Kaj je pentest?

Programska oprema bo zagotovo imela napake. V programski opremi je lahko več tisoč vrstic kode in človeška napaka pomeni, da vsaj nekatere od njih ne bodo celotne, kot je bilo predvideno. Življenjski cikel razvoja programske opreme je proces, zasnovan tako, da poskuša z rednim testiranjem zmanjšati te težave.

Težava je v tem, da testiranje pogosto izvajajo razvijalci, ki so se morda naučili nekaj kodirati, vendar se morda niso naučili praks varnega kodiranja. Celo v temeljito preizkušenih sistemih lahko zunanji opazovalec pogleda in vnese novo perspektivo pri odkrivanju novih težav.

Običajen način, kako se to naredi, je penetracijski test, običajno skrajšan na pentest. To vključuje pridobitev profesionalnega, etičnega hekerja, pentesterja, da pregleda sistem in odkrije kakršne koli varnostne težave.

Namig: to je »pentest« in »pentester«, ne »pen test«. Pentester ne preizkuša pisal. "Preizkus s peresom" je nekoliko bolj sprejemljiv kot "preizkus s peresom", vendar se ga je na splošno treba izogibati.

Cilj pentesta

Cilj vsakega pentesta je identificirati vse varnostne ranljivosti v sistemu, ki se testira, in o njih poročati stranki. Običajno pa so posli nekoliko časovno omejeni glede na stroške. Če ima podjetje notranjega pentesterja ali pentest ekipo, lahko stalno delajo za podjetje. Kljub temu ima veliko podjetij z obsegom za to širok portfelj sistemov, ki jih je treba preizkusiti. To vključuje tako izdelke, ki se prodajajo, kot poslovne sisteme podjetja.

Kot taki ne morejo porabiti vsega časa za testiranje ene stvari. Mnoga podjetja za izvedbo posla raje najamejo zunanje podjetje za pentestiranje. To je še vedno časovno omejeno glede na stroške. Stroški so posledica dejstva, da je pentest zelo ročni postopek in tega nabora veščin primanjkuje.

Običajno bo pentest omejen na določen časovni okvir. To se naredi na podlagi zadevne tarče in časa, ki bi moral trajati, da smo razumno prepričani, da smo našli vse. Časovnica za iskanje ranljivosti je na splošno zvonasta krivulja. Ko pentester pregleduje aplikacijo, se ne najde veliko takoj. Nato je veliko večino ugotovitev mogoče doseči v določenem časovnem okviru, preden se zmanjša. Na neki točki stroški, ki bi jih porabili več časa za iskanje, niso vredni možnosti, da ni mogoče najti ničesar drugega.

Včasih je tudi navedena cena za priporočeni čas preveč. V tem primeru je lahko test »časovno omejen«. Tu se stranka strinja, da ne testira toliko, kot je priporočeno, ampak želi, da pentesterji naredijo najboljše, kar lahko, v skrajšanem časovnem okviru. Običajno je to v poročilo vključeno kot opozorilo.

Ročni postopek

Na voljo so nekatera orodja za samodejno izvajanje varnostnega testiranja. Ti so lahko koristni. Vendar imajo pogosto visoke lažno pozitivne in lažno negativne stopnje. To pomeni, da morate porabiti čas za brskanje po težavah s preverjanjem, saj veste, da morda ni celovito. Večina teh orodij išče specifične indikatorje, kot so znane ranljive različice programske opreme ali znane ranljive funkcije. Vendar pa obstaja veliko načinov, kako te težave v praksi ne bodo dejanske ali omiliti.

Varnostne ranljivosti se lahko združijo iz kopice na videz neškodljivih kosov. Najboljši način za odkrivanje tega je ročno človeško delo. Pentesterji uporabljajo orodja, vendar vedo, kako interpretirati rezultate, jih ročno preveriti in izvesti neodvisna ročna dejanja. Ta ročni napor loči pentest od pregleda ranljivosti ali ocene ranljivosti.

Vrste pentesta

Običajno pentest vključuje testiranje celotnega izdelka, kot bi bil uveden. V idealnem primeru se to zgodi v realnem proizvodnem okolju. Vendar to ni vedno praktično. Prvič, obstaja strah, da bi lahko pentest tarčo onemogočil. Na splošno je ta strah v bistvu neutemeljen. Pentesti na splošno ne ustvarijo preveč omrežnega prometa, morda enakovredno nekaj dodatnim aktivnim uporabnikom. Pentesterji prav tako ne bodo namerno testirali težav z zavrnitvijo storitve, zlasti v produkcijskih okoljih. Namesto tega običajno poročajo o domnevnih težavah z zavrnitvijo storitve, da stranki omogočijo, da to razišče sama.

Poleg tega velja omeniti, da če je sistem povezan z internetom, je ves čas podvržen »brezplačnim pentestom« pravih črnih hekerjev in njihovih botov. Drug razlog za izogibanje produkcijskim okoljem so težave z zasebnostjo uporabniških podatkov v živo. Pentesterji so etični hekerji v skladu z NDA in pogodbami, vendar če obstaja testno okolje in je podobno, ga je mogoče uporabiti.

Namig: »brezplačni pentest« je šaljiv način sklicevanja na napad črnih klobukov na internetu.

Penteste je mogoče izvesti proti skoraj kateremu koli tehničnemu sistemu. Spletna mesta in omrežna infrastruktura so najpogostejše vrste testov. Dobite tudi teste API-jev, teste »debelega odjemalca«, mobilne teste, teste strojne opreme in drugo.

Variacije na temo

Realno gledano so lažno predstavljanje, OSINT in vaje rdeče ekipe sorodne, a nekoliko drugačne. Verjetno se zavedate grožnje lažnega predstavljanja. Nekateri testi vključujejo testiranje, da bi ugotovili, kako se zaposleni odzivajo na e-poštna sporočila z lažnim predstavljanjem. S sledenjem, kako uporabniki komunicirajo – ali ne – z lažnim predstavljanjem, se je mogoče naučiti, kako prilagoditi prihodnje usposabljanje za lažno predstavljanje.

OSINT pomeni Open Source INTelligence. Test OSINT se vrti okoli strganja javno dostopnih informacij, da bi ugotovili, kako dragocene podatke je mogoče zbrati in kako jih uporabiti. To pogosto vključuje ustvarjanje seznamov zaposlenih na mestih, kot sta LinkedIn in spletno mesto podjetja. To lahko napadalcu omogoči identifikacijo vodilnih oseb, ki bi lahko bile dobre tarče za lažni napad, lažno predstavljanje, ki je posebej prilagojeno posameznemu prejemniku.

Sodelovanje rdeče ekipe je običajno veliko bolj poglobljeno in lahko vključuje nekatere ali vse druge komponente. Vključuje lahko tudi testiranje fizične varnosti in upoštevanja varnostne politike. Na politični strani stvari to vključuje socialni inženiring. To vas poskuša prepričati v zgradbo. To je lahko preprosto, kot je druženje v kadilnici in vrnitev s kadilci po premoru za kajenje.

Lahko se predstavljate kot uradnik ali prosite nekoga, naj vam odpre vrata, medtem ko nosi pladenj s skodelico kave. Na strani fizične varnosti lahko vključuje celo poskus fizičnega vloma, testiranje pokritosti kamere, kakovosti ključavnic in podobno. Angažmaji rdeče ekipe običajno vključujejo ekipo ljudi in lahko trajajo veliko daljša časovna obdobja kot običajni pentesti.

Rdeče ekipe

Vaja rdeče ekipe se morda zdi manj etična kot standardni pentest. Preizkuševalec aktivno preži na nič hudega sluteče zaposlene. Ključno je, da imajo dovoljenje vodstva podjetja, običajno na ravni upravnega odbora. To je edini razlog, da je v redu, da rdeči teamer dejansko poskuša vdreti. Nič pa ne dovoljuje, da bi bil nasilen. Vaja rdeče ekipe ne bo nikoli poskušala poškodovati ali podrediti varnostnika, ga obiti ali pretentati.

Da bi preprečili aretacijo rdečega moštva, bodo običajno nosili s seboj podpisano pogodbo s podpisi članov odbora za odobritev. Če jih ujamejo, lahko to uporabijo za dokaz, da so imeli dovoljenje. Seveda se včasih to uporabi kot dvojni blef. Rdeči teamer lahko nosi dve dovoljenji, eno pravo in eno ponarejeno.

Ko jih ujamejo, najprej izročijo ponarejeno dovoljenje, da bi videli, ali lahko varnostnike prepričajo, da je legitimno, tudi če ni. V ta namen bo pogosto uporabljal dejanska imena upravnega odbora podjetja, vendar bo vključeval telefonsko številko za preverjanje, ki bo namenjena drugemu rdečemu ekipi, ki je obveščen, da preveri zgodbo na naslovnici. Seveda, če varnostnik to vidi, se izroči potrdilo o pravem dovoljenju. Vendar se to lahko potem obravnava z velikim sumom.

Odvisno od tega, kako je bil rdeči teamer ujet, bo morda mogoče nadaljevati test, ob predpostavki, da so obšli posameznega varnostnika, ki jih je ujel. Vendar pa je možno, da je identiteta preizkuševalca "razkrita", kar ga v bistvu odstrani iz kakršnega koli nadaljnjega osebnega testiranja. Na tej točki lahko drug član ekipe zamenja z ali brez obveščanja varnostnikov.

Zaključek

Pentest je posel, pri katerem mora strokovnjak za kibernetsko varnost preizkusiti varnost računalniškega sistema. Test vključuje ročno iskanje in preverjanje prisotnosti ranljivosti. Kot del tega se lahko uporabljajo avtomatizirana orodja. Na koncu preizkusa je na voljo poročilo s podrobnostmi o odkritih težavah in nasveti za odpravo napak.

Pomembno je, da to poročilo ni samo avtomatiziran izhod orodja, temveč je bilo vse ročno preizkušeno in preverjeno. Vsak računalniški sistem, strojno opremo, omrežje, aplikacijo ali napravo je mogoče pentestirati. Spretnosti, potrebne za vsakega, se razlikujejo, vendar se pogosto dopolnjujejo.