Când configurați un nou sistem de securitate, trebuie să vă asigurați că funcționează corect cu cât mai puține vulnerabilități. În cazul în care sunt implicate active digitale în valoare de mii de dolari, nu vă puteți permite să învățați din greșelile dvs. și să completați doar golurile de securitate pe care hackerii le-au exploatat anterior.

Cel mai bun mod de a îmbunătăți și a garanta securitatea rețelei dvs. este prin testarea continuă a acesteia, căutând defecte de remediat.

Ce este testul de penetrare?

Deci, ce este un test pen?

Testarea penetrării, cunoscută și sub numele de testarea stiloului, este un atac de securitate cibernetică, care imită un incident real de securitate. Atacul simulat poate viza una sau mai multe părți ale sistemului dvs. de securitate, căutând puncte slabe pe care un hacker rău intenționat le-ar putea exploata.

Ceea ce îl diferențiază de un atac cibernetic real este că persoana care îl face este un hacker cu pălărie albă sau etic pe care îl angajezi. Au abilitățile de a pătrunde în apărare fără intenția rău intenționată a omologilor lor cu pălărie neagră.

instagram viewer

Tipuri de pentesti

Există diferite exemple de reclame în funcție de tipul de atac lansat de hackerul etic, de informațiile pe care le primesc în prealabil și de limitările stabilite de angajatul lor.

Un singur pentest poate fi unul sau o combinație a tipurilor primare de pentest, care includ:

Insider Pentest

Un insider sau un pentest intern simulează un atac cibernetic privilegiat, în care un hacker rău intenționat se prezintă ca un angajat legitim și obține acces la rețeaua internă a companiei.

Acest lucru se bazează pe găsirea unor defecte de securitate internă, cum ar fi privilegiile de acces și monitorizarea rețelei, mai degrabă decât pe cele externe, cum ar fi firewall, antivirus și protecția punctelor finale.

Outsider Pentest

După cum sugerează și numele, acest tip de pentest nu oferă hackerilor niciun acces la rețeaua internă a companiei sau la angajați. Le lasă opțiunea de hacking prin tehnologia externă a companiei, cum ar fi site-urile publice și porturile de comunicații deschise.

Pentestele exterioare se pot suprapune cu pentestele de inginerie socială, unde trucurile hackerilor și manipulează un angajat pentru a le permite accesul la rețeaua internă a companiei, în afara acesteia protecţie.

Pentest bazat pe date

Cu un pentest bazat pe date, hackerul primește informații de securitate și date despre ținta lor. Acest lucru simulează un atac al unui fost angajat sau al unei persoane care a obținut date de securitate scurse.

Pentest orb

Spre deosebire de un test bazat pe date, un test orb înseamnă că hackerul nu primește nicio informație despre ținta sa, altele decât numele lor și despre ceea ce este disponibil public.

Pentest dublu-orb

Pe lângă testarea măsurilor de securitate digitale ale companiei (hardware și software), acest test include și personalul său de securitate și IT. În acest atac organizat, nimeni din companie nu este conștient de pentest, forțându-i să reacționeze de parcă ar întâmpina un atac cibernetic rău intenționat.

Aceasta oferă date valoroase privind securitatea generală a companiei și disponibilitatea personalului și modul în care interacționează cele două.

Cum funcționează testele de penetrare

Similar atacurilor rău intenționate, hacking-ul etic necesită o planificare atentă. Există mai mulți pași pe care hackerul etic trebuie să-i urmeze pentru a asigura un pentest de succes care oferă informații valoroase. Iată o perspectivă asupra metodologiei pentest.

1. Colectarea de informații și planificare

Indiferent dacă este vorba de un blind sau bazat pe date, hackerul trebuie mai întâi să adune informații despre ținta lor într-o singură locație și să planifice punctul de atac din jurul său.

2. Evaluarea vulnerabilității

Al doilea pas este scanarea căii lor de atac, căutând lacune și vulnerabilități de exploatat. Hackerul caută puncte de acces, apoi efectuează mai multe teste la scară mică pentru a vedea cum reacționează sistemul de securitate.

3. Exploatarea vulnerabilităților

După ce a găsit punctele de intrare potrivite, hackerul va încerca să pătrundă în securitatea sa și să acceseze rețeaua.

Acesta este pasul real de „hacking” în care utilizează toate modalitățile posibile pentru a ocoli protocoalele de securitate, firewall-urile și sistemele de monitorizare. Ar putea folosi metode precum injecții SQL, atacuri de inginerie socială, sau scripturi între site-uri.

Ce este ingineria socială? Iată cum ați putea fi piratat

Aflați cum vă poate afecta ingineria socială, plus exemple obișnuite pentru a vă ajuta să identificați și să vă feriți de aceste scheme.

4. Menținerea accesului sub acoperire

Majoritatea sistemelor moderne de apărare împotriva securității cibernetice se bazează pe detectare la fel de mult ca pe protecție. Pentru ca atacul să aibă succes, hackerul trebuie să rămână nedetectat mult timp în rețea suficient pentru a-și atinge obiectivul, indiferent dacă este vorba de scurgeri de date, corupere de sisteme sau fișiere sau instalare malware.

5. Raportarea, analiza și repararea

După încheierea atacului - reușit sau nu - hackerul va raporta angajatorului său cu constatările lor. Profesioniștii în securitate analizează apoi datele atacului, le compară cu ceea ce raportează sistemele lor de monitorizare și implementează modificările corespunzătoare pentru a le îmbunătăți securitatea.

6. Clătiți și repetați

Există adesea un al șaselea pas în care companiile testează îmbunătățirile aduse sistemului lor de securitate prin organizarea unui alt test de penetrare. Aceștia pot angaja același hacker etic dacă doresc să testeze atacurile bazate pe date sau altul pentru un blind blind.

Hacking-ul etic nu este o profesie numai pentru abilități. Majoritatea hackerilor etici folosesc sisteme de operare și software specializate pentru a-și face munca mai ușoară și pentru a evita greșelile manuale, oferind fiecărui pentest totul.

Deci, ce folosesc hackeri de testare stilou? Iată câteva exemple.

Parrot Security este un sistem de operare bazat pe Linux care a fost conceput pentru testarea penetrării și evaluarea vulnerabilității. Este compatibil cu cloud-ul, ușor de utilizat și acceptă diverse programe open source pentest.

De asemenea, un sistem de operare Linux, Live Hacking este un obiectiv pentru pentester, deoarece este ușor și nu are cerințe hardware ridicate. De asemenea, vine pre-ambalat cu instrumente și software pentru testarea penetrării și hacking-ul etic.

Nmap este un instrument open source intelligence (OSINT) care monitorizează o rețea și colectează și analizează date despre gazdele și serverele dispozitivelor, făcând-o valoroasă atât pentru hackerii cu pălărie neagră, gri, cât și cu pălărie albă.

De asemenea, este pe mai multe platforme și funcționează cu Linux, Windows și macOS, deci este ideal pentru hackerul etic pentru începători.

WebShag este, de asemenea, un instrument OSINT. Este un instrument de audit al sistemului care scanează protocoalele HTTPS și HTTP și colectează date și informații relative. Este folosit de hackerii etici care efectuează reclame externe prin intermediul site-urilor publice.

Unde să mergeți pentru testarea penetrării

Testarea stiloului propriu de rețea nu este cea mai bună opțiune, deoarece probabil că aveți cunoștințe extinse despre acesta, ceea ce face mai dificil să vă gândiți în afara casetei și să găsiți vulnerabilități ascunse. Ar trebui fie să angajați un hacker etic independent, fie serviciile unei companii care oferă testarea stiloului.

Totuși, angajarea unui outsider pentru a intra în rețeaua dvs. poate fi foarte riscantă, mai ales dacă le oferiți informații de securitate sau acces din interior. Acesta este motivul pentru care ar trebui să rămâneți la furnizori terți de încredere. Iată un mic eșantion dintre cele disponibile.

HackerOne este o companie din San Francisco care oferă teste de penetrare, evaluare a vulnerabilității și servicii de testare a conformității protocolului.

Situat în Texas, ScienceSoft oferă evaluări ale vulnerabilității, testarea stiloului, testarea conformității și servicii de audit a infrastructurii.

Cu sediul în Atlanta, Georgia, Raxis oferă servicii valoroase de la testarea stiloului și revizuirea codului de securitate la instruirea de răspuns la incidente, evaluări ale vulnerabilității și instruire preventivă în inginerie socială.

Exploatarea la maximum a testelor de penetrare

Deși este încă relativ nou, testarea stiloului oferă informații unice asupra funcționării creierului unui hacker atunci când atacă. Este o informație valoroasă pe care nici cei mai calificați profesioniști în securitate cibernetică nu o pot oferi lucrând la suprafață.

Testarea stiloului poate fi singura modalitate de a evita să fii țintit de hackerii cu pălărie neagră și să suferi consecințele.

Credit de imagine: Unsplash.

E-mail
De ce hacking-ul etic este legal și de ce avem nevoie de el

Hackingul etic este o modalitate de a combate riscurile de securitate pe care le prezintă criminalitatea informatică. Hackingul etic este legal? De ce avem nevoie chiar de ea?

Subiecte asemănătoare
  • Securitate
  • Securitate online
Despre autor
Anina Ot (16 articole publicate)

Anina este un scriitor independent de tehnologie și securitate pe internet la MakeUseOf. A început să scrie în securitate cibernetică acum 3 ani, în speranța de a o face mai accesibilă pentru o persoană obișnuită. Dornic să învețe lucruri noi și un imens tocilar de astronomie.

Mai multe de la Anina Ot

Aboneaza-te la newsletter-ul nostru

Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Încă un pas…!

Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.

.