Mikä on Pentest?

Ohjelmistossa on takuulla bugeja. Ohjelmistoissa voi olla useita tuhansia koodirivejä, ja inhimillinen erehtyvyys tarkoittaa, että ainakaan osa niistä ei ole täydellisiä, kuten on tarkoitettu. Ohjelmistokehityksen elinkaari on prosessi, joka on suunniteltu minimoimaan nämä ongelmat säännöllisesti testaamalla.

Ongelmana on, että testauksen tekevät usein kehittäjät, jotka ovat ehkä oppineet koodaamaan jotain, mutta eivät ehkä ole oppineet turvallisia koodauskäytäntöjä. Jopa perusteellisesti testatuissa järjestelmissä ulkopuolisen tarkkailijan katsominen ja uuden näkökulman tuominen voi auttaa tunnistamaan uusia ongelmia.

Yleinen tapa, jolla tämä tehdään, on penetraatiotesti, joka tyypillisesti lyhennetään pentestiksi. Tämä edellyttää, että ammattimainen, eettinen hakkeri, pentester, saa tutkia järjestelmää ja löytää tietoturvaongelmat.

Vinkki: Se on "pentest" ja "pentester", ei "kynätesti". Pentesteri ei testaa kyniä. "Kynätesti" on hieman hyväksyttävämpi kuin "kynätesti", mutta yleensä myös sitä tulisi välttää.

Pentestin tavoite

Minkä tahansa pentestin tavoitteena on tunnistaa kaikki testattavan järjestelmän tietoturva-aukot ja raportoida niistä asiakkaalle. Tyypillisesti toimeksiannot ovat kuitenkin jonkin verran aikarajoitettuja kustannusten perusteella. Jos yrityksellä on sisäinen pentester tai pentest-tiimi, he voivat työskennellä yrityksessä vakinaisesti. Silti monilla yrityksillä, joilla on tähän mittakaava, on laaja valikoima järjestelmiä, jotka on testattava. Tämä sisältää sekä myytävät tuotteet että yrityksen liiketoimintajärjestelmät.

He eivät voi käyttää kaikkea aikaansa yhden asian testaamiseen. Monet yritykset haluavat palkata ulkopuolisen testausyrityksen suorittamaan toimeksiannon. Tämä on edelleen ajallisesti rajoitettu kustannusten perusteella. Kustannuksiin vaikuttaa se, että pentesti on hyvin manuaalinen prosessi ja että osaamisesta on pulaa.

Tyypillisesti pentest rajoittuu tiettyyn aikaväliin. Tämä tehdään sen perusteella, mikä kohde on kyseessä ja kuinka kauan pitäisi kestää, ennen kuin on kohtuullisen varma, että kaikki on löytynyt. Haavoittuvuuksien löytämisen aikajana on yleensä kellokäyrä. Paljon ei löydy heti, kun pentesteri katselee sovellusta. Silloin suurin osa löydöksistä voidaan saavuttaa tietyssä aikaskaalassa ennen kuin ne vähenevät. Jossain vaiheessa etsimiseen kuluva lisäaika ei ole sen mahdollisuuden arvoinen, ettei mitään muuta löydy.

Joskus jopa suositeltu hinta on liikaa. Tässä tapauksessa testi voi olla "aikalaatikollinen". Tässä asiakas hyväksyy, että he eivät testaa niin paljon kuin suositellaan, mutta haluavat testaajien tekevän parhaansa lyhyemmässä ajassa. Yleensä tämä sisältyy raporttiin varoituksena.

Manuaalinen prosessi

Joitakin työkaluja on saatavilla turvatestauksen suorittamiseen automaattisesti. Näistä voi olla hyötyä. Niillä on kuitenkin usein korkea vääriä positiivisia ja vääriä negatiivisia kertomuksia. Tämä tarkoittaa, että sinun on vietettävä aikaa ongelmien tarkistamiseen tietäen, että se ei välttämättä ole kattava. Useimmat näistä työkaluista etsivät erityisiä osoittimia, kuten tunnettuja haavoittuvia ohjelmistoversioita tai tunnettuja haavoittuvia toimintoja. On kuitenkin monia tapoja, joilla nämä eivät käytännössä ole todellisia ongelmia tai lieventää niitä.

Tietoturva-aukkoja voi muodostua joukosta vaarattomalta vaikuttavia osia. Paras tapa havaita tämä on ihmisen manuaalinen ponnistus. Pentesterit käyttävät työkaluja, mutta osaavat tulkita tuloksia, tarkistaa ne manuaalisesti ja suorittaa itsenäisiä manuaalisia toimia. Tämä manuaalinen toimenpide erottaa pentestin haavoittuvuuden tarkistuksesta tai haavoittuvuuden arvioinnista.

Pentestin tyypit

Tyypillisesti pentestissä testataan koko tuote sellaisena kuin se otetaan käyttöön. Ihannetapauksessa tämä tapahtuu todellisessa tuotantoympäristössä. Tämä ei kuitenkaan aina ole käytännöllistä. Ensinnäkin, on pelko, että pentest voisi lyödä kohteen offline-tilassa. Yleensä tämä pelko on pohjimmiltaan aiheeton. Pentestit eivät yleensä tuota liikaa verkkoliikennettä, ehkä muutamaa ylimääräistä aktiivista käyttäjää. Pentesters eivät myöskään tarkoituksella testaa palvelunestotyyppisiä ongelmia, etenkään tuotantoympäristöissä. Sen sijaan he yleensä ilmoittavat epäillyistä palvelunesto-ongelmista, jotta asiakas voi tutkia ne itse.

Lisäksi on syytä huomata, että jos järjestelmä on yhteydessä Internetiin, se on jatkuvasti "ilmaisten pentestien" alainen oikeilta mustahattu-hakkereilta ja heidän robotiltaan. Toinen syy tuotantoympäristöjen välttämiseen on tietosuojaongelmat reaaliaikaisten käyttäjätietojen kanssa. Pentesters ovat eettisiä hakkereita NDA-sopimusten ja sopimusten nojalla, mutta jos testiympäristö on olemassa ja se on samanlainen, sitä voidaan käyttää.

Vinkki: "Ilmainen pentest" on hauska tapa viitata mustien hattujen hyökkäyksen kohteeksi internetissä.

Pentestit voidaan suorittaa periaatteessa mitä tahansa teknistä järjestelmää vastaan. Verkkosivustot ja verkkoinfrastruktuuri ovat yleisimmät testityypit. Saat myös API-testejä, "paksu asiakas" -testejä, mobiilitestejä, laitteistotestejä ja paljon muuta.

Muunnelmia teemasta

Realistisesti phishing-, OSINT- ja red team -harjoitukset liittyvät toisiinsa, mutta hieman erilaisia. Olet todennäköisesti tietoinen tietojenkalastelun uhasta. Joissakin testeissä testataan, kuinka työntekijät reagoivat tietojenkalasteluviesteihin. Seuraamalla, kuinka käyttäjät ovat vuorovaikutuksessa – tai eivät – tietojenkalastelijoiden kanssa, on mahdollista oppia räätälöimään tulevaa tietojenkalastelukoulutusta.

OSINT tulee sanoista Open Source INtelligence. OSINT-testi pyörii julkisesti saatavilla olevan tiedon keräämisen ympärillä nähdäkseen, kuinka arvokasta tietoa voidaan kerätä ja miten sitä voitaisiin käyttää. Tämä edellyttää usein työntekijöiden luetteloiden luomista LinkedInistä ja yrityksen verkkosivuilta. Tämä voi antaa hyökkääjälle mahdollisuuden tunnistaa korkean tason henkilöitä, jotka voivat olla hyviä kohteita keihäs-phishing-hyökkäykselle, joka on räätälöity erityisesti yksittäiselle vastaanottajalle.

Punaisen tiimin sitoutuminen on tyypillisesti paljon syvällisempää ja voi sisältää joitain tai kaikkia muita osia. Se voi sisältää myös fyysisen turvallisuuden ja turvallisuuspolitiikan noudattamisen testaamisen. Poliittisella puolella tämä liittyy sosiaaliseen suunnitteluun. Se yrittää vakuuttaa pääsysi rakennukseen. Tämä voi olla yhtä yksinkertaista kuin hengailla tupakointialueella ja palata tupakoitsijoiden kanssa savutauon jälkeen.

Se voi olla virkamiehenä esiintymistä tai pyytää jotakuta hankkimaan sinulle ovi kahvikuppitarjottimen mukana. Fyysisen turvallisuuden puolella se voi jopa sisältää fyysisen murtautumisyrityksen, kameran peiton, lukkojen laadun ja vastaavien testaamisen. Punaisten tiimien sitoumuksiin liittyy tyypillisesti joukko ihmisiä, ja ne voivat kestää paljon pidempään kuin tavalliset pentestit.

Punaiset joukkueet

Punaisen joukkueen harjoitus voi tuntua vähemmän eettiseltä kuin tavallinen pentest. Testaaja saalistaa aktiivisesti hyväuskoisia työntekijöitä. Tärkeintä on, että heillä on lupa yrityksen johdolta, tyypillisesti hallitustasolta. Tämä on ainoa syy, miksi punainen tiimiläinen voi yrittää murtautua sisään. Mikään ei kuitenkaan salli hänen olla väkivaltaista. Punaisen joukkueen harjoitus ei koskaan yritä vahingoittaa tai alistaa vartijaa, ohittaa tai huijata häntä.

Punaisen tiimin pidättämisen estämiseksi heillä on yleensä mukanaan allekirjoitettu sopimus, jossa on hyväksynnän hyväksyneiden hallituksen jäsenten allekirjoitukset. Jos kiinni jää, tätä voidaan käyttää todistamaan, että heillä oli lupa. Tietenkin joskus tätä käytetään kaksoisbluffina. Punainen tiimiläinen voi kantaa mukanaan kaksi lupatodistusta, yhden oikean ja yhden väärennetyn.

Kun he jäävät kiinni, he luovuttavat ensin väärennetyn lupalipun nähdäkseen, voivatko he vakuuttaa turvallisuuden siitä, että se on laillista, vaikka se ei ole sitä. Tätä tarkoitusta varten se käyttää usein yrityksen hallituksen todellisia nimiä, mutta sisältää vahvistuspuhelinnumeron, joka menee toiselle punaiselle tiimille, joka on neuvottu vahvistamaan kansitarina. Tietysti, jos turvallisuus näkee tämän läpi, todellinen lupalappu luovutetaan. Tähän voidaan kuitenkin suhtautua erittäin epäluuloisesti.

Riippuen siitä, miten punainen tiimiläinen saatiin kiinni, voi olla mahdollista jatkaa testiä olettaen, että he ovat ohittaneet yksittäisen vartijan, joka on saanut hänet kiinni. On kuitenkin mahdollista, että testaajan identiteetti saatetaan "puhaltaa", mikä käytännössä poistaa hänet kaikista lisätestauksista. Tässä vaiheessa toinen tiimin jäsen voi vaihtaa paikkaa ilmoittamalla turvallisuudesta tai ilmoittamatta siitä.

Johtopäätös

Pentest on toimeksianto, jossa kyberturvallisuuden ammattilaista pyydetään testaamaan tietokonejärjestelmän turvallisuutta. Testi sisältää haavoittuvuuksien etsimisen ja tarkistamisen manuaalisesti. Osana tätä voidaan käyttää automaattisia työkaluja. Testin lopussa annetaan raportti, jossa esitetään yksityiskohtaisesti havaitut ongelmat ja annetaan korjausohjeita.

On tärkeää, että tämä raportti ei ole vain työkalun automaattinen tulos, vaan se on kaikki manuaalisesti testattu ja vahvistettu. Mikä tahansa tietokonejärjestelmä, laitteisto, verkko, sovellus tai laite voidaan pentestata. Jokaiseen tarvittavat taidot vaihtelevat, mutta usein täydentävät toisiaan.