ja on sarnane, saab seda kasutada.

Näpunäide: "tasuta pentest" on naljakas viis viidata sellele, et olete Internetis mustade mütside rünnaku all.

Penteste saab sooritada põhimõtteliselt mis tahes tehnoloogilise süsteemi vastu. Veebisaidid ja võrguinfrastruktuur on kõige levinumad testimistüübid. Saate ka API-teste, paksu kliendi teste, mobiiliteste, riistvarateste ja palju muud.

Variatsioonid teemal

Tegelikult on andmepüügi, OSINT ja punase meeskonna harjutused seotud, kuid veidi erinevad. Tõenäoliselt olete andmepüügi ohust teadlik. Mõned testid hõlmavad testimist, et näha, kuidas töötajad andmepüügimeilidele reageerivad. Jälgides, kuidas kasutajad andmepüügiga suhtlevad (või mitte), on võimalik õppida tulevasi andmepüügikoolitusi kohandama.

OSINT tähistab avatud lähtekoodiga intelligentsust. OSINT-i test keerleb avalikult kättesaadava teabe kraapimise ümber, et näha, kuidas väärtuslikke andmeid saab koguda ja kuidas neid kasutada. See hõlmab sageli töötajate loendite koostamist sellistest kohtadest nagu LinkedIn ja ettevõtte veebisait. See võib võimaldada ründajal tuvastada kõrgemaid tegelasi, kes võivad olla head sihtmärgid andmepüügirünnakuks, mis on spetsiaalselt konkreetsele adressaadile kohandatud.

Punase meeskonna kaasamine on tavaliselt palju põhjalikum ja võib hõlmata mõnda või kõiki muid komponente. See võib hõlmata ka füüsilise turvalisuse ja turvapoliitika järgimise testimist. Asjade poliitika poole pealt hõlmab see sotsiaalset manipuleerimist. See püüab veenda teid hoonesse sisenema. See võib olla sama lihtne kui suitsetamisalal aega veeta ja pärast suitsupausi suitsetajatega tagasi tulla.

See võib olla ametnikuna esinemine või kohvitassialuse kandmise ajal palumine kellelgi endale uks hankida. Füüsilise turvalisuse poole pealt võib see hõlmata isegi füüsilise sissemurdmise katset, kaamera leviala, lukkude kvaliteedi ja muu taolise testimist. Punase meeskonna tegevused hõlmavad tavaliselt inimeste meeskonda ja võivad kesta palju pikema aja jooksul kui tavalised pentestid.

Punased meeskonnad

Punase meeskonna harjutus võib tunduda vähem eetiline kui tavaline pentest. Testija püüab aktiivselt pahaaimamatuid töötajaid. Peaasi, et neil on ettevõtte juhtkonna luba, tavaliselt juhatuse tasandil. See on ainus põhjus, miks punasel meeskonnal on okei, kui ta üritab tegelikult sisse murda. Miski ei luba tal siiski olla vägivaldne. Punase meeskonna harjutus ei püüa kunagi turvameest vigastada või alistada, temast mööda hiilida ega petta.

Punase meeskonnaliikme vahistamise vältimiseks on neil üldjuhul kaasas allkirjastatud leping koos heakskiitva juhatuse liikmete allkirjadega. Kui ta tabatakse, saab seda kasutada selleks, et tõestada, et neil oli luba. Muidugi kasutatakse seda mõnikord topeltbluffina. Punane meeskond võib kaasas kanda kahte loalehte, ühte päris ja ühte võltsitud.

Kui nad tabatakse, annavad nad alguses võltsitud loalehe, et näha, kas nad suudavad turvalisust veenda, et see on seaduslik isegi siis, kui see pole nii. Sel eesmärgil kasutab see sageli ettevõtte juhatuse tegelikke nimesid, kuid sisaldab kinnitustelefoni numbrit, mis läheb teisele punasele meeskonnale, kes on saanud kaanelugu kinnitada. Muidugi, kui turvalisus sellest läbi näeb, antakse üle tõeline loaleht. Sellesse võib aga suhtuda suure kahtlusega.

Olenevalt sellest, kuidas punane meeskond tabati, võib olla võimalik testi jätkata, eeldades, et nad on neid tabanud turvatöötajast mööda läinud. Siiski on võimalik, et testija identiteet võidakse "puhastada", eemaldades nad sisuliselt mis tahes edasisest isiklikust testimisest. Sel hetkel võib mõni teine ​​meeskonnaliige turvalisust teavitades või ilma selleta vahetada.

Järeldus

Pentest on tegevus, mille käigus palutakse küberturvalisuse professionaalil testida arvutisüsteemi turvalisust. Test hõlmab haavatavuste käsitsi otsimist ja kontrollimist. Selle osana võib kasutada automatiseeritud tööriistu. Testi lõpus esitatakse aruanne, milles kirjeldatakse üksikasjalikult leitud probleeme ja antakse parandusnõuandeid.

On oluline, et see aruanne ei oleks ainult tööriista automatiseeritud väljund, vaid seda on käsitsi testitud ja kontrollitud. Testida saab iga arvutisüsteemi, riistvara, võrku, rakendust või seadet. Kõigi jaoks vajalikud oskused on erinevad, kuid sageli täiendavad üksteist.