5 typov penetračných testov: Čo o nich musíte vedieť?

V dnešnom svete neustále rastúcich bezpečnostných hrozieb je penetračné testovanie zásadnou súčasťou akejkoľvek stratégie riadenia zraniteľností. Black-hat hackeri-niekedy podporovaní priemyselníkmi alebo vládami-sa neustále pokúšajú prelomiť obranu siete pomocou novo objavených zneužiteľných zraniteľností..

To znamená, že penetračné testovanie je zásadným riešením. Pomáha odhaliť zneužiteľné zraniteľnosti vo vašich systémoch a umožňuje vám ich opraviť skôr, ako ich hackeri pokúšajúci sa z nich profitovať, skutočne využiť. Najprv však musíte porozumieť penetračnému testovaniu a jeho druhom. Začnime.

Čo je to penetračné testovanie?

Penetračné testovanie je proces etického hackovania systému, tj. spustenie sady útokov proti sieti alebo systému na testovanie jej obranných mechanizmov. Okrem toho vykonáva komplexnú analýzu zraniteľností systému, ktorá vám pomáha zlepšiť jeho kybernetickú bezpečnosť.

Typy penetračných testov

Existuje mnoho typov penetračného testovania, ale je primárne zaradených do piatich kategórií, ako je uvedené nižšie. Tieto kategórie samozrejme testujú niektoré konkrétne oblasti zraniteľností alebo slabých miest v sieti alebo systéme.

Tieto kategórie sú odvodené z rozsahu penetračného testu. Jeho rozsah, t. J. Úroveň prieniku alebo prieniku do systému, závisí od druhu bezpečnostnej analýzy požadovanej organizáciou. Preto musí pentester poznať požiadavky a potom rozhodnúť o najrelevantnejšom type penetračného testovania na vykonanie bezpečnostnej analýzy. To znamená, pozrime sa na typy.

1. Testy sieťových služieb

Cieľom testu sieťových služieb je nájsť medzery v zabezpečení a slabé miesta v sieťovej infraštruktúre organizácie. Pretože sieť môže mať interné aj externé koncové body, je dôležité spustiť testy pre oba prístupové body, to znamená, že testy sa vykonávajú zvnútra aj mimo organizácie..

To znamená, že testy zahrnujú sieťové oblasti a sadu softvérových modulov používaných v cieľovej organizácii vrátane serverov na výmenu pošty, sieťových databáz a ďalších nástrojov. Zahŕňajú tiež kontrolu sieťových brán firewall, systémov detekcie a prevencie narušenia, systémov názvov domén atď.

2. Testy webových aplikácií

Test webovej aplikácie je cielený test – podrobný a intenzívny – ktorý testuje štíty webovej aplikácie. Ide o takú hĺbku, ako je testovanie jej komponentov vrátane apletov, doplnkov, skriptov atď. Tiež testuje všetky koncové body aplikácie, ku ktorej majú používatelia aplikácie prístup alebo s ktorou môžu interagovať, napríklad prostredníctvom internetu..

Je to nevyhnutné, pretože „test penetrácie webových aplikácií hľadá všetky problémy s bezpečnosťou, ktoré by mohli nastať v dôsledku neistého vývoja, dizajnu alebo kódovania, na identifikáciu potenciálnych zraniteľností vašich webových stránok a webových aplikácií vrátane CRM, extranetov a interne vyvinutých programov – čo by mohlo viesť k odhaleniu osobných údajov, informácií o kreditnej karte atď., “hovorí Kontaktujte.

Test obsahuje komponenty, pretože webová aplikácia môže mať komponenty tretích strán vrátane knižníc s otvoreným zdrojovým kódom. A necertifikované, netestované knižnice môžu obsahovať otvorené chyby zabezpečenia, ktoré by mohli využiť hackeri.

3. Testy na strane klienta

Test na strane klienta len testuje lokálne bezpečnostné hrozby, ktoré sa vyskytujú na strane klienta, t. J. Vo vnútri organizácie. Na užívateľskej pracovnej stanici môže napríklad existovať aplikácia, ktorá má medzery v zabezpečení, ktoré by hackerom umožnili ich zneužitie, čo by im ďalej umožnilo ohroziť cieľovú aplikáciu..

Medzi ne samozrejme patrí softvér tretích strán, ako sú prehrávače médií, kancelárske aplikácie, textové editory a balíky produktivity vrátane Adobe Photoshop, Google Chrome, Microsoft Office atď. Zahŕňa aj testovanie domácich aplikácií, pretože môžu zahŕňať netestované , zraniteľné open-source knižnice.

4. Testy bezdrôtovej siete

Cieľom testu bezdrôtovej siete je analyzovať bezdrôtové zariadenia v organizácii. Zoznamy zariadení môžu zahŕňať smartfóny a tablety, notebooky a stolné počítače atď. Tieto testy môžu okrem toho zahŕňať bezdrôtové protokoly a prístupové body používané pre bezdrôtové siete v organizácii..

Cieľom je zistiť slabé miesta v bezdrôtových sieťach a ľudí, ktorí zneužívajú alebo porušujú svoje práva pri používaní bezdrôtových sietí. Testy zahŕňajú falšovanie adries a využívanie šifrovacích protokolov, predvolených alebo slabých hesiel, nesprávnej konfigurácie webového servera, bezdrôtového prenosu atď..

5. Testy sociálneho inžinierstva

Cieľom testu sociálneho inžinierstva je otestovať ľudskú sieť, tj. Pracovnú silu organizácie. Napodobňuje útoky sociálneho inžinierstva, aby pomohla analyzovať neistých ľudí, ktorí môžu potrebovať určité vzdelanie (povedzme online bezpečnostné školenie), aby sa chránili pred technikami sociálneho inžinierstva.

“Tvoja bezpečnosť je len taká silná, ako najslabší článok tvojho reťazca.” Ľudia robia chyby a dajú sa ľahko manipulovať. Najslabším článkom sú často vaši zamestnanci. Sociálne inžinierstvo je jedným z najrozšírenejších spôsobov, ktorými môžu aktéri hrozieb preniknúť do vášho prostredia, “uvádza Blog CIPHER od Prosegur.

Tieto testy zahŕňajú diaľkové aj fyzické testy. Cieľom diaľkových testov je oklamať zamestnanca, aby nevedomky zahrnoval systém alebo unikal z organizácie dôverné údaje. Tieto testy môžu zahŕňať vykonanie phishingovej e-mailovej kampane pre zamestnancov alebo odosielanie e-mailov pripojených k trójskemu koňovi.

Cieľom fyzických testov je získať dôležité informácie priamym kontaktovaním zamestnancov. Tieto testy napríklad zvyčajne zahrnujú skládkové potápanie, napodobňovanie ostatných zamestnancov (najlepšie šéfa) alebo presvedčovanie prostredníctvom hovorov. Môže to zahŕňať aj zadné vrátenie, tj. Sledovanie zamestnanca do bezpečných oblastí a návnadu, t. J. Ponechanie infikovaných jednotiek flash zamestnancovi, aby zapojil pracovnú stanicu.

To je všetko o typoch testovania, ktoré musíte poznať a porozumieť im, aby ste vytvorili úspešnú stratégiu kybernetickej bezpečnosti. Považovali ste tento zápis za užitočný?