5 τύποι δοκιμών διείσδυσης: Τι πρέπει να γνωρίζετε για αυτούς;

Στον σημερινό κόσμο των συνεχώς αυξανόμενων απειλών για την ασφάλεια, ο έλεγχος διείσδυσης αποδεικνύεται ζωτικό μέρος κάθε στρατηγικής διαχείρισης ευπάθειας. Οι χάκερ με μαύρο καπέλο-μερικές φορές υποστηριζόμενοι από βιομήχανους ή κυβερνήσεις-προσπαθούν συνεχώς να παραβιάζουν τις άμυνες του δικτύου με πρόσφατα ανακαλυφθέντα εκμεταλλεύσιμα τρωτά σημεία.

Τούτου λεχθέντος, ο έλεγχος διείσδυσης αποδεικνύει μια κρίσιμη λύση. Βοηθά στην αποκάλυψη των εκμεταλλεύσιμων τρωτών σημείων στα συστήματά σας, επιτρέποντάς σας να τα διορθώσετε πριν εκμεταλλευτούν πραγματικά οι χάκερ που προσπαθούν να επωφεληθούν από αυτά. Αλλά πρώτα, πρέπει να κατανοήσετε τον έλεγχο διείσδυσης και τους τύπους του. Ας αρχίσουμε.

Τι είναι η δοκιμή διείσδυσης?

Ο έλεγχος διείσδυσης είναι η διαδικασία ηθικής εισβολής ενός συστήματος, δηλ. εκτόξευση μιας σειράς επιθέσεων εναντίον ενός δικτύου ή συστήματος για τον έλεγχο των αμυντικών μηχανισμών του. Επιπλέον, πραγματοποιεί μια ανάλυση πλήρους συστήματος των τρωτών σημείων του συστήματος, η οποία σας βοηθά να ενισχύσετε την ασφάλεια στον κυβερνοχώρο του.

Τύποι δοκιμών διείσδυσης

Υπάρχουν πολυάριθμοι τύποι δοκιμών διείσδυσης, αλλά κατηγοριοποιούνται κυρίως σε πέντε κατηγορίες όπως περιγράφεται παρακάτω. Φυσικά, αυτές οι κατηγορίες δοκιμάζονται για ορισμένους συγκεκριμένους τομείς ευπάθειας ή αδυναμιών σε ένα δίκτυο ή σύστημα.

Αυτές οι κατηγορίες προέρχονται από το πεδίο εφαρμογής της δοκιμής διείσδυσης. Το εύρος του, δηλαδή το επίπεδο εισβολής ή διείσδυσης σε ένα σύστημα εξαρτάται από το είδος της ανάλυσης ασφαλείας που απαιτείται από έναν οργανισμό. Αυτός είναι ο λόγος για τον οποίο ένα πεντέστερ πρέπει να γνωρίζει τις απαιτήσεις και, στη συνέχεια, να αποφασίσει τον πιο σχετικό τύπο δοκιμής διείσδυσης για τη διεξαγωγή της ανάλυσης ασφαλείας. Τούτου λεχθέντος, ας ελέγξουμε τους τύπους.

1. Δοκιμές υπηρεσίας δικτύου

Μια δοκιμή υπηρεσίας δικτύου στοχεύει να εντοπίσει τα κενά ασφαλείας και τα τρωτά σημεία στην υποδομή δικτύου ενός οργανισμού. Δεδομένου ότι το δίκτυο μπορεί να έχει εσωτερικά και εξωτερικά τελικά σημεία, είναι ζωτικής σημασίας να εκτελούνται δοκιμές και για τα δύο σημεία πρόσβασης, πράγμα που σημαίνει ότι οι δοκιμές πραγματοποιούνται τόσο εντός όσο και εκτός του οργανισμού.

Αυτό σημαίνει ότι οι δοκιμές περιλαμβάνουν τις περιοχές δικτύου και ένα σύνολο μονάδων λογισμικού που χρησιμοποιούνται στον οργανισμό -στόχο, συμπεριλαμβανομένων διακομιστών ανταλλαγής αλληλογραφίας, βάσεων δεδομένων δικτύου και άλλων εργαλείων. Επίσης, περιλαμβάνουν έλεγχο τείχους προστασίας δικτύου, συστήματα ανίχνευσης και πρόληψης εισβολών, συστήματα ονομάτων τομέα κ.λπ.

2. Δοκιμές εφαρμογών Ιστού

Μια δοκιμή διαδικτυακής εφαρμογής είναι μια στοχευμένη δοκιμή – λεπτομερής και έντονη – που δοκιμάζει τις ασπίδες μιας διαδικτυακής εφαρμογής. Πηγαίνει τόσο βαθιά όσο δοκιμάζει τα συστατικά του, συμπεριλαμβανομένων των μικροεφαρμογών, των προσθηκών, των σεναρίων κλπ. Δοκιμάζει επίσης όλα τα τελικά σημεία μιας εφαρμογής στα οποία οι χρήστες της εφαρμογής μπορούν να έχουν πρόσβαση ή να αλληλεπιδράσουν, ας πούμε μέσω του Διαδικτύου.

Είναι ζωτικής σημασίας αφού «μια δοκιμή διείσδυσης σε διαδικτυακές εφαρμογές, αναζητά τυχόν ζητήματα ασφάλειας που μπορεί να προέκυψαν ως αποτέλεσμα ανασφαλούς ανάπτυξης, σχεδιασμού ή κωδικοποίησης, για τον εντοπισμό πιθανών τρωτών σημείων στους ιστότοπους και τις εφαρμογές ιστού σας, συμπεριλαμβανομένου του CRM, των εξωτερικών δικτύων και των εσωτερικά αναπτυγμένων προγραμμάτων – που θα μπορούσε να οδηγήσει σε έκθεση προσωπικών δεδομένων, στοιχείων πιστωτικής κάρτας κ.λπ. », λέει Comtact.

Η δοκιμή περιλαμβάνει τα στοιχεία μιας και μια διαδικτυακή εφαρμογή ενδέχεται να έχει στοιχεία τρίτων, συμπεριλαμβανομένων των βιβλιοθηκών ανοιχτού κώδικα. Και οι μη πιστοποιημένες, μη δοκιμασμένες βιβλιοθήκες ενδέχεται να περιέχουν ανοικτές ευπάθειες, οι οποίες θα μπορούσαν να χρησιμοποιηθούν από χάκερ.

3. Δοκιμές από την πλευρά του πελάτη

Μια δοκιμή από την πλευρά του πελάτη απλώς δοκιμάζει τις τοπικές απειλές ασφαλείας που εμφανίζονται στην πλευρά του πελάτη, δηλαδή, μέσα σε έναν οργανισμό. Για παράδειγμα, θα μπορούσε να υπάρχει μια εφαρμογή στο σταθμό εργασίας ενός χρήστη που έχει κενά ασφαλείας, επιτρέποντας στους χάκερ να τα εκμεταλλευτούν, πράγμα που θα τους επέτρεπε περαιτέρω να θέσουν σε κίνδυνο την εφαρμογή -στόχο τους.

Φυσικά, αυτά περιλαμβάνουν λογισμικό τρίτων, όπως προγράμματα αναπαραγωγής πολυμέσων, εφαρμογές γραφείου, επεξεργαστές κειμένου και σουίτες παραγωγικότητας, όπως το Adobe Photoshop, το Google Chrome, το Microsoft Office κ.λπ. , ευάλωτες βιβλιοθήκες ανοιχτού κώδικα.

4. Δοκιμές ασύρματου δικτύου

Μια δοκιμή ασύρματου δικτύου στοχεύει στην ανάλυση ασύρματων συσκευών σε έναν οργανισμό. Οι λίστες συσκευών ενδέχεται να περιλαμβάνουν smartphone και tablet σε φορητούς υπολογιστές και επιτραπέζιους υπολογιστές κ.λπ. Επιπλέον, αυτές οι δοκιμές μπορεί να περιλαμβάνουν ασύρματα πρωτόκολλα καθώς και σημεία πρόσβασης που χρησιμοποιούνται για ασύρματα δίκτυα στον οργανισμό.

Η ιδέα είναι να μάθουμε τις αδύναμες περιοχές στα ασύρματα δίκτυα και τους ανθρώπους που εκμεταλλεύονται ή παραβιάζουν τα δικαιώματά τους ενώ χρησιμοποιούν ασύρματα δίκτυα. Οι δοκιμές περιλαμβάνουν πλαστογράφηση διευθύνσεων και εκμετάλλευση των πρωτοκόλλων κρυπτογράφησης, προεπιλεγμένους ή αδύναμους κωδικούς πρόσβασης, εσφαλμένη διαμόρφωση διακομιστή ιστού, ασύρματη κίνηση κ.λπ..

5. Δοκιμές Κοινωνικής Μηχανικής

Ένα τεστ κοινωνικής μηχανικής σκοπεύει να δοκιμάσει το ανθρώπινο δίκτυο, δηλαδή το εργατικό δυναμικό του οργανισμού. Μιμείται τις επιθέσεις κοινωνικής μηχανικής για να βοηθήσει στην ανάλυση των ανασφαλών ανθρώπων που μπορεί να χρειαστούν κάποια μάθηση (ας πούμε, μια διαδικτυακή εκπαίδευση ασφάλειας) για προστασία έναντι των τεχνικών κοινωνικής μηχανικής.

«Η ασφάλειά σας είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος στην αλυσίδα σας. Οι άνθρωποι κάνουν λάθη και μπορούν εύκολα να χειριστούν. Ο πιο αδύναμος κρίκος είναι συχνά οι υπάλληλοί σας. Η κοινωνική μηχανική είναι ένας από τους πιο διαδεδομένους τρόπους με τους οποίους οι φορείς απειλής μπορούν να διεισδύσουν στο περιβάλλον σας », σύμφωνα με CIPHER blog από Prosegur.

Αυτές οι δοκιμές περιλαμβάνουν εξ αποστάσεως καθώς και φυσικές δοκιμές. Οι απομακρυσμένες δοκιμές αποσκοπούν στο να εξαπατήσουν έναν υπάλληλο να εντάξει το σύστημα εν αγνοία του ή να διαρρεύσει εμπιστευτικά δεδομένα από τον οργανισμό. Αυτές οι δοκιμές μπορεί να περιλαμβάνουν τη διεξαγωγή καμπάνιας ηλεκτρονικού ψαρέματος (phishing) στους υπαλλήλους ή την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που συνδέονται με trojan.

Οι φυσικές δοκιμές στοχεύουν στην απόκτηση ορισμένων κρίσιμων πληροφοριών επικοινωνώντας απευθείας με τους υπαλλήλους. Για παράδειγμα, αυτές οι δοκιμές συνήθως περιλαμβάνουν καταδύσεις κάδου, μίμηση άλλων υπαλλήλων (κατά προτίμηση αφεντικού) ή πειστικό μέσω κλήσεων. Μπορεί επίσης να περιλαμβάνει την οπισθοχώρηση, δηλαδή την παρακολούθηση ενός υπαλλήλου σε ασφαλείς περιοχές και το δόλωμα, δηλαδή την άδεια μολυσμένων μονάδων flash για έναν υπάλληλο να συνδέσει έναν σταθμό εργασίας.

Αυτά αφορούν τους τύπους pentest που πρέπει να γνωρίζετε και να κατανοείτε για να δημιουργήσετε μια επιτυχημένη στρατηγική ασφάλειας στον κυβερνοχώρο. Βρήκατε χρήσιμο αυτό το γράψιμο?