Για αυτό και στο σημερινό άρθρο, θα μιλήσουμε για το:
– Τι είναι το penetration testing;
– Ποια τα είδη penetration testing;
– Ποιος πραγματοποιεί το penetration testing;
– Ποια η διαφορά μεταξύ penetration testing και vulnerability scan;
– Τα 6 στάδια penetration testing.
Ας ξεκινήσουμε, λοιπόν, από τον ορισμό.
Τι Είναι το Penetration Testing;
Penetration testing ή pen test είναι η προσομοίωση κυβερνοεπίθεσης σε ένα υπολογιστικό σύστημα, προκειμένου να εντοπιστούν πιθανές ευπάθειες του συστήματος και να αξιολογηθεί η κατάσταση κυβερνοασφάλειάς του.
Το penetration testing μπορεί να εφαρμοστεί για τον έλεγχο ασφαλείας λογισμικών, εφαρμογών, υπολογιστών, server και άλλων στοιχείων μιας IT υποδομής.
Πραγματοποιείται τόσο πριν την εφαρμογή λύσεων προστασίας της υποδομής όσο και μετά από αυτή, για να εκτιμηθεί η καταλληλότητα των υιοθετημένων λύσεων.
Ποιος Πραγματοποιεί το Penetration Testing;
To penetration testing πραγματοποιείται από εξειδικευμένους επαγγελματίες IT και, πιο συγκεκριμένα, από τους λεγόμενους ethical hackers.
Σε αντίθεση με τους κακόβουλους hackers, οι ethical hackers ανήκουν σε εξουσιοδοτημένες ομάδες IT και προσλαμβάνονται από επιχειρήσεις ακριβώς για να
προσπαθήσουν να “κρακάρουν” το υπολογιστικό σύστημα, να εντοπίσουν τις ευπάθειες και, έπειτα, να φροντίσουν για την κάλυψή τους.
Μάλιστα, το penetration testing απαιτεί ένα υψηλό επίπεδο γνώσεων, με αποτέλεσμα την υλοποίησή του να αναλαμβάνουν ειδικά εξειδικευμένοι επαγγελματίες IT με πολυετή εμπειρία στο χώρο αυτό.
Μετρώντας 20 χρόνια δραστηριότητας, η Orthology παρέχει ολοκληρωμένα πακέτα outsourced IT υπηρεσιών, περιλαμβάνοντας τη σχεδίαση, υλοποίηση και διαχείριση των λειτουργιών ενός σύγχρονου τμήματος IT και της κατάστασης κυβερνοασφάλειας του.
Εδώ, προκειμένου να κατανοήσουμε καλύτερα πώς ένας ειδικός IT πραγματοποιεί το penetration testing, ας προχωρήσουμε στα είδη στα οποία αυτό διακρίνεται.
Ποια τα Είδη Penetration Testing;
Τα είδη penetration testing διακρίνονται αναλόγως του τι πληροφορίες παρέχονται στον ethical hacker όσον αφορά το δίκτυο και της θέσης του σε σχέση με αυτό, δηλαδή του εάν θα προσπαθήσει να “επιτεθεί” μέσα από το δίκτυο ή εκτός αυτού.
Open-box pen test: Στο open-box test, ο hacker λαμβάνει ορισμένες πληροφορίες για το σύστημα της ασφαλείας της επιχείρησης, πριν πραγματοποιήσει το penetration testing.
Closed-box pen test: Αντιθέτως, στο closed-box test, δε λαμβάνει καμία πληροφορία παρά μόνο γνωρίζει ποια επιχείρηση είναι ο στόχος του.
Covert pen test: Προχωρώντας ένα βήμα παραπέρα, το covert pen test λαμβάνει χώρα όταν ούτε ο hacker ενημερώνεται για την κατάσταση ασφαλείας της υποδομής IT, αλλά ούτε η εσωτερική ομάδα IT ή λοιποί υπάλληλοι πληροφορούνται για το ότι πρόκειται να υλοποιηθεί penetration testing. Έτσι, η δοκιμή περιλαμβάνει και την εκτίμηση ευπαθειών αλλά και την αξιολόγηση της ετοιμότητας του τμήματος IT σε περιστατικά κυβερνοαπειλών.
Internal pen test: Ερχόμενοι σε μία διαφορετικού είδους διάκριση, ο hacker που πραγματοποιεί internal pen test προσπαθεί να εκμεταλλευτεί ευπάθειες του δικτύου υπολογιστών δρώντας “εσωτερικά”, δηλαδή ως εξουσιοδοτημένος χρήστης αυτού.
External pen test: Από την άλλη, στο external pen test, ο hacker δρα “εξωτερικά”, δηλαδή σαν κακόβουλος χρήστης που ακόμη δεν έχει αποκτήσει πρόσβαση στο δίκτυο και προσπαθεί να εισχωρήσει σε αυτό. Εδώ, συνήθως δοκιμάζεται και η αντοχή εξωτερικών ή συγκεντρωτικών συσκευών IT, όπως οι servers ή το cloud.
Έχοντας δει, λοιπόν, τον ορισμό του penetration testing και τα είδη αυτού, είναι λογικό ένας IT service provider ή εξοικειωμένος με το IT χρήστης να αναρωτηθεί ποια η διαφορά μεταξύ του penetration testing και του vulnerability scan και πότε πρέπει να επιλέξει το καθένα από τα δύο.
Ποια η Διαφορά μεταξύ Penetration Testing και Vulnerability Scan;
Ενώ τα vulnerability scans παρουσιάζουν μία αναλυτική κατάσταση των ευπαθειών σε ένα υπολογιστικό σύστημα, τα penetration testings ελέγχουν πιο ουσιαστικά το κατά εκμεταλλεύσιμες μπορούν να καταστούν οι ευπάθειες για την παραβίαση ενός δικτύου.
Ένα ειδικό λογισμικό vulnerability scan (vulnerability scanner) πραγματοποιεί αυτοματοποιημένη σάρωση ευπαθειών σε ένα δίκτυο, αξιολογεί τις ευπάθειες του δικτύου και τις ταξινομεί κατά προτεραιότητα.
Ωστόσο, αυτό που δεν μπορεί να κάνει είναι να αξιολογήσει τη γενικότερη κατάσταση κυβερνοασφαλείας του δικτύου και το κατά πόσο οι ευπάθειες αυτές καθίστανται πράγματι εκμεταλλεύσιμες από κακόβουλους hackers.
Εδώ, το penetration testing χρησιμοποιεί μεν τα αποτελέσματα του vulnerability scan, αλλά προχωράει ένα βήμα παραπέρα.
Σε ένα penetration testing, ο επαγγελματίας IT αξιολογεί σε πρώτο στάδιο κατά πόσο οι ευπάθειες επιτρέπουν πράγματι την είσοδο hackers, αλλά σε δεύτερο στάδιο κατά πόσο η εσωτερική ομάδα IT και τα ειλημμένα μέτρα ασφαλείας (π.χ. firewalls, VPN, anti-malware λογισμικά) μπορούν να αναχαιτίσουν τη διαδικασία εισόδου. Επομένως, προβαίνει σε μία συνολική εκτίμηση του επιπέδου ανταπόκρισης περιστατικά κυβερνοεπιθέσεων.
Επιπλέον, το penetration testing έρχεται να θέσει και τον ανθρώπινο παράγοντα. Ο επαγγελματίας που θα πραγματοποιήσει το penetration testing θα προσπαθήσει να μπει στη θέση του κυβερνοεπιτιθεμένου και να αποκτήσει πρόσβαση στα δεδομένα εκείνα που υποθετικά μπορούν να χρησιμοποιηθούν προς όφελός του τελευταίου.
Δηλαδή, μπορεί ένα vulnerability scan να έχει προτεραιοποιήσει ορισμένες ευπάθειες, οι οποίες, αφενός, εμφανίζονται σημαντικές βάσει τεχνικών προδιαγραφών, αφετέρου, είναι λιγότερο πιθανό να τις εκμεταλλευτεί κάποιος κυβερνοεπιτιθέμενος, γιατί δε θα του αποφέρουν οφέλη.
Τα παραπάνω δε σημαίνουν, βέβαια, ότι η σημασία ενός vulnerability scan είναι αμελητέα.
Η καλύτερη πρακτική αποδεικνύεται πάντα ο συνδυασμός vulnerability scan και penetration testing, καθώς επιταχύνεται και βελτιώνεται η προστασία του δικτύου.
Έχοντας λύσει κι αυτή την απορία, λοιπόν, μπορούμε να προχωρήσουμε στα έξι στάδια penetration testing που κάθε IT manager οφείλει να λάβει υπόψη.
Τα 6 Στάδια Penetration Testing
Τα στάδια που θα πρέπει να ακολουθήσει οποιοσδήποτε in-house ή outsourced IT manager είναι τα εξής έξι.
Στάδιο #1: Σχεδιασμός
Πριν το penetration testing, οι υπάλληλοι IT και η επιχείρηση θα πρέπει να συμφωνήσουν πάνω στο σκοπό του testing, τις πληροφορίες σχετικά με την ασφάλεια του δικτύου που πρόκειται να δοθούν και την έκταση των ενεργειών που θα πραγματοποιηθούν.
Στη βάση αυτή, οι υπάλληλοι IT μπορούν να ξεκινήσουν να σχεδιάζουν το πλάνο δράσης και τα εναλλακτικά σενάρια penetration testing.
Στάδιο #2: Αναγνώριση στόχων
Εφόσον έχει προηγηθεί η συμφωνία με την επιχείρηση και ο σχεδιασμός του πλάνου penetration testing, εκείνοι που θα το πραγματοποιήσουν οφείλουν πρώτα να ταυτοποιήσουν τους “στόχους” του testing.
Στόχοι μπορεί να είναι οι υπολογιστές, οι servers, το intranet, το cloud ή οποιοδήποτε άλλο στοιχείο της υποδομής IT της επιχείρησης.
Επομένως, στο στάδιο της αναγνώρισης οι υπάλληλοι IT στοιχεία, όπως είναι οι διευθύνσεις IP, η τυχόν προστασία των συσκευών με VPN ή firewall ή η σύνδεσή τους με άλλες συσκευές του δικτύου.
Στάδιο #3: Απόκτηση πρόσβασης
Μετά τα παραπάνω, οι ειδικοί IT που πραγματοποιούν το penetration testing μπορούν να ξεκινήσουν τις προσπάθειες για απόκτηση πρόσβασης στο δίκτυο της επιχείρησης.
Ως πύλες εισόδου για την πρόσβαση χρησιμοποιούνται είτε ευπάθειες που έχουν ανιχνευθεί ενδεχομένως και στο vulnerability scan είτε οι λεγόμενες backdoors.
Στάδιο #4: Ανάλυση και αναφορά
Καθ’ όλη τη διαδικασία απόκτησης πρόσβασης, ένας επαγγελματίας θα πρέπει να σημειώνει κάθε ενέργεια που πραγματοποίησε στο penetration testing, καθώς και τα σημεία που λειτούργησαν ως πύλες εισόδου.
Με αυτόν τον τρόπο, αξιολογούνται οι ευαλωτότητες του δικτύου και, μετέπειτα, τα μέτρα προστασίας που είτε έχουν ήδη ληφθεί είτε πρόκειται να ληφθούν.
Στάδιο #5: Αποκατάσταση συστήματος και εφαρμογή λύσεων
Απαραίτητο στάδιο μετά την υλοποίηση του penetration testing αποτελεί η αποκατάσταση του συστήματος.
Οι επαγγελματίες IT που προέβησαν σε penetration testing χρησιμοποιούν μεθόδους που μπορούν να ιχνηλατηθούν από κυβερνοεπιτιθεμένους και να χρησιμοποιηθούν από αυτούς για την απόκτηση μη εξουσιοδοτημένης πρόσβασης στο δίκτυο. Για αυτό, τα κενά ή “ίχνη” που έχουν δημιουργηθεί καλύπτονται αμέσως μετά το testing.
Παράλληλα με την αποκατάσταση, εφαρμόζονται και οι επιπλέον λύσεις κυβερνοασφάλειας που τυχόν κρίθηκαν αναγκαίες κατά το penetration testing.
Στάδιο #6: Επαναδοκιμή
Τέλος, μετά την αποκατάσταση και ενίσχυση της ασφάλειας του δικτύου της επιχείρησης, οι επαγγελματίες IT επαναδοκιμάζουν penetration testing.
Έτσι, εκτιμάται κατά πόσο έγιναν ορθά η αποκατάσταση και η εφαρμογή των νέων λύσεων κυβερνοασφάλειας και επιβεβαιώνεται ότι δεν υπάρχουν ευαλωτότητες που δεν ανιχνεύθηκαν την πρώτη φορά.
Με την επαναδοκιμή, λοιπόν, ολοκληρώνεται η διαδικασία του penetration testing.
Κλείνοντας και με αυτό το κομμάτι, ολοκληρώνουμε την ανάλυσή μας πάνω στο penetration testing. Επομένως, μπορούμε να κάνουμε μια σύνοψη των όσων είπαμε.
Με Λίγα Λόγια
Το penetration testing αποτελεί από τις αποδοτικότερες μεθόδους αξιολόγησης της κατάστασης κυβερνοασφάλειας μιας εταιρείας
Οι επαγγελματίες IT ή, αλλιώς, ethical hackers που καλούνται να πραγματοποιήσουν το penetration testing θα πρέπει να γνωρίζουν τι είδος testing πρόκειται να τεθεί σε εφαρμογή και να ακολουθήσουν αναλόγως τα απαιτούμενα στάδια της διαδικασίας penetration testing.
Συγχρόνως, θα πρέπει να γνωρίζουν πώς να εκμεταλλευτούν εργαλεία, όπως vulnerability scanners, και λοιπά λογισμικά κυβερνοασφάλειας που θα εφαρμόσουν, σε περίπτωση που διαπιστωθεί η ανάγκη κάλυψης ευπαθειών.
Εάν ανήκετε, λοιπόν, σε ομάδα IT που επιθυμεί να μάθει περισσότερα για το penetration testing ή να συνδυάσει την εφαρμογή penetration testing με αποδοτικές λύσεις κυβερνοασφάλειας, ενημερωθείτε για τις υπηρεσίες που προσφέρουμε εδώ και επικοινωνήστε μαζί μας