attack, unsecured, laptop-6806140.jpg

Brug en penetrationstest til at finde sårbarheder før de kriminelle gør

Hvad er penetrationstest?

Penetrationstest er en proces, hvor en sikkerhedsmedarbejder simulerer et angreb på et netværk eller computersystem for at evaluere dets sikkerhed – med tilladelse fra systemets ejere.

Lad ikke ordet “simulerer” narre: En penetrationstest, også kaldt pentest, bringer alle de værktøjer og teknikker i den virkelige verden som hackere i øvrigt bruger til at ramme deres mål. Men i stedet for at bruge de oplysninger, de afdækker, eller den kontrol, de får for deres egen personlige berigelse, rapporterer de deres resultater til målsystemernes ejere, så deres sikkerhed kan forbedres.

Fordi en pentest følger den samme drejebog som en ”rigtig” hacker, er pentest undertiden benævnt ethical hacking eller white hat hacking; i de tidlige dage af pentest, var mange af disse white hat hackere praktiserende kriminelle hackere, før de blev lovlydige. Det er dog noget mindre almindeligt i dag. Du kan også støde på udtrykket rødt hold eller red team, der stammer fra navnet på det hold, der spiller “fjenden” i krigsspil scenarier i militæret. Pentest kan udføres af teams eller individuelle hackere, der kan være interne medarbejdere i målvirksomheden eller kan arbejde uafhængigt eller for sikkerhedsfirmaer, der leverer specialiserede penetrationstesttjenester.

Hvordan fungerer en pentest?

I bred forstand fungerer en pentest på nøjagtig samme måde, som et reelt forsøg på at bryde en organisations systemer. Pentesterne begynder med at undersøge og tage fingeraftryk af de værter, porte og netværkstjenester, der er knyttet til målorganisationen. De vil derefter undersøge potentielle sårbarheder, og yderligere detaljerede mål i systemet. Til sidst vil de forsøge at bryde gennem det elektroniske perimeterforsvar til deres mål og få adgang til beskyttede data eller få kontrol over systemerne.

Detaljerne kan naturligvis variere meget; der er forskellige typer pentests, og vi vil diskutere variationerne i næste afsnit. Men det er vigtigt at bemærke først, at den nøjagtige type test udført og omfanget af det simulerede angreb skal aftales på forhånd mellem testere og målorganisationen. En pentest, der med succes overtræder en organisations vigtige systemer eller data, kan forårsage stor vrede eller forlegenhed blandt organisationens it- eller sikkerhedsledelse, og det er ikke uhørt for målorganisationer at hævde, at penestere overskred grænser eller brød ind i systemer med data af høj værdi, som de ikke var autoriseret til at teste – og som følge heraf true med sagsanlæg. Fastsættelse af de grundregler for, hvad en bestemt pentest vil dække og hvordan testen skal arbejde.

Typer af pentest

Der er flere vigtige beslutninger, der vil bestemme formen af din pentest og opdeler testtyper i en række kategorier:

En ekstern pentest simulerer, hvad du måske forestiller dig som et typisk hackerscenarie, hvor en outsider undersøger målorganisationens perimeterforsvar for at forsøge at finde svagheder at udnytte.

En intern test viser derimod, hvad en hacker, der allerede er inde i netværket – en utilfreds medarbejder, en entreprenør med forbryderiske hensigter eller en superstjernehacker, der kommer forbi omkredsen – ville være i stand til at gøre det.

En blindtest simulerer et rigtigt angreb fra en hacker. Pentesteren får ingen oplysninger om organisationens netværk eller systemer, hvilket tvinger dem til at stole på oplysninger, der enten er offentligt tilgængelige, eller som de kan indsamle med deres egne færdigheder.

En dobbelt blindtest simulerer også et rigtigt angreb i organisationen, men i denne type test udføres pentesten, hemmelig for IT- og sikkerhedspersonale for at sikre, at virksomhedens typiske sikkerhedsholdning testes.

En målrettet test, også kaldet en light-on test, involverer både pentestere og organisationens it-afdeling gennemfører et simuleret “krigspil” i et bestemt scenario med fokus på et bestemt aspekt af netværksinfrastrukturen. En målrettet test kræver generelt mindre tid eller kræfter end de andre muligheder, men giver ikke så komplet et billede.

I en black box-test vil white hat team ikke vide noget om deres mål og derfor teste sværhedsgraden af at få information og lære af organisationen og systemerne. I en white box-test, vil pentestere have adgang til alle former for systemartefakter, herunder kildekode, binære filer, containere, og nogle gange endda de servere, der kører systemet; Målet her er at bestemme, hvor hærdet organisationens systemer er når en virkelig kyndig insider søger at eskalere deres tilladelser til at komme ind til værdifulde data. Selvfølgelig kan en rigtig hacker foreløbige viden ligge et sted mellem disse to poler, og så kan du også udføre en grey box-test, der afspejler dette scenario.

Pentesttrin

Mens hver af disse forskellige former for penetrationstest vil have unikke aspekter, fastlægger Penetration Test Executing Standard (PTES), udviklet af en gruppe brancheeksperter, syv brede trin vil være en del af de fleste pentestscenarier:

Pre-engagement interaktioner: Som vi har bemærket, bør enhver pentest indledes med testere og målorganisation, der etablerer testens omfang og mål, helst skriftligt.

Indsamling af efterretninger: Testeren bør begynde med at udføre rekognoscering mod et mål og indsamle så mange oplysninger som muligt. En proces der kan omfatte indsamling af såkaldte open source-intelligens eller offentligt tilgængelige oplysninger om målorganisationen.

Trusselsmodellering: I denne fase skal pentesteren modellere mulighederne og motivationerne bag en potentiel reel hacker og forsøge at bestemme, hvilke mål i målorganisationen der kan tiltrække hackerens opmærksomhed.

Sårbarhedsanalyse: Dette er sandsynligvis kernen i, hvad de fleste mennesker tænker på, når det kommer til pentest: analysere målet organisationens infrastruktur for sikkerhedshuller, der vil tillade et hack.

Udnyttelse: I denne fase bruger pentesteren de sårbarheder, de har opdaget, til at indtaste målorganisationens systemer og udtrække data. Målet her er ikke kun at bryde deres perimeter, men at omgå aktive modforanstaltninger og forblive uopdaget så længe som muligt.

Post-udnyttelse: I denne fase forsøger pentesteren at bevare kontrollen over de systemer, de har brudt, og fastslå deres værdi. Dette kan være en særlig vanskelig fase med hensyn til forholdet mellem pennetesterne og deres kunder; Det er vigtigt her, at interaktionerne før engagementet i første fase resulterede i et veldefineret sæt grundregler, der beskytter slutbruger og sikrer, at ingen væsentlige tjenester her påvirkes negativt af testen.

Rapportering: Endelig skal testeren være i stand til at levere en omfattende og informativ rapport til deres klient om de risici og sårbarheder, de opdagede.

Værktøjer til pentest

Pentesterens pakke af værktøjer er stort set identisk med, hvad en kriminel hacker bruger. Sandsynligvis det vigtigste værktøj er Kali Linux, et operativsystem specielt optimeret til brug i pentest. Kali (som de fleste pentestere er mere tilbøjelige til at implementere i en virtuel maskine i stedet for indbygget på deres egen hardware) er udstyret med en hel suite af nyttige programmer.

Kilde: CSO

Scroll til toppen