Kas ir Pentest?

Programmatūrā tiek garantētas kļūdas. Programmatūrā var būt tūkstošiem koda rindu, un cilvēka kļūda nozīmē, ka vismaz dažas no tām nebūs pilnīgas, kā paredzēts. Programmatūras izstrādes dzīves cikls ir process, kas paredzēts, lai mēģinātu samazināt šīs problēmas, regulāri pārbaudot.

Problēma ir tā, ka testēšanu bieži veic izstrādātāji, kuri, iespējams, ir iemācījušies kaut ko kodēt, bet, iespējams, nav apguvuši drošas kodēšanas praksi. Pat rūpīgi pārbaudītās sistēmās ārēja novērotāja skatīšanās un jauna perspektīva var palīdzēt noteikt jaunas problēmas.

Izplatīts veids, kā to izdarīt, ir iespiešanās tests, kas parasti tiek saīsināts līdz pentest. Tas nozīmē, ka profesionāls, ētisks hakeris, pielūdzējs, apskata sistēmu un atrod visas drošības problēmas.

Padoms. Tas ir “pentest” un “pentester”, nevis “pildspalvas tests”. Pentester nepārbauda pildspalvas. “Pildspalvas tests” ir nedaudz pieņemamāks nekā “pildspalvas tests”, taču parasti arī no tā vajadzētu izvairīties.

Pentesta mērķis

Jebkura pentesta mērķis ir identificēt visas pārbaudāmās sistēmas drošības ievainojamības un ziņot par tām klientam. Tomēr parasti saistībām ir zināmi laika ierobežojumi, pamatojoties uz izmaksām. Ja uzņēmumam ir iekšēja pentester vai pentest komanda, viņi var pastāvīgi strādāt uzņēmumā. Tomēr daudziem uzņēmumiem, kuriem ir šāda mēroga mērogs, ir plašs sistēmu portfelis, kas ir jāpārbauda. Tas ietver gan pārdotos produktus, gan uzņēmuma biznesa sistēmas.

Tādējādi viņi nevar pavadīt visu laiku, lai pārbaudītu vienu lietu. Daudzi uzņēmumi izvēlas nolīgt ārēju pārbaudes uzņēmumu, lai veiktu uzdevumu. Tas joprojām ir ierobežots, pamatojoties uz izmaksām. Izmaksas nosaka fakts, ka pentests ir ļoti manuāls process un prasmju komplekts ir nepietiekams.

Parasti pentests tiks attiecināts uz noteiktu laika posmu. Tas tiek darīts, pamatojoties uz konkrēto mērķi un to, cik ilgi vajadzētu būt pietiekami pārliecinātam, ka viss ir atrasts. Laika grafiks ievainojamību atrašanai parasti ir zvana līkne. Nekas daudz netiek atrasts uzreiz, jo pentester apskata aplikāciju. Tad lielāko daļu atradumu var sasniegt noteiktā laika skalā, pirms tie tiek samazināti. Kādā brīdī izmaksas par vairāk laika pavadīšanu meklēšanā nav tādas iespējas vērtas, ka nav nekā cita, ko atrast.

Dažreiz pat piedāvātā cena ieteicamajam laikam ir par daudz. Šajā gadījumā tests var būt “laika lodziņā”. Šeit klients pieņem, ka viņš neveic tik daudz testu, kā ieteikts, bet vēlas, lai dalībnieki darītu visu iespējamo īsākā laika posmā. Parasti tas ziņojumā ir iekļauts kā brīdinājums.

Manuālais process

Ir pieejami daži rīki, lai automātiski veiktu drošības pārbaudi. Tie var būt noderīgi. Tomēr tiem bieži ir augsts viltus pozitīvu un viltus negatīvu rādītājs. Tas nozīmē, ka jums ir jāpavada laiks, pārbaudot problēmas, zinot, ka tā var nebūt visaptveroša. Lielākā daļa no šiem rīkiem meklē konkrētus rādītājus, piemēram, zināmās neaizsargātās programmatūras versijas vai zināmās neaizsargātās funkcijas. Tomēr ir daudz veidu, kā tos praktiski novērst vai mazināt.

Drošības ievainojamības var rasties no daudziem šķietami nekaitīgiem elementiem. Labākais veids, kā to pamanīt, ir roku darbs. Piedalīšanās dalībnieki izmanto rīkus, taču zina, kā interpretēt rezultātus, manuāli tos pārbaudīt un veikt neatkarīgas manuālas darbības. Šī manuālā darbība atdala pentest no ievainojamības skenēšanas vai ievainojamības novērtējuma.

Pentest veidi

Parasti pentests ietver visa produkta testēšanu tā, kā tas būtu izvietots. Ideālā gadījumā tas notiek reālā ražošanas vidē. Tomēr tas ne vienmēr ir praktiski. Pirmkārt, pastāv bažas, ka pentest varētu notriekt mērķi bezsaistē. Kopumā šīs bailes būtībā ir nepamatotas. Pentesti parasti nerada pārāk daudz tīkla trafika, iespējams, līdzvērtīgi dažiem īpaši aktīviem lietotājiem. Pentesters arī apzināti nepārbaudīs pakalpojuma atteikuma veida problēmas, it īpaši ražošanas vidēs. Tā vietā parasti viņi ziņos par aizdomām par pakalpojuma atteikuma problēmām, lai klients varētu to izmeklēt pats.

Turklāt ir vērts atzīmēt, ka, ja sistēma ir savienota ar internetu, tā pastāvīgi tiek pakļauta “bezmaksas pentestiem” no īstiem melno cepuru hakeriem un viņu robotiem. Vēl viens iemesls, kā izvairīties no ražošanas vides, ir privātuma problēmas ar reāllaika lietotāju datiem. Pentesteri ir ētiski hakeri saskaņā ar NDA un līgumiem, taču, ja testa vide pastāv un ir līdzīga, to var izmantot.

Padoms. “Bezmaksas pentests” ir smieklīgs veids, kā atsaukties uz to, ka internetā tiek uzbrukts melnās cepures.

Pentestus var veikt būtībā pret jebkuru tehnoloģiju sistēmu. Vietnes un tīkla infrastruktūra ir visizplatītākie testu veidi. Jūs saņemat arī API testus, “biezo klientu” testus, mobilos testus, aparatūras testus un daudz ko citu.

Variācijas par tēmu

Reāli pikšķerēšanas, OSINT un sarkanās komandas vingrinājumi ir saistīti, taču nedaudz atšķiras. Jūs, visticamāk, apzināties pikšķerēšanas draudus. Daži testi ietver testēšanu, lai noskaidrotu, kā darbinieki reaģē uz pikšķerēšanas e-pastiem. Izsekojot to, kā lietotāji mijiedarbojas vai nē, ar pikšķerēšanu, ir iespējams uzzināt, kā pielāgot turpmākās pikšķerēšanas apmācības.

OSINT apzīmē Open Source INtelligence. OSINT tests ir vērsts uz publiski pieejamas informācijas nokasīšanu, lai noskaidrotu, kā var savākt vērtīgus datus un kā tos izmantot. Tas bieži ietver darbinieku sarakstu ģenerēšanu no tādām vietām kā LinkedIn un uzņēmuma vietne. Tas var ļaut uzbrucējam identificēt vecākas personas, kas varētu būt labi mērķi pikšķerēšanas uzbrukumam, kas ir īpaši pielāgots konkrētajam adresātam.

Sarkanās komandas iesaistīšanās parasti ir daudz padziļinātāka un var ietvert dažus vai visus citus komponentus. Tas var ietvert arī fiziskās drošības un drošības politikas ievērošanas pārbaudi. No politikas puses tas ir saistīts ar sociālo inženieriju. Tas mēģina pārliecināt jūsu ceļu uz ēku. Tas var būt tikpat vienkārši kā izklaidēties smēķēšanas zonā un atgriezties kopā ar smēķētājiem pēc dūmu pauzes.

Tā var būt uzdošanās par ierēdni vai lūgt kādam attaisīt jums durvis, nesot kafijas krūzes paliktni. No fiziskās drošības puses tas var ietvert pat mēģinājumus fiziski ielauzties, pārbaudīt kameras pārklājumu, slēdzeņu kvalitāti un tamlīdzīgi. Sarkanās komandas iesaistīšanās parasti ietver cilvēku komandu un var ilgt daudz ilgāku laiku nekā parastie pentesti.

Sarkanās komandas

Sarkanās komandas vingrinājums var šķist mazāk ētisks nekā standarta pentests. Testētājs aktīvi medī nenojaušus darbiniekus. Galvenais ir tas, ka viņiem ir atļauja no uzņēmuma vadības, parasti no valdes līmeņa. Tas ir vienīgais iemesls, kāpēc sarkanajam komandas dalībniekam ir pareizi mēģināt ielauzties. Tomēr nekas neļauj tam būt vardarbīgam. Sarkanās komandas vingrinājumā nekad netiks mēģināts ievainot vai pakļaut apsargu, viņus apiet vai piemānīt.

Lai sarkanais komandas dalībnieks netiktu arestēts, viņiem parasti būs parakstīts līgums ar apstiprinājuma valdes locekļu parakstiem. Ja noķer, to var izmantot, lai pierādītu, ka viņiem bija atļauja. Protams, dažreiz tas tiek izmantots kā dubultblefs. Sarkanais komandas dalībnieks var nēsāt divas atļaujas lapiņas, vienu īstu un vienu viltotu.

Kad viņi tiek pieķerti, viņi sākotnēji nodod viltotu atļaujas lapiņu, lai noskaidrotu, vai viņi var pārliecināt drošību, ka tā ir likumīga, pat ja tā nav. Šim nolūkam tajā bieži tiks izmantoti uzņēmuma valdes faktiskie nosaukumi, taču tajā ir iekļauts verifikācijas tālruņa numurs, kas tiek nosūtīts citam sarkanajam komandas darbiniekam, kas ir informēts, lai pārbaudītu vāka stāstu. Protams, ja apsardze to redz cauri, tiek nodota īstā atļaujas lapiņa. Tomēr pret to var izturēties ar lielām aizdomām.

Atkarībā no tā, kā sarkanais komandas dalībnieks tika pieķerts, iespējams, būs iespējams turpināt pārbaudi, pieņemot, ka viņi ir apieti individuālo apsardzes darbinieku, kurš viņu ir pieķēris. Tomēr ir iespējams, ka testētāja identitāte var tikt “izpūsta”, tādējādi viņu būtībā noņemot no jebkādas turpmākas klātienes pārbaudes. Šajā brīdī cits komandas loceklis var apmainīties ar vai neinformējot apsardzi.

Secinājums

Pentests ir iesaistīšanās, kurā kiberdrošības speciālists tiek lūgts pārbaudīt datorsistēmas drošību. Pārbaude ietver manuālu ievainojamību meklēšanu un pārbaudi. Kā daļu no tā var izmantot automatizētus rīkus. Pārbaudes beigās tiek sniegts ziņojums, kurā sīki aprakstītas konstatētās problēmas un sniegti ieteikumi par to novēršanu.

Ir svarīgi, lai šis pārskats nebūtu tikai rīka automatizēta izvade, bet arī tas viss būtu manuāli pārbaudīts un pārbaudīts. Jebkuru datorsistēmu, aparatūru, tīklu, lietojumprogrammu vai ierīci var pārbaudīt. Katram vajadzīgās prasmes atšķiras, bet bieži vien tās papildina.


Kā piespiest Google Chrome vienmēr rādīt pilnus URL

Kā piespiest Google Chrome vienmēr rādīt pilnus URL

Chrome pēc noklusējuma nerāda pilnu URL. Iespējams, šī detaļa jums pārāk nerūp, taču, ja kāda iemesla dēļ jums ir nepieciešams parādīt pilnu URL, skatiet detalizētus norādījumus par to, kā pārlūkprogrammai Google Chrome adreses joslā parādīt pilnu URL.

Kā atgūt veco Reddit

Kā atgūt veco Reddit

Reddit 2024. gada janvārī atkal mainīja dizainu. Pārveidojumu var redzēt galddatoru pārlūkprogrammas lietotāji, un tas sašaurina galveno plūsmu, vienlaikus nodrošinot saites.

Kā kopēt saturu no mācību grāmatām, izmantojot Google Lens

Kā kopēt saturu no mācību grāmatām, izmantojot Google Lens

Iecienītākā citāta ierakstīšana no grāmatas pakalpojumā Facebook ir laikietilpīga un pilna ar kļūdām. Uzziniet, kā izmantot Google Lens, lai kopētu tekstu no grāmatām savās ierīcēs.

Īss ceļvedis par atgādinājumu izveidi pakalpojumā Google sākumlapa

Īss ceļvedis par atgādinājumu izveidi pakalpojumā Google sākumlapa

Atgādinājumi vienmēr ir bijuši Google Home galvenais akcents. Tie noteikti atvieglo mūsu dzīvi. Apskatīsim īsu ceļvedi par to, kā pakalpojumā Google Home izveidot atgādinājumus, lai jūs nekad nepalaistu garām svarīgu uzdevumu veikšanu.

Labot servera DNS adresi pārlūkā Chrome nevarēja atrast

Labot servera DNS adresi pārlūkā Chrome nevarēja atrast

Dažreiz, kad strādājat pārlūkā Chrome, nevarat piekļūt noteiktām vietnēm un tiek parādīts kļūdas ziņojums “Labot servera DNS adresi pārlūkā Chrome nevarēja atrast”. Lūk, kā jūs varat atrisināt problēmu.

Netflix: mainiet paroli

Netflix: mainiet paroli

Kā nomainīt paroli Netflix straumēšanas video pakalpojumā, izmantojot vēlamo pārlūkprogrammu vai Android lietotni.

Kā atspējot lapu atjaunošanas uzvedni programmā Microsoft Edge

Kā atspējot lapu atjaunošanas uzvedni programmā Microsoft Edge

Ja vēlaties atbrīvoties no ziņojuma Atjaunot lapas programmā Microsoft Edge, vienkārši aizveriet pārlūkprogrammu vai nospiediet atkāpšanās taustiņu.

Kā eksportēt Chrome grāmatzīmes

Kā eksportēt Chrome grāmatzīmes

Navigācija internetā bieži vien šķiet kā ceļojums bezgalīgajā zināšanu okeānā, kur jūsu iecienītākās vietnes un tīmekļa lapas ir pazīstamas.

Kā izmantot Microsoft Edge Drop kā profesionālis

Kā izmantot Microsoft Edge Drop kā profesionālis

Izmantojiet Microsoft Edge Drop un viegli kopīgojiet failus un ziņojumus starp ierīcēm, veicot šīs iesācējiem draudzīgās darbības.

Kā saglabāt un koplietot maršrutus pakalpojumā Google Maps

Kā saglabāt un koplietot maršrutus pakalpojumā Google Maps

Skatiet, cik viegli ir saglabāt un kopīgot maršrutus pakalpojumā Google Maps datorā un Android ierīcē. Apskatiet šīs iesācējiem draudzīgās darbības.