Tunkeutumistestaus on simuloitu hyökkäys, jonka suorittavat eettiset hakkerit – joita joskus kutsutaan myös " valkohattu-hakkereiksi " tai "hyviksi hakkereiksi" - tai muut lailliset tahot, jotka on valtuutettu tekemään niin. He pyrkivät murtamaan järjestelmiä, sovelluksia, palvelimia tai muita digitaalisia kohteita, ja jos he onnistuvat, he suosittelevat tapoja korjata haavoittuvuudet ennen kuin joku muu voi käyttää niitä hyväkseen.
Joskus voi olla vaikeaa tietää, missä järjestelmissäsi on heikkouksia, ennen kuin ne paljastuvat. Ongelmana on, että jos verkkorikollinen tai muu haitallinen toimija tunnistaa ne ja käyttää niitä hyväkseen, asialle on usein liian myöhäistä tehdä mitään.
Kyberhyökkäysten laajuuden ja kehittyneisyyden kasvaessa koko ajan, tämä tarkoittaa, että organisaatioiden on oltava eturintamassa ja havaittava mahdolliset heikkoudet ja korjattava ne ennen kuin kukaan muu ehtii siihen. Tällöin penetraatiotestaus (tunnetaan myös nimellä pentest) tulee esiin.
Tässä artikkelissa tarkastellaan yksityiskohtaisesti kyberturvallisuuden läpäisytestauksen toimintaa: erilaisia menetelmiä, lähestymistapojen vaihteluita ja tärkeimpiä eroja verrattaessa haavoittuvuustarkistusta ja penetraatiotestausta.
Miksi läpäisytestaus on tärkeä osa kyberturvallisuutta?
Kyberturvallisuuden osalta penetraatiotestauksen tulisi olla keskeinen osa minkä tahansa organisaation strategiaa, ja mieluiten se tulisi suorittaa joka vuosi - tai kun uusia järjestelmiä ja sovelluksia lisätään kiinteistöön. Hyvä kynätestaus voi auttaa:
Ennakoiva tietoturvasuojaus ja reagointi tapahtumiin
Haavoittuvuuksien paljastaminen ennen verkkorikollisten mahdollisuutta voi auttaa poistamaan tietoturvapuutteita ja vahvistamaan yleistä puolustusta. Kasperskyn läpäisevyyden testauspalvelu voi simuloida hyökkäyksiä eettisten hakkerien kanssa paljastaakseen nämä haavoittuvuudet ja varmistaakseen, että laitteesi ja järjestelmäsi pysyvät suojattuna. Tämä ennakoiva lähestymistapa auttaa tunnistamaan mahdolliset uhat varhaisessa vaiheessa, jolloin niihin on helpompi puuttua ennen kuin niitä voidaan hyödyntää.
Täyttää vaatimustenmukaisuusvaatimukset
Kyberturvallisuutta ja tietosuojaa koskevat lailliset vaatimukset vahvistuvat koko ajan eurooppalaisesta GDPR: stä Kalifornian CCPA:han. Läpäisytestaus voi auttaa osoittamaan sääntelyviranomaisille, että haavoittuvuuksia korjataan, mikä voi auttaa välttämään oikeudellisia ja taloudellisia seurauksia, joita vaatimusten noudattamatta jättämisestä voi aiheutua.
Suojauksen näkyvyyden maksimointi
Pentesti voi antaa uuden tason käsityksen tietyn järjestelmän tai sovelluksen tietoturva-asennosta, joten säännöllinen kynätestausstrategia voi korostaa tietoturvan laatua organisaation laajuisesti. Tämä oivallus voi auttaa tekemään laajempia tietoturvapäätöksiä aina uusien ratkaisujen käyttöönotosta investointikohteiden kohdistamiseen.
Uuden ohjelmiston ja laitteiston turvallisuuden varmistaminen
Kaikki uudet sovellukset ja järjestelmät vaikuttavat olemassa oleviin järjestelmiin ja infrastruktuuriin ja voivat sisältää joitakin haavoittuvuuksia, joista tietoturvatiimi ei välttämättä tiedä. Kun nämä uudet ratkaisut testataan mahdollisimman varhaisessa vaiheessa, voidaan varmistaa, että ne otetaan käyttöön ja käytetään turvallisesti ilman uusia haavoittuvuuksia.
Yleisön luottamuksen ylläpitäminen
Yleisö on entistä tietoisempi tietoturvaloukkauksista ja tietojen väärinkäytöstä , varsinkin kun tiedot tulevat julkisiksi. Tunkeustestauksen käyttäminen tietoturvaloukkausten riskin minimoimiseksi voi vähentää mahdollisuuksia, että hyökkäys vahingoittaa organisaation mainetta ja sitä kautta sen tulosta.
Mitkä ovat tyypilliset läpäisytestauksen vaiheet?
Läpäisytestausta on useita eri tyyppejä ja menetelmiä (jotka tarkastelemme niitä myöhemmin tässä artikkelissa). Mutta hyvän pentestin periaatteet noudattavat yleensä tätä viisivaiheista prosessia:
Suunnittelu
Määrittelee pentestin yleistavoitteen, kuten siihen liittyvät järjestelmät tai sovellukset ja testausmenetelmät, jotka soveltuvat parhaiten siihen. Tämä tapahtuu yhdessä tiedonkeruun kanssa kohteen yksityiskohdista ja mahdollisista haavoittuvuuksista.
Skannaus
Kohteen analysointi selvittääksesi, miten se todennäköisesti reagoi aiotulla hyökkäysmenetelmällä. Tämä voi olla joko "staattinen", jossa koodia arvioidaan sen selvittämiseksi, miten kohde todennäköisesti käyttäytyy, tai "dynaamista", jolloin koodi arvioidaan reaaliaikaisesti sovelluksen tai järjestelmän ollessa käynnissä.
Käyttöoikeuden luominen
Tässä vaiheessa hyökkäykset lavastetaan haavoittuvuuksien paljastamiseksi: tämä voidaan tehdä erilaisilla taktiikoilla, kuten takaovilla ja sivustojen välisillä komentosarjalla. Jos kynätestausryhmä saa käyttöoikeuden, se yrittää simuloida haitallista toimintaa, kuten tietovarkauksia , käyttöoikeuksien lisäämistä sekä verkko- ja verkkoliikenteen kaappausta.
Käyttöoikeuden ylläpitäminen
Kun käyttöoikeus on luotu, kynätestaustiimi tarkistaa, pystyvätkö he ylläpitämään käyttöoikeuden pitkän ajanjakson ajan ja lisäämään asteittain haitallisten toimintojen laajuutta, joita he voivat saavuttaa. Näin he voivat määrittää tarkalleen, kuinka pitkälle verkkorikollinen voisi mennä ja kuinka paljon vahinkoa hän voisi teoriassa aiheuttaa.
Analyysi
Hyökkäyksen päätteeksi kaikki penetraatiotestausprojektin toimenpiteet ja tulokset toimitetaan raportissa. Tämä määrittää, mitä haavoittuvuuksia hyödynnettiin, kuinka kauan ja mitä tietoja ja sovelluksia he pystyivät käyttämään. Nämä oivallukset voivat sitten auttaa organisaatiota määrittämään tietoturva-asetukset ja tekemään muutoksia sulkeakseen kyseiset heikkoudet vastaavasti.
Mitä eri pentest-tyyppejä on?
Yllä lueteltuja periaatteita sovelletaan seitsemään päätyyppiseen penetraatiotestaukseen, joista kutakin voidaan soveltaa eri kohteisiin ja käyttötapauksiin:
Sisäisen ja ulkoisen verkon testit
Tämä on ehkä yleisin läpäisytestaus, jossa kynätestaustiimi yrittää murtaa tai kiertää palomuureja , reitittimiä, portteja, välityspalvelinpalveluja ja tunkeutumisen havainnointi- ja estojärjestelmiä. Tämä voidaan tehdä joko sisäisesti jäljittelemään rikkitoimijoiden hyökkäyksiä organisaation sisällä, tai ulkoisesti tiimien toimesta, jotka voivat käyttää vain julkisesti saatavilla olevia tietoja.
Verkkosovellukset
Tämän tyyppinen pentesti yrittää vaarantaa verkkosovelluksen ja kohdistaa selainalueisiin, kuten selaimiin, laajennuksiin, sovelmiin, sovellusliittymiin ja kaikkiin niihin liittyviin yhteyksiin ja järjestelmiin. Nämä testit voivat olla monimutkaisia, koska ne voivat kattaa useita eri ohjelmointikieliä ja kohdistaa verkkosivuille, jotka ovat reaaliaikaisia ja verkossa mutta ovat tärkeitä jatkuvasti muuttuvan Internetin ja kyberturvallisuusympäristön vuoksi.
Fyysinen ja reunalaskenta
Jopa pilven aikakaudella fyysinen hakkerointi on edelleen suuri uhka, mikä johtuu suurelta osin esineiden Internetiin (IoT) yhdistettyjen laitteiden lisääntymisestä. Sen vuoksi kynätestausryhmät voidaan tilata kohdistamaan kohteet turvajärjestelmiin, valvontakameroihin, digitaalisesti yhdistettäviin lukoihin, turvakortteihin ja muihin sensoreihin ja palvelinkeskuksiin. Tämä voidaan tehdä joko tietoturvatiimin tiedossa, mitä tapahtuu (jotta he voivat olla tietoisia tilanteesta) tai ilman, että heille kerrotaan (arvioida, miten he reagoivat).
Punaiset joukkueet ja siniset joukkueet
Tämän tyyppinen läpäisytestaus on kaksiosainen: "punainen tiimi" toimii eettisinä hakkereina ja "sininen tiimi" ottaa tietoturvaryhmän roolin, jonka tehtävänä on johtaa kyberhyökkäykseen. Sen lisäksi, että organisaatio voi simuloida hyökkäystä ja testata järjestelmän tai sovelluksen sietokykyä, se tarjoaa myös hyödyllistä koulutusta tietoturvatiimille, jotta he oppivat sammuttamaan uhkia nopeasti ja tehokkaasti.
Pilvisuojaus
Pilvitietojen ja -sovellusten säilyttäminen on turvallista, mutta läpäisytestausta tulee käsitellä varoen, koska kyseessä on hyökkääminen palveluihin, jotka ovat kolmannen osapuolen hallinnassa. Hyvät pentest-tiimit ottavat yhteyttä pilvipalveluntarjoajiin hyvissä ajoin etukäteen ilmoittaakseen heille aikeistaan ja heille kerrotaan, mitä he ovat ja mitä he eivät saa hyökätä. Yleensä pilviläpäisytestaus yrittää hyödyntää käyttöoikeuksien valvontaa, tallennustilaa, virtuaalikoneita, sovelluksia, sovellusliittymiä ja kaikkia mahdollisia virheellisiä määrityksiä.
Käyttäjien manipulointi
Sosiaalinen manipulointi tarkoittaa sitä, että kynätestaustiimi teeskentelee suorittavansa tietojenkalastelun tai luottamukseen perustuvan kyberhyökkäyksen. He yrittävät huijata ihmisiä tai henkilökuntaa antamaan arkaluonteisia tietoja tai salasanoja, jotka yhdistävät heidät näihin tietoihin. Tämä voi olla hyödyllinen harjoitus korostaessasi, missä inhimilliset virheet aiheuttavat tietoturvaongelmia ja missä parannuksia on tehtävä tietoturvan parhaita käytäntöjä koskevassa koulutuksessa.
Langattomat verkot
Kun langattomat verkot määritetään helposti arvattavilla salasanoilla tai helposti hyödynnettävillä käyttöoikeuksilla, niistä voi tulla yhdyskäytäviä verkkorikollisille hyökkäyksille. Tunkeutumistestaus varmistaa, että oikea salaus ja tunnistetiedot ovat käytössä, ja simuloi myös palvelunestohyökkäyksiä (DoS) testatakseen verkon sietokykyä tämäntyyppisiä uhkia vastaan.
Onko olemassa erilaisia tapoja lähestyä kynätestausta?
Eri kynätestausryhmillä on erilaisia tapoja lähestyä testausta riippuen siitä, mitä organisaatiot ovat pyytäneet niiltä ja kuinka paljon aikaa ja rahoitusta niillä on käytettävissään. Nämä kolme menetelmää ovat:
Musta laatikko
Tässä penetraatiotestausryhmille ei anneta organisaatiolta mitään tietoja kohteesta. Ryhmän tehtävänä on kartoittaa kyseessä oleva verkko, järjestelmä, sovellukset ja resurssit ja suorittaa sitten hyökkäys tämän löydön ja tutkimustyön perusteella. Vaikka tämä onkin kolmesta tyypistä eniten aikaa vievä, se tuottaa kattavimmat ja realistisimmat tulokset.
Valkoinen laatikko
Asteikon toisessa päässä valkoinen laatikko -penetraatiotestaus tarkoittaa, että organisaatiot jakavat täydelliset tiedot kohteesta ja laajemmasta IT-arkkitehtuurista pentest-tiimin kanssa, mukaan lukien kaikki tarvittavat tunnistetiedot ja verkkokartat. Tämä on nopeampi ja kustannustehokkaampi tapa varmistaa omaisuuden turvallisuus, kun muut verkkoalueet on jo arvioitu tai kun organisaatiot haluavat vain tarkistaa, että kaikki on niin kuin pitää.
Harmaa laatikko
Harmaan laatikon läpäisytestaus on nimensä mukaisesti jossain kahden ensimmäisen vaihtoehdon keskellä. Tässä skenaariossa organisaatio jakaa tiettyjä tietoja pentest-tiimin kanssa, jotta he voivat aloittaa työskentelyn. Yleensä nämä ovat tiettyjä salasanoja tai kirjautumistietoja, joita voidaan käyttää järjestelmän käyttämiseen. jakamalla nämä penetraatiotestaajien kanssa he voivat simuloida, mitä tapahtuisi näissä erityisissä olosuhteissa.
Haavoittuvuustarkistus vs. läpäisytestaus: ovatko ne sama asia?
Haavoittuvuustarkistus sekoitetaan usein penetraatiotestaukseen, mutta ne ovat kaksi hyvin erilaista yritystä, ja on tärkeää ymmärtää erot.
Haavoittuvuustarkistus on laajuudeltaan paljon rajoitetumpaa, ja se toimii vain löytääkseen infrastruktuurin sisällä mahdollisesti piilevät haavoittuvuudet. Se on paljon nopeampaa ja halvempaa suorittaa kuin läpäisytestaus, eikä se vaadi yhtä paljon kokeneiden kyberturvallisuuden ammattilaisten panosta.
Toisaalta penetraatiotestaus antaa huomattavasti kattavamman kuvan haavoittuvuuksista, todennäköisyydestä, että haitalliset toimijat voivat hyödyntää niitä, sekä haavoittuvuuksien laajuudesta. Tämä tarjoaa paljon tietoisemman näkemyksen, jota tukevat asiantuntijaprosessit, kuten Kaspersky Penetration Testing . Sen avulla organisaatiot voivat tehdä tietoon perustuvia päätöksiä kyberturvallisuudesta ja vaaratilanteista pitkällä aikavälillä. Tutustu Kasperskyn läpäisytestausratkaisuihin jo tänään ja suojaa yrityksesi ennakoivasti.
Aiheeseen liittyvät artikkelit:
Aiheeseen liittyvät tuotteet:
