Top 5 rodzajów testów penetracyjnych

Eskalujące zagrożenie ze strony hakerów staje się z każdym dniem coraz poważniejsze. Ankieta TechRepublic przeprowadzona wśród ponad 400 specjalistów ds. bezpieczeństwa IT wykazała, że 71% z nich zaobserwowało wzrost zagrożeń bezpieczeństwa lub ataków od początku epidemii COVID-19. Jeśli haker z powodzeniem naruszy Twoje zabezpieczenia, szkody – dla Twojej reputacji, wyniku finansowego i możliwości operacyjnych – mogą być katastrofalne.Aby zmierzyć poziom obrony cyberbezpieczeństwa i wykryć luki w krytycznych systemach IT, musisz rozważyć różne rodzaje testów penetracyjnych.

Co to są testy penetracyjne? I który z nich jest potrzebny Twojej firmie?

Zapoznajmy się z tym.

Co to jest test penetracyjny?

Test penetracyjny, nazywany również pen testem, zazwyczaj angażuje zespół specjalistów ds. bezpieczeństwa, którzy pracują nad penetracją sieci lub serwerów Twojej firmy. Osiągają to poprzez identyfikację podatności, a następnie ich wykorzystanie. Z tego powodu, pen testy są często określane jako rodzaj etycznego hakowania.

Pen testy są skutecznym mechanizmem obronnym, ponieważ naśladują ataki w świecie rzeczywistym. Pozwalają dostrzec słabe punkty na granicy bezpieczeństwa cybernetycznego – czy będą to backdoory w systemie operacyjnym, niezamierzone wady projektowe w kodzie, czy też niewłaściwe konfiguracje oprogramowania.

Korzyści z okresowego przeprowadzania testów obejmują:

  • Ujawnia zagrożenia w konfiguracjach aplikacji i infrastrukturze sieciowej
  • Chroni IP, a także wrażliwe i prywatne dane
  • Uwydatnia realne zagrożenia związane z tym, że rzeczywisty haker z powodzeniem naruszy Twoją obronę
  • Pomiar Twoich możliwości cyberobrony – Twojej zdolności do wykrywania ataków, a następnie reagowania na nie w odpowiednim czasie
  • .
  • Zapewnia, że Twoja sieć i operacje działają sprawnie 24/7 i nie doświadczają niespodziewanych przestojów
  • Utrzymuje zgodność z przepisami i certyfikatami takimi jak PCI lub ISO
  • Dostarcza obiektywną opinię trzeciej strony na temat skuteczności Twoich wysiłków w zakresie cyberbezpieczeństwa

Testy penetracyjne są zaprojektowane jako intensywne i inwazyjne. Celem jest przetestowanie całego obwodu, aby uzyskać jak najwięcej informacji, które można wykorzystać. Według SC Magazine

Testy penetracyjne mogą być przeprowadzane na komponentach sprzętowych, programowych lub firmware i mogą obejmować fizyczne i techniczne kontrole bezpieczeństwa. Często opierają się na sekwencji wstępnej analizy systemu docelowego, a następnie na wstępnej identyfikacji potencjalnych podatności w oparciu o wcześniejsze analizy. Po jej zakończeniu, test wstępny może pomóc w określeniu wykorzystania zidentyfikowanych podatności.

Obydwie strony muszą zgodzić się na zestaw zasad przed rozpoczęciem testów. Następnie, testy muszą zostać zastosowane w całej sieci.

Potrzebujesz testu penetracyjnego? Dowiedz się więcej.

Trzy formy testów penetracyjnych

Istnieją trzy podstawowe sposoby przeprowadzania testów penetracyjnych:

  • Test czarnej skrzynki
  • Test białej skrzynki
  • Test szarej skrzynki

Test czarnej skrzynki

Test czarnej skrzynki, znany również jako zewnętrzny test penetracyjny, symuluje atak z zewnątrz Twojej organizacji.

Pen-tester zaczyna na tej samej stopie, na której zaczynałby prawdziwy haker. Oznacza to, że zaczyna z niewielką lub żadną ilością informacji o infrastrukturze IT i zabezpieczeniach. Nie znają oni wewnętrznego działania:

  • Aplikacji internetowych
  • Architektury oprogramowania
  • Kodu źródłowego

Ta forma testowania daje ci wyobrażenie o tym, co osoba z zewnątrz musiałaby zrobić, aby naruszyć twoje zabezpieczenia. Ale test nie kończy się tylko na tym punkcie. Jest jeszcze więcej do nauczenia się. Tester chce również sprawdzić, jak duże szkody może wyrządzić, gdy już znajdzie się w systemie. Według Infosec Institute:

Testy penetracyjne typu black-box polegają na dynamicznej analizie aktualnie działających programów i systemów w sieci docelowej. Tester penetracyjny black-box musi znać narzędzia do automatycznego skanowania oraz metodologię ręcznego testowania penetracyjnego. Testerzy penetracyjni muszą również być w stanie stworzyć własną mapę sieci docelowej na podstawie swoich obserwacji, ponieważ żaden schemat nie jest im dostarczany.

Typowo, tester przechodzi z Internetu do routera, starając się ominąć zabezpieczenia firewalla. Osiąga to poprzez przeprowadzenie ataku typu „brute force” na infrastrukturę IT. Wykonuje on swego rodzaju metodę prób i błędów, w której zautomatyzowane procesy bezkrytycznie poszukują podatności, które można wykorzystać.

Test czarnej skrzynki może trwać do sześciu tygodni, chociaż może trwać nawet dłużej, w zależności od zakresu projektu i rygoru testowania.

Test białej skrzynki

Czasami określany jako test czystej skrzynki lub test wewnętrzny, ten rodzaj testu pen daje testerowi dostęp do kodu źródłowego i architektury oprogramowania od samego początku. Naśladuje on atak pracownika lub hakera, który już uzyskał dostęp do systemu.

Pen-tester zaczyna z takimi samymi uprawnieniami, jakie miałby autoryzowany użytkownik. Stamtąd próbuje wykorzystać słabe punkty zabezpieczeń i konfiguracji na poziomie systemu. Celem tego testu jest przeprowadzenie dogłębnego audytu różnych systemów i udzielenie odpowiedzi na dwa kluczowe pytania:

  1. Jak głęboko atakujący mógłby się posunąć poprzez eskalację uprawnień?
  2. Jak duże szkody mógłby spowodować atak?

Test wewnętrzny może trwać od dwóch do trzech tygodni.

Testy penetracyjne Gray-Box

Jak sama nazwa wskazuje, test gray-box jest pośrednim pomiędzy testem wewnętrznym a zewnętrznym. Tester symuluje atak z zewnątrz, z tą różnicą, że w tym przypadku haker posiada częściowy poziom wiedzy użytkownika.

Jego celem jest poszukiwanie defektów w strukturze kodu lub aplikacji, przy użyciu mieszanki metodologii white-box i black-box. Test hybrydowy mierzy dane wejściowe użytkownika, aby zobaczyć, jakie dane wyjściowe produkuje oprogramowanie w odpowiedzi. Ogólnie rzecz biorąc, test będzie przeprowadzany poprzez połączenie procesów ręcznych i programów automatycznych.

Wspólne scenariusze, dla których przeznaczony jest test gray-box obejmują:

  • Haker ma konta użytkowników lub administratorów, którymi może się zalogować
  • Haker ma głębokie zrozumienie przepływu danych i architektury aplikacji
  • Haker ma dostęp do części kodu źródłowego

Ponieważ wykorzystuje on mieszankę obu metodologii, niektórzy uważają go za najlepszy ROI dla Twojego czasu i zasobów. Dostarcza wielu korzyści zarówno z testu wewnętrznego, jak i zewnętrznego. Niemniej jednak, test gray-box zapewnia jedynie ograniczone pokrycie aplikacji i kodu źródłowego. Aby uczynić sprawy bardziej skomplikowane, testy nie są łatwe do zaprojektowania.

5 rodzajów testów penetracyjnych

Teraz, gdy omówiliśmy podstawowe sposoby przeprowadzania testów penetracyjnych, możliwe jest zanurzenie się w najbardziej powszechnych rodzajach testów. Większość z nich będzie wykorzystywała kombinację metodologii testów białej i czarnej skrzynki. Należą do nich:

Testy penetracyjne usług sieciowych

Test penetracyjny sieci jest używany do identyfikacji możliwych do wykorzystania słabych punktów w twojej sieci:

  • Sieci
  • Systemów
  • Hostów
  • Urządzeń sieciowych

Twoją misją jest ich znalezienie, a następnie zamknięcie, zanim haker będzie mógł je wykorzystać. Prawidłowo przeprowadzony proces może wykazać rzeczywiste podatności, które haker mógłby wykorzystać w celu uzyskania dostępu do poufnych danych lub przejęcia kontroli nad systemem. Proces odkrywania pozwala Twojemu zespołowi znaleźć lepsze sposoby ochrony prywatnych danych i zapobiec przejęciu kontroli nad systemem.

Co obejmuje?

Większość testów penetracyjnych przebiega zgodnie z 7 krokami standardu wykonania testów penetracyjnych (PTES):

  • Interakcje przed zaangażowaniem – Wewnętrzny zespół i partner z działu bezpieczeństwa spotykają się, aby omówić i zdefiniować zakres zaangażowania.
  • Zbieranie informacji – Testerzy starają się odkryć wszystkie dostępne systemy i ich różne usługi w celu uzyskania jak największej ilości informacji.
  • Modelowanie zagrożeń – Tester identyfikuje możliwe do wykorzystania podatności w systemie, poprzez testowanie ręczne i skanowanie automatyczne.
  • Analiza podatności – Tester dokumentuje i analizuje najbardziej rażące podatności w celu sformułowania planu ataku.
  • Eksploracja – Tester faktycznie przeprowadza testy, próbując wykorzystać podatności.
  • Posteksploatacja – Tester stara się określić wartość skompromitowanej maszyny i utrzymać nad nią kontrolę, aby można ją było wykorzystać w późniejszym czasie.
  • Raportowanie – Tester kompiluje wyniki, ustalając ranking i priorytety podatności, dostarczając dowodów i zalecając środki zaradcze.

Test penetracyjny aplikacji internetowych

Rozwój aplikacji internetowych spowodował, że większe zasoby internetowe muszą być przeznaczone na rozwój oprogramowania i konfigurację aplikacji, aby działały prawidłowo. Jednak stanowi to również nowy, znaczący wektor ataku dla hakerów, zwłaszcza że niektóre aplikacje internetowe mogą przechowywać poufne dane.

Testy penetracyjne aplikacji internetowych mają na celu zebranie informacji o systemie docelowym, znalezienie luk, a następnie ich wykorzystanie. Celem końcowym jest całkowite skompromitowanie aplikacji internetowej.

Badanie to znane jest również jako Web Application Penetration Testing (WAPT). Jest on w stanie przetestować następujące scenariusze:

  • Cross Site Scripting
  • SQL Injection
  • Broken authentication and session management
  • File Upload flaws
  • Caching Servers Attacks
  • Security Misconfigurations
  • Cross-Site Request Forgery
  • Password Cracking

Często postrzegany jako test „głębszego nurkowania”, WAPT jest znacznie bardziej dokładny i szczegółowy, szczególnie jeśli chodzi o identyfikację podatności lub słabości w aplikacjach internetowych. W rezultacie, znaczna ilość czasu i zasobów musi być poświęcona, aby odpowiednio przetestować całą aplikację internetową.

Bezprzewodowe testy penetracyjne

Bezprzewodowe testy penetracyjne mają na celu identyfikację, a następnie ocenę połączeń pomiędzy wszystkimi urządzeniami podłączonymi do sieci wifi w Twojej firmie, w tym:

  • Laptopy
  • Tablety
  • Urządzenia mobilne
  • Urządzenia IoT

Test przeprowadzany jest na miejscu, ponieważ pen tester musi być w zasięgu sieci bezprzewodowej, aby uzyskać do niej dostęp. A cel testu jest stosunkowo prosty: znaleźć luki w punktach dostępu wifi.

Jakie kroki są podejmowane?

  • Rozpoznanie sieci bezprzewodowej – Informacje są zbierane poprzez wardriving, który polega na jeżdżeniu wokół fizycznej lokalizacji w celu sprawdzenia, czy pojawiają się sygnały wifi.
  • Identyfikacja sieci bezprzewodowych – Tester skanuje i identyfikuje sieci bezprzewodowe używając przechwytywania pakietów i monitorowania kart bezprzewodowych.
  • Badanie podatności – Po tym jak tester znajdzie punkty dostępowe wifi, próbuje zidentyfikować luki w tym punkcie dostępowym.
  • Eksploracja – Tester próbuje wykorzystać luki na jeden z trzech sposobów:
    • De-autentykacja legalnego klienta
    • Przechwycenie początkowego 4-way handshake
    • Przeprowadzenie offline’owego ataku słownikowego na przechwycony klucz
  • Raportowanie – Tester dokumentuje każdy krok procesu, włączając w to szczegółowe ustalenia i rekomendacje dotyczące łagodzenia skutków.

Test penetracyjny inżynierii społecznej

Najbardziej znaczącym zagrożeniem dla bezpieczeństwa Twojej organizacji są Twoi pracownicy. Według Security Magazine:

Cyberprzestępcy agresywnie celują w ludzi, ponieważ wysyłanie fałszywych wiadomości e-mail, kradzież danych uwierzytelniających i przesyłanie złośliwych załączników do aplikacji w chmurze jest łatwiejsze i bardziej opłacalne niż tworzenie drogich, czasochłonnych exploitów o wysokim prawdopodobieństwie niepowodzenia. Ponad 99 procent cyberataków opiera się na interakcji międzyludzkiej, co czyni indywidualnych użytkowników ostatnią linią obrony.

Jeśli próba poprawy bezpieczeństwa nie obejmuje pracowników, to wszystkie wysiłki pójdą na marne. To oni powinni być Twoim głównym zmartwieniem.

W przypadku testu penetracyjnego z wykorzystaniem inżynierii społecznej, tester próbuje przekonać lub oszukać pracowników do podania poufnych informacji, takich jak nazwa użytkownika lub hasło.

Istnieją różne rodzaje socjotechnicznych ataków penetracyjnych, w tym:

  • Phishing
  • Vishing
  • Smishing
  • Impersonation
  • Tailgating
  • .

  • USB drops
  • Watering hole
  • Whaling attack
  • Pretexting
  • Atak quid pro quo
  • Baiting
  • Dumperster diving

Poprawa świadomości pracowników i zapewnienie szkoleń na temat powszechnych ataków socjotechnicznych to jeden z najlepszych sposobów, w jaki można zapobiec wystąpieniu lub powodzeniu ataku.

Fizyczny test penetracyjny

Fizyczny test penetracyjny symuluje stary, szkolny sposób naruszania bezpieczeństwa.

Tester penetracyjny próbuje ominąć fizyczne bariery bezpieczeństwa i uzyskać dostęp do infrastruktury bezpieczeństwa, budynków lub systemów Twojej firmy. Testuje on różne fizyczne środki kontroli, które zostały wprowadzone, w tym:

  • Bariery
  • Kamery
  • Czujniki
  • Zamki
  • Alarmy
  • Strażnicy

Choć często jest to postrzegane jako rzecz dodatkowa, jeśli haker jest w stanie fizycznie obejść zabezpieczenia, a następnie uzyskać dostęp do serwerowni, mogą łatwo przejąć kontrolę nad siecią. Tak więc, jest to krytyczne, że fizyczna postawa bezpieczeństwa jest tak samo rygorystycznie chroniona jak cyberbezpieczeństwo.

RSI Security – The Pen Testing Experts

Pen testy są jednym z najlepszych sposobów, że można zmierzyć skuteczność cyberbezpieczeństwa i bezpieczeństwa fizycznego. Bez względu na to, czy używasz metodologii white-box, black-box, czy gray-box, każdy test pen ma na celu symulację rzeczywistego ataku – tylko bez konsekwencji.

Dzisiaj, istnieje pięć podstawowych rodzajów testów penetracyjnych, w tym:

  1. Usługa sieciowa
  2. Aplikacja webowa
  3. Bezprzewodowa
  4. Inżynieria społeczna
  5. Fizyczna

Wykonując wszystkie te testy okresowo, możesz mieć pewność, że Twoja cyberobrona jest solidna.

Ale na kim możesz polegać, jeśli chodzi o odpowiednie przeprowadzenie tych różnych testów?

RSI Security jest ekspertem w dziedzinie usług testów penetracyjnych. Dzięki naszemu kilkudziesięcioletniemu doświadczeniu wiemy dokładnie, co jest potrzebne, aby ocenić Twoją obronę cybernetyczną, a następnie zająć się jej rażącymi słabościami.

Jesteś gotowy, aby zacząć? My również.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.