A behatolásvizsgálat 5 legfontosabb típusa

A hackerek fenyegetése napról napra komolyabbá válik. A TechRepublic több mint 400 IT-biztonsági szakember körében végzett felmérése szerint 71%-uk tapasztalta a biztonsági fenyegetések vagy támadások növekedését a COVID-19 járvány kezdete óta. Ha egy hacker sikeresen áttöri az Ön védelmét, a károk – a hírnevét, az eredményt és a működési képességeket érintő károk – katasztrofálisak lehetnek.Ahhoz, hogy felmérje kiberbiztonsági védelmét és kiszűrje a kritikus informatikai rendszereinek sebezhetőségeit, fontolóra kell vennie a behatolásvizsgálat különböző típusait.

Mi a behatolásvizsgálat? És melyikre van szükség az Ön vállalatánál?

Nézzük át.

Mi az a behatolás teszt?

A penetrációs teszt, más néven pen-teszt, jellemzően egy biztonsági szakemberekből álló csapatot foglal magában, akik azon dolgoznak, hogy behatoljanak a vállalat hálózatába vagy szervereibe. Ezt úgy érik el, hogy azonosítják a sebezhetőségeket, majd kihasználják azokat. Emiatt a pen-teszteket gyakran nevezik az etikus hackelés egy fajtájának.

A pen-tesztek hatékony védelmi mechanizmusok, mivel a valós támadásokat utánozzák. Lehetővé teszik, hogy meglássa a kiberbiztonsági perem gyenge pontjait – legyenek azok hátsó ajtók az operációs rendszerben, nem szándékos tervezési hibák a kódban vagy helytelen szoftverkonfigurációk.

A rendszeres tesztek elvégzésének előnyei a következők:

  • Felfedi az alkalmazáskonfigurációkban és a hálózati infrastruktúrában rejlő veszélyforrásokat
  • Védi az IP-t, valamint az érzékeny és személyes adatokat
  • Kiemeli annak valós kockázatait, hogy egy tényleges hacker sikeresen áttöri a védelmét
  • Méri a kibervédelmi képességeit – a támadások észlelésére, majd a megfelelő időben történő reagálásra való képességét
  • .

  • Biztosítja, hogy hálózata és műveletei a nap 24 órájában zavartalanul működjenek, és ne szenvedjenek váratlan leállásokat
  • Fenntartja a szabályozásoknak és tanúsítványoknak, például a PCI-nek vagy az ISO-nak való megfelelést
  • Objektív harmadik fél véleményét nyújtja kiberbiztonsági erőfeszítéseinek hatékonyságáról

A behatolási teszteket úgy tervezték, hogy intenzívek és invazívak legyenek. A cél a teljes peremterület tesztelése, hogy minél több hasznosítható információhoz jusson. Per SC Magazine

A behatolási tesztek hardver, szoftver vagy firmware komponenseken végezhetők, és fizikai és technikai biztonsági ellenőrzéseket alkalmazhatnak. Gyakran a célrendszeren alapuló előzetes elemzés, majd a korábbi elemzéseken alapuló potenciális sebezhetőségek előzetes tesztelés előtti azonosításának sorrendjét követi. Ha ez megtörtént, az előzetes tesztelés segíthet az azonosított sebezhetőségek kihasználásának meghatározásában.

A tesztek megkezdése előtt mindkét félnek meg kell állapodnia a szabályrendszerrel. Ezután a teszteket az egész hálózatra alkalmazni kell.

Penetrációs tesztre van szükség? Tudjon meg többet.

A behatolási tesztek három formája

A behatolási tesztek elvégzésének három elsődleges módja van:

  • Black-box teszt
  • White-box teszt
  • Gray-box teszt

Black-box teszt

A fekete doboz tesztelés, más néven külső behatolás tesztelés, a szervezeten kívülről érkező támadást szimulálja.

A pen-tesztelő ugyanolyan alapokról indul, mint egy valódi hacker. Ez azt jelenti, hogy az informatikai infrastruktúráról és a biztonsági védekezésről kevés vagy semmilyen információval nem rendelkezik. Nem ismerik a következők belső működését:

  • A webes alkalmazások
  • A szoftverarchitektúra
  • A forráskód

A tesztelés ezen formája képet ad arról, hogy egy kívülállónak mit kellene tennie ahhoz, hogy áttörje az Ön védelmét. A tesztelés azonban nem ér véget ezen a ponton. Van még mit megtanulni. A tesztelő azt is látni akarja, hogy mekkora kárt tudna okozni, ha már egyszer bejutott a rendszerbe. Az Infosec Institute szerint:

A fekete dobozos behatolásvizsgálat a célhálózaton belül jelenleg futó programok és rendszerek dinamikus elemzésére támaszkodik. A fekete dobozos penetrációs tesztelőnek ismernie kell az automatizált szkennelési eszközöket és a manuális penetrációs tesztelés módszertanát. A fekete dobozos behatolásvizsgálóknak képesnek kell lenniük arra is, hogy megfigyeléseik alapján saját térképet készítsenek a célhálózatról, mivel ilyen diagramot nem kapnak.

Tipikusan a tesztelő az internetről megy be a routerbe, a tűzfal védelmének megkerülésére törekedve. Ezt úgy éri el, hogy egy mindenre kiterjedő, nyers erővel végrehajtott támadást indít az informatikai infrastruktúra ellen. Egyfajta próba és hiba megközelítést hajt végre, amelynek során automatizált folyamatok válogatás nélkül keresik a kihasználható sebezhetőségeket.

Egy fekete dobozos teszt alapos elvégzése akár hat hétig is eltarthat, bár a projekt terjedelmétől és a tesztelés szigorától függően még tovább is tarthat.

White-Box teszt

Ez a fajta pen-teszt, amelyet néha tiszta dobozos vagy belső tesztelésnek is neveznek, a tesztelőnek kezdettől fogva hozzáférést biztosít a forráskódhoz és a szoftver architektúrájához. Egy olyan alkalmazott vagy hacker támadását imitálja, aki már hozzáférést szerzett a rendszerhez.

A pen-tesztelő ugyanazokkal a jogosultságokkal kezd, mint amelyekkel egy felhatalmazott felhasználó rendelkezne. Innen próbálja kihasználni a rendszerszintű biztonsági és konfigurációs gyengeségeket. A teszt célja a különböző rendszerek alapos ellenőrzése és két kulcsfontosságú kérdés megválaszolása:

  1. Milyen mélyre tudna egy támadó hatolni a jogosultságok kiterjesztésével?
  2. Mekkora kárt tudna okozni a támadás?

Egy belső teszt akár két-három hétig is eltarthat.

Szürke dobozos behatolásvizsgálat

Amint a neve is mutatja, a szürke dobozos tesztelés a belső és a külső teszt közötti középutat jelenti. A tesztelő egy kívülről érkező támadást szimulál, csak ebben az esetben a hacker a felhasználó részleges tudásszintjével rendelkezik.

A cél a hibák keresése a kódszerkezetben vagy az alkalmazásban, a white-box és a black-box módszertanok keverékével. A hibrid teszt a felhasználói bemeneteket méri, hogy lássa, milyen kimeneteket produkál válaszul a szoftver. A tesztelés általában kézi folyamatok és automatizált programok kombinációjával történik.

A szürke dobozos tesztelésre szánt gyakori forgatókönyvek a következők:

  • A hacker rendelkezik felhasználói vagy adminisztrátori fiókkal, amellyel bejelentkezhet
  • A hacker mélyen ismeri az alkalmazás adatáramlását és architektúráját
  • A hacker hozzáfér a forráskód egyes részeihez

Mivel mindkét módszer keverékét használja, egyesek szerint ez a legjobb megtérülés az idő és az erőforrások számára. Mind a belső, mind a külső tesztelés számos előnyét nyújtja. Ennek ellenére a szürke dobozos teszt csak korlátozott lefedettséget biztosít az alkalmazás és a forráskód tekintetében. A helyzetet tovább bonyolítja, hogy a teszteket nem könnyű megtervezni.

A pen-tesztelés 5 típusa

Most, hogy áttekintettük a penetrációs teszt elvégzésének elsődleges módjait, elmerülhetünk a tesztek leggyakoribb típusaiban. A legtöbbjük a white-box és black-box tesztelési módszertanok kombinációját használja. Ezek közé tartoznak:

Hálózati szolgáltatás behatolásvizsgálata

A hálózati behatolásvizsgálat a kihasználható gyenge pontok azonosítására szolgál az Ön:

  • Hálózatok
  • Rendszerek
  • Hostok
  • Hálózati eszközök

A feladatunk az, hogy megtaláljuk, majd bezárjuk ezeket, mielőtt egy hacker kihasználná. Ha helyesen végzi a feladatot, bemutathatja azokat a valós sebezhetőségeket, amelyeket egy hacker kihasználva hozzáférhet érzékeny adatokhoz vagy átveheti az irányítást a rendszer felett. A feltárási folyamat lehetővé teszi a csapat számára, hogy jobb módszereket találjon a személyes adatok védelmére és a rendszer átvételének megakadályozására.

Miből áll?

A legtöbb penetrációs teszt a Penetration Testing Execution Standard (PTES) 7 lépését követi:

  • Megbízást megelőző interakciók – A belső csapat és a biztonsági partner találkozik, hogy megvitassák és meghatározzák a megbízás terjedelmét.
  • Információgyűjtés – A tesztelők igyekeznek feltárni az összes elérhető rendszert és azok különböző szolgáltatásait, hogy minél több információhoz jussanak.
  • Fenyegetésmodellezés – A tesztelő manuális teszteléssel és automatizált szkenneléssel azonosítja a rendszerben a kihasználható sebezhetőségeket.
  • Sebezhetőségi elemzés – A tesztelő dokumentálja és elemzi a legszembetűnőbb sebezhetőségeket, hogy támadási tervet dolgozzon ki.
  • Kihasználás – A tesztelő ténylegesen elvégzi a teszteket, hogy megpróbálja kihasználni a sebezhetőségeket.
  • Utólagos kihasználás – A tesztelő megpróbálja meghatározni a veszélyeztetett gép értékét, és megtartani az irányítást felette, hogy később felhasználható legyen.
  • Jelentés – A tesztelő összeállítja a megállapításokat, rangsorolja és rangsorolja a sebezhetőségeket, bizonyítékokat szolgáltat, és válaszlépéseket javasol.

Webalkalmazások behatolásvizsgálata

A webes alkalmazások elterjedése miatt nagyobb internetes erőforrásokat kell fordítani a szoftverek fejlesztésére és az alkalmazások megfelelő működéséhez szükséges konfigurálására. Ez azonban jelentős új támadási vektort is jelent a hackerek számára, különösen mivel egyes webalkalmazások érzékeny adatokat tartalmazhatnak.

A webalkalmazások behatolásvizsgálata arra törekszik, hogy információkat gyűjtsön a célrendszerről, sebezhetőségeket találjon, majd kihasználja azokat. A végcél a webalkalmazás teljes kompromittálása.

Ezt webalkalmazás behatolásvizsgálatnak (WAPT) is nevezik. A következő forgatókönyvek tesztelésére alkalmas:

  • Cross Site Scripting
  • SQL Injection
  • Törött hitelesítés és munkamenet-kezelés
  • File Upload hibák
  • Caching Servers támadások
  • Security Misconfigurations
  • Cross-…Site Request Forgery
  • Password Cracking

Gyakran tekintik “mélyebb merülés” tesztnek, a WAPT sokkal alaposabb és részletesebb, különösen a webes alkalmazások sebezhetőségének vagy gyenge pontjainak azonosítása során. Ennek eredményeképpen jelentős mennyiségű időt és erőforrást kell fordítani a webes alkalmazás egészének megfelelő tesztelésére.

Vezeték nélküli behatolásvizsgálat

A vezeték nélküli behatolásvizsgálat célja az üzleti wifi hálózathoz csatlakozó összes eszköz közötti kapcsolatok azonosítása, majd felmérése, beleértve a következőket:

  • Laptopok
  • Tabletek
  • Mobil eszközök
  • IoT eszközök

A tesztet a helyszínen végzik, mivel a pen-tesztelőnek a vezeték nélküli hálózat hatósugarában kell lennie ahhoz, hogy hozzáférjen ahhoz. A teszt célja pedig viszonylag egyszerű: megtalálni a wifi hozzáférési pontok sebezhetőségeit.

Melyek az ezzel kapcsolatos lépések?

  • Vezeték nélküli felderítés – Az információgyűjtés wardriving segítségével történik – vagyis a fizikai helyszín körbejárásával, hogy megnézzük, felbukkannak-e a wifi jelek.
  • Vezeték nélküli hálózatok azonosítása – A tesztelő csomagfelvétel és vezeték nélküli kártyafigyelés segítségével átvizsgálja és azonosítja a vezeték nélküli hálózatokat.
  • Sebezhetőségek kutatása – Miután a tesztelő megtalálja a wifi hozzáférési pontokat, megpróbálja azonosítani az adott hozzáférési pont sebezhetőségeit.
  • Kihasználás – A tesztelő háromféle módon próbálja kihasználni a sebezhetőségeket:
    • Egy legitim ügyfél hitelesítésének megszüntetése
    • A kezdeti négyutas kézfogás rögzítése
    • Offline szótári támadás lefuttatása egy elfogott kulcs ellen
  • Jelentés – A tesztelő a folyamat minden lépését dokumentálja, beleértve a részletes megállapításokat és az enyhítési javaslatokat.

Social Engineering behatolásvizsgálat

A szervezetének legjelentősebb biztonsági kockázata – mindenekelőtt az alkalmazottai. A Security Magazine szerint:

A kiberbűnözők agresszívan veszik célba az embereket, mert csalárd e-maileket küldeni, hitelesítő adatokat ellopni és rosszindulatú mellékleteket feltölteni felhőalkalmazásokba egyszerűbb és sokkal jövedelmezőbb, mint egy drága, időigényes, nagy valószínűséggel kudarcot valló exploitot létrehozni. A kibertámadások több mint 99 százaléka emberi interakcióra támaszkodik ahhoz, hogy működjön, ami az egyes felhasználókat a védelem utolsó vonalává teszi.

Ha a biztonság javítására tett kísérletei nem terjednek ki az alkalmazottakra, akkor minden erőfeszítése hiábavaló lesz. Ők kell, hogy a legfontosabbak legyenek.

A social engineering behatolási teszt során a tesztelő megpróbálja meggyőzni vagy becsapni az alkalmazottakat, hogy adjanak meg érzékeny információkat, például felhasználónevet vagy jelszót.

A social engineering behatolási támadásoknak számos fajtája létezik, többek között:

  • Phishing
  • Vishing
  • Smishing
  • Impersonation
  • Tailgating
  • .

  • USB drops
  • Watering hole
  • Whaling attack
  • Pretexting
  • Quid pro quo attack
  • Baiting
  • Dumperster diving

A dolgozók tudatosságának növelése és a gyakori social engineering támadásokról szóló képzés az egyik legjobb módja annak, hogy megelőzzük egy támadás bekövetkezését vagy sikerét.

Fizikai behatolásvizsgálat

A fizikai behatolásvizsgálat a biztonság megsértésének régimódi módját szimulálja.

A pen-tesztelő megpróbál áthatolni a fizikai biztonsági akadályokon, és bejutni a vállalkozás biztonsági infrastruktúrájába, épületeibe vagy rendszereibe. Teszteli a különböző fizikai ellenőrzéseket, amelyekkel rendelkezik, többek között:

  • Határok
  • Kamerák
  • Szenzorok
  • Zárak
  • Alarmok
  • Biztonsági őrök

Bár ezt gyakran utólagosnak tekintik, ha egy hacker fizikailag képes megkerülni a biztonsági rendszerét, majd bejutni a szerverszobába, könnyen átveheti az irányítást a hálózata felett. Ezért kritikus fontosságú, hogy a fizikai biztonsági helyzetét ugyanolyan szigorúan védje, mint a kiberbiztonsági peremét.

RSI Security – The Pen Testing Experts

A pen-tesztelés az egyik legjobb módja annak, hogy mérje a kiberbiztonság és a fizikai biztonság hatékonyságát. Akár white-box, black-box vagy gray-box módszertant használ, minden pen-teszt egy valós támadás szimulálására törekszik – csak a következmények nélkül.

Most öt alapvető penetrációs tesztelési típus létezik, többek között:

  1. Hálózati szolgáltatás
  2. Webalkalmazás
  3. Vezeték nélküli
  4. Social engineering
  5. Fizikai

Az összes ilyen teszt rendszeres elvégzésével biztosíthatja, hogy kibervédelme megbízható legyen.

De kire támaszkodhat ezeknek a különböző teszteknek a megfelelő elvégzésében?

Az RSI Security a penetrációs tesztelési szolgáltatások szakértője. Több évtizedes tapasztalatunknak köszönhetően pontosan tudjuk, hogy mi szükséges ahhoz, hogy felmérjük kiberbiztonsági védelmét, majd kezeljük az égbekiáltó gyengeségeket.

Készen áll a kezdésre? Mi is.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.