Co to jest Pentest?

Oprogramowanie ma gwarantowane błędy. W oprogramowaniu może być wiele tysięcy wierszy kodu, a ludzka omylność oznacza, że ​​przynajmniej niektóre z nich nie będą kompletne zgodnie z zamierzeniami. Cykl życia oprogramowania to proces zaprojektowany w celu zminimalizowania tych problemów poprzez regularne testowanie.

Problem polega na tym, że testowanie jest często przeprowadzane przez programistów, którzy być może nauczyli się, jak coś kodować, ale mogli nie nauczyć się bezpiecznych praktyk kodowania. Nawet w gruntownie przetestowanych systemach spojrzenie zewnętrznego obserwatora i wniesienie nowej perspektywy może pomóc zidentyfikować nowe problemy.

Powszechnym sposobem na to jest test penetracyjny, zwykle skracany do pentestu. Wiąże się to z zatrudnieniem profesjonalnego, etycznego hakera, pentestera, który przyjrzy się systemowi i znajdzie wszelkie problemy z bezpieczeństwem.

Wskazówka: to „pentest” i „pentester”, a nie „test pióra”. Pentester nie testuje długopisów. „Test piórem” jest nieco bardziej akceptowalny niż „test piórem”, ale generalnie należy go również unikać.

Cel Pentestu

Celem każdego pentestu jest zidentyfikowanie wszystkich luk bezpieczeństwa w testowanym systemie i zgłoszenie ich klientowi. Zazwyczaj jednak zobowiązania są nieco ograniczone czasowo w zależności od kosztów. Jeśli firma ma wewnętrzny zespół pentester lub pentest, mogą oni pracować dla firmy na stałe. Mimo to wiele firm o takiej skali ma szerokie portfolio systemów, które należy przetestować. Dotyczy to zarówno sprzedawanych produktów, jak i systemów biznesowych firmy.

W związku z tym nie mogą spędzać całego czasu na testowaniu jednej rzeczy. Wiele firm woli zatrudnić zewnętrzną firmę pentestującą do wykonania zlecenia. Jest to nadal ograniczone czasowo w zależności od kosztów. Koszt wynika z faktu, że pentest jest procesem bardzo ręcznym i brakuje tego zestawu umiejętności.

Zazwyczaj pentest obejmuje określony przedział czasowy. Odbywa się to na podstawie danego celu i tego, ile czasu powinno zająć, aby mieć wystarczającą pewność, że wszystko zostało znalezione. Harmonogram znajdowania luk w zabezpieczeniach jest ogólnie krzywą dzwonową. Niewiele można znaleźć natychmiast, gdy pentester rozgląda się po aplikacji. Wtedy zdecydowana większość wyników może zostać osiągnięta w określonej skali czasowej, zanim zacznie się zmniejszać. W pewnym momencie koszt spędzenia większej ilości czasu na szukaniu nie jest wart szansy, że nie ma nic innego do znalezienia.

Czasami nawet podana cena za zalecany czas to za dużo. W takim przypadku test może być „ograniczony czasowo”. W tym momencie klient akceptuje, że nie testuje tyle, ile zaleca, ale chce, aby pentesterzy zrobili wszystko, co w ich mocy, w skróconym czasie. Zwykle jest to zawarte w raporcie jako zastrzeżenie.

Proces ręczny

Niektóre narzędzia są dostępne do automatycznego przeprowadzania testów bezpieczeństwa. Te mogą być przydatne. Jednak często mają wysokie wskaźniki wyników fałszywie dodatnich i fałszywie ujemnych. Oznacza to, że musisz poświęcić czas na przekopywanie się przez weryfikację problemów, wiedząc, że może to nie być wyczerpujące. Większość z tych narzędzi szuka określonych wskaźników, takich jak znane podatne na ataki wersje oprogramowania lub znane podatne na ataki funkcje. Istnieje jednak wiele sposobów, aby nie były to faktyczne problemy ani nie były łagodzone w praktyce.

Luki w zabezpieczeniach mogą składać się z wielu pozornie nieszkodliwych elementów. Najlepszym sposobem na wykrycie tego jest ręczny wysiłek człowieka. Pentesterzy używają narzędzi, ale wiedzą, jak interpretować wyniki, ręcznie je weryfikować i wykonywać samodzielne działania manualne. Ten ręczny wysiłek oddziela pentest od skanowania podatności lub oceny podatności.

Rodzaje Pentestu

Zazwyczaj pentest polega na przetestowaniu całego produktu tak, jak zostałby wdrożony. Idealnie dzieje się to w prawdziwym środowisku produkcyjnym. Jednak nie zawsze jest to praktyczne. Po pierwsze, istnieje obawa, że ​​pentest może wyrzucić cel w tryb offline. Ogólnie rzecz biorąc, ten strach jest zasadniczo nieuzasadniony. Pentesty generalnie nie generują zbyt dużego ruchu w sieci, być może równowartości kilku dodatkowych aktywnych użytkowników. Pentesterzy nie będą również celowo testować problemów typu „odmowa usługi”, zwłaszcza w środowiskach produkcyjnych. Zamiast tego zwykle zgłaszają podejrzane problemy z odmową usługi, aby umożliwić klientowi samodzielne zbadanie problemu.

Dodatkowo warto zauważyć, że jeśli system jest podłączony do Internetu, jest stale poddawany „darmowym pentestom” ze strony prawdziwych hakerów w czarnych kapeluszach i ich botów. Innym powodem, dla którego należy unikać środowisk produkcyjnych, są problemy z prywatnością danych użytkowników na żywo. Pentesterzy są etycznymi hakerami w ramach NDA i kontraktów, ale jeśli istnieje środowisko testowe i jest podobne, można z niego korzystać.

Wskazówka: „bezpłatny pentest” to żartobliwy sposób odniesienia się do bycia atakowanym przez czarne kapelusze w Internecie.

Pentesty można przeprowadzić na praktycznie każdym systemie technologicznym. Strony internetowe i infrastruktura sieciowa to najczęstsze rodzaje testów. Otrzymujesz również testy API, testy „grubego klienta”, testy mobilne, testy sprzętu i wiele innych.

Wariacje na temat

Realistycznie rzecz biorąc, phishing, OSINT i ćwiczenia zespołowe są ze sobą powiązane, ale nieco się od siebie różnią. Prawdopodobnie jesteś świadomy zagrożenia związanego z phishingiem. Niektóre testy obejmują testowanie, aby zobaczyć, jak pracownicy reagują na e-maile phishingowe. Śledząc, w jaki sposób użytkownicy wchodzą w interakcje z phishingiem — lub nie — można dowiedzieć się, jak dostosować przyszłe szkolenia phishingowe.

OSINT to skrót od Open Source INTelligence. Test OSINT polega na zbieraniu publicznie dostępnych informacji, aby zobaczyć, jak cenne dane można zebrać i jak można je wykorzystać. Często wiąże się to z generowaniem list pracowników z takich miejsc jak LinkedIn i strona firmowa. Może to umożliwić atakującemu zidentyfikowanie wyższych rangą osób, które mogą być dobrymi celami ataku spear phishing, phishingu specjalnie dostosowanego do indywidualnego odbiorcy.

Zaangażowanie zespołu czerwonego jest zazwyczaj znacznie bardziej dogłębne i może obejmować niektóre lub wszystkie inne elementy. Może również obejmować testowanie bezpieczeństwa fizycznego i przestrzegania zasad bezpieczeństwa. Jeśli chodzi o politykę, dotyczy to inżynierii społecznej. To próba przekonania cię do wejścia do budynku. Może to być tak proste, jak spędzanie czasu w strefie dla palących i powrót z palaczami po przerwie na papierosa.

Może to być udawanie urzędnika lub poproszenie kogoś, aby otworzył ci drzwi, niosąc tacę z filiżanką kawy. Po stronie bezpieczeństwa fizycznego może to nawet obejmować próbę fizycznego włamania, testowanie zasięgu kamer, jakości zamków i tym podobne. Zaangażowania zespołu czerwonego zazwyczaj obejmują zespół ludzi i mogą obejmować znacznie dłuższe skale czasowe niż zwykłe pentesty.

Czerwone drużyny

Ćwiczenie zespołu czerwonego może wydawać się mniej etyczne niż standardowy pentest. Tester aktywnie żeruje na niczego niepodejrzewających pracownikach. Kluczem jest to, że mają pozwolenie od kierownictwa firmy, zazwyczaj na poziomie zarządu. To jedyny powód, dla którego gracz czerwony może próbować się włamać. Nic nie pozwala jednak na przemoc. Ćwiczenie czerwonej drużyny nigdy nie będzie próbowało zranić ani ujarzmić ochroniarza, ominąć go ani oszukać.

Aby zapobiec aresztowaniu czerwonego członka drużyny, zwykle będą mieć przy sobie podpisaną umowę z podpisami zatwierdzających członków zarządu. Jeśli zostanie złapany, można to wykorzystać do udowodnienia, że ​​​​miał pozwolenie. Oczywiście czasami jest to używane jako podwójny blef. Czerwony teamer może mieć przy sobie dwa pozwolenia, jeden prawdziwy i jeden fałszywy.

Po złapaniu początkowo przekazują fałszywe pozwolenie, aby sprawdzić, czy mogą przekonać ochronę, że jest ono zgodne z prawem, nawet jeśli tak nie jest. W tym celu często używa się rzeczywistych nazw zarządu firmy, ale zawiera weryfikacyjny numer telefonu, który trafia do innego czerwonego zespołu, który został poinstruowany, aby zweryfikować historię z okładki. Oczywiście, jeśli ochrona to przejrzy, przekazuje się prawdziwe pozwolenie. Można to jednak traktować z dużą podejrzliwością.

W zależności od tego, w jaki sposób złapano gracza czerwonego, możliwe jest kontynuowanie testu, zakładając, że ominął on indywidualnego ochroniarza, który go złapał. Jednak możliwe jest, że tożsamość testera może zostać „zdmuchnięta”, zasadniczo usuwając go z dalszych testów osobistych. W tym momencie inny członek zespołu może się zamienić, informując ochronę lub nie.

Wniosek

Pentest to zadanie, w którym specjalista ds. bezpieczeństwa cybernetycznego jest proszony o przetestowanie bezpieczeństwa systemu komputerowego. Test polega na ręcznym wyszukiwaniu i weryfikacji obecności podatności. W ramach tego mogą być używane zautomatyzowane narzędzia. Na koniec testu dostarczany jest raport zawierający szczegółowe informacje na temat wykrytych problemów i porady dotyczące środków zaradczych.

Ważne jest, aby ten raport nie był tylko automatycznym wynikiem narzędzia, ale został ręcznie przetestowany i zweryfikowany. Każdy system komputerowy, sprzęt, sieć, aplikacja lub urządzenie może zostać poddane pentestowi. Umiejętności potrzebne do każdego z nich są różne, ale często uzupełniają się.



Leave a Comment

Jak zmusić Google Chrome, aby zawsze wyświetlał pełne adresy URL

Jak zmusić Google Chrome, aby zawsze wyświetlał pełne adresy URL

Chrome domyślnie nie wyświetla pełnego adresu URL. Być może nie przejmujesz się zbytnio tym szczegółem, ale jeśli z jakiegoś powodu potrzebujesz wyświetlenia pełnego adresu URL, szczegółowe instrukcje dotyczące tego, jak sprawić, by przeglądarka Google Chrome wyświetlała pełny adres URL w pasku adresu.

Jak odzyskać stary Reddit

Jak odzyskać stary Reddit

Reddit ponownie zmienił swój wygląd w styczniu 2024 r. Przeprojektowanie może być widoczne dla użytkowników przeglądarek na komputerach stacjonarnych i zawęża główny kanał podczas udostępniania linków

Jak kopiować treści z podręczników za pomocą Google Lens

Jak kopiować treści z podręczników za pomocą Google Lens

Wpisywanie ulubionego cytatu z książki na Facebooku jest czasochłonne i pełne błędów. Dowiedz się, jak używać Obiektywu Google do kopiowania tekstu z książek na urządzenia.

Napraw adres DNS serwera, którego nie można znaleźć w przeglądarce Chrome

Napraw adres DNS serwera, którego nie można znaleźć w przeglądarce Chrome

Czasami podczas pracy w przeglądarce Chrome nie można uzyskać dostępu do niektórych witryn internetowych i pojawia się komunikat o błędzie „Nie można znaleźć adresu DNS serwera napraw w przeglądarce Chrome”. Oto jak możesz rozwiązać ten problem.

Krótki przewodnik na temat tworzenia przypomnień w Google Home

Krótki przewodnik na temat tworzenia przypomnień w Google Home

Przypomnienia zawsze były główną atrakcją Google Home. Z pewnością ułatwiają nam życie. Obejrzyjmy szybko, jak tworzyć przypomnienia w Google Home, aby nigdy nie przegapić ważnych spraw.

Netflix: zmień hasło

Netflix: zmień hasło

Jak zmienić hasło do usługi strumieniowego przesyłania wideo Netflix za pomocą preferowanej przeglądarki lub aplikacji na Androida.

Jak wyłączyć monit o przywracanie stron w Microsoft Edge?

Jak wyłączyć monit o przywracanie stron w Microsoft Edge?

Jeśli chcesz pozbyć się komunikatu Przywróć strony w Microsoft Edge, po prostu zamknij przeglądarkę lub naciśnij klawisz Escape.

A List of Funny Wi-Fi Names

A List of Funny Wi-Fi Names

I like to keep my neighbors entertained by changing my Wi-Fi network to different funny names. If youre looking for ideas for a funny Wi-Fi name, here

Co to jest uwierzytelnianie?

Co to jest uwierzytelnianie?

Uwierzytelnianie to proces weryfikacji tożsamości. Zwykle odbywa się to za pomocą czegoś, co znasz. Czytaj dalej, aby dowiedzieć się więcej.

Jak tworzyć i edytować listy odtwarzania w YouTube Music

Jak tworzyć i edytować listy odtwarzania w YouTube Music

Zobacz, jak łatwo można tworzyć dowolne playlisty i jak łatwo je edytować w YouTube Music. Oto kroki, które należy wykonać.