Penetrasjonstesting er et simulert angrep drevet av etiske hackere – noen ganger også kalt “ white hat hackere ” eller “flinke hackere” – eller andre legitime instanser som har fått i oppdrag å gjøre dette. De vil jobbe for å prøve og bryte systemer, applikasjoner, servere eller andre typer digitale elementer, og hvis de lykkes, vil de anbefale måter å reparere sårbarhetene på før de kan utnyttes av noen andre.
Noen ganger kan det være vanskelig å vite hvor sårbarhetene ligger i systemene dine før de blir avslørt. Problemet er at hvis de blir identifisert og utnyttet av en nettkriminell eller en annen ondsinnet aktør, så er det ofte alt for sent å gjøre noe med det.
Siden omfanget og sofistikerte nettangrepene øker hele tiden, betyr dette at organisasjoner må være i front, og oppdage og adressere de potensielle svakhetene før noen andre har en sjanse til det. Det er her penetrasjonstesting (også kjent som en pentest) kommer inn.
I denne artikkelen skal vi utforske hvordan penetrasjonstesting av nettsikkerhet fungerer i detalj: Ulike metoder, variasjoner i tilnærming og de viktigste forskjellene når du sammenligner sårbarhetsskanning og penetrasjonstesting.
Hvorfor er penetrasjonstesting en viktig del av cybersikkerhet?
Når det gjelder cybersikkerhet, bør penetrasjonstesting være en sentral del av enhver organisasjons strategi og ideelt sett foregå hvert år – eller når nye systemer og applikasjoner legges til i boet. God pennetesting kan hjelpe med:
Proaktiv sikkerhetsbeskyttelse og hendelsesreaksjon
Å avdekke sårbarheter før nettkriminelle har mulighet, kan bidra til å tette eventuelle hull i sikkerheten og styrke forsvaret totalt sett. Kasperskys tjeneste for penetrasjonstesting kan simulere angrep med etiske hackere for å avsløre disse sårbarhetene, og sikrer at enhetene og systemene dine forblir sikre. Denne proaktive tilnærmingen hjelper til med å identifisere potensielle trusler tidlig, noe som gjør det lettere å håndtere dem før de kan utnyttes.
Oppfylle samsvarskrav
De juridiske kravene rundt cybersikkerhet og databeskyttelse blir sterkere og sterkere hele tiden, fra GDPR i Europa til CCPA i California. Penetrasjonstesting kan bidra til å vise til regulatorer at sårbarheter blir løst, noe som kan bidra til å unngå juridiske og økonomiske konsekvenser som kan oppstå ved manglende overholdelse.
Maksimere sikkerhetssynlighet
En pentest kan gi nye nivåer av innsikt i sikkerhetsstillingen til et bestemt system eller program, og på denne måten kan en vanlig penntestingstrategi fremheve kvaliteten på sikkerheten over hele organisasjonen. Denne innsikten kan hjelpe til med å informere bredere sikkerhetsbeslutninger, fra å få på plass nye løsninger til områdene der investeringer bør allokeres.
Sikre at ny programvare og maskinvare er trygg
Eventuelle nye applikasjoner og systemer vil ha effekt på eksisterende systemer og infrastruktur og kan ha noen sårbarheter som IT-sikkerhetsteamet kanskje ikke kjenner til. Penetrasjonstesting av disse nye løsningene så tidlig som mulig kan sikre at de blir implementert og brukt sikkert uten å introdusere nye sårbarheter.
Opprettholde allmennhetens tillit
Publikum er mer oppmerksomme enn noen gang på sikkerhetsbrudd og datamisbruk , spesielt når detaljer blir allmennheten. Bruk av penetrasjonstesting for å minimere risikoen for et sikkerhetsbrudd kan redusere sjansene for at et angrep kan forårsake skade på en organisasjons omdømme, og i forlengelsen av dens bunnlinje.
Hva er de typiske trinnene i penetrasjonstesting?
Det finnes flere forskjellige typer og metoder for penetrasjonstesting (som vi skal utforske senere i denne artikkelen). Men prinsippene for en god pentest vil generelt følge denne femtrinnsprosessen:
Planlegging
Definere det overordnede målet for pentesten, for eksempel systemene eller programmene som er involvert, og testmetodene som vil være best egnet for det. Dette går ved siden av etterretningsinnhenting rundt målets detaljer og de potensielle sårbarhetene som er involvert.
Skanning
Analyserer målet for å forstå hvordan det sannsynligvis vil reagere på den tiltenkte angrepsmetoden. Dette kan enten være «statisk», der koden vurderes for å se hvordan målet sannsynligvis vil oppføre seg, eller «dynamisk», der koden vurderes i sanntid mens applikasjonen eller systemet kjører.
Etablere tilgang
På dette stadiet vil angrep bli iscenesatt med den hensikt å avsløre sårbarhetene: Dette kan gjøres gjennom en rekke taktikker, for eksempel bakdører og skripting på tvers av nettsteder. Hvis teamet som tester pennen får tilgang, vil de prøve å simulere skadelig aktivitet som datatyveri , legge til privilegier og beslaglegge nett- og nettverkstrafikk.
Opprettholde tilgang
Når tilgangen er etablert, vil pennetestingsteamet se om de kan opprettholde tilgangen over lang tid og gradvis øke omfanget av de skadelige aktivitetene de klarer. Ved å gjøre det kan de fastslå nøyaktig hvor langt en nettkriminell vil kunne gå og hvor mye skade de teoretisk kan gjøre.
Analyse
På slutten av angrepet blir alle handlingene og resultatene fra prosjektet med penetrasjonstesting levert i en rapport. Denne kvantifiserer hvilke sårbarheter som ble utnyttet, hvor lenge, og dataene og programmene de hadde tilgang til. Denne innsikten kan deretter hjelpe en organisasjon med å konfigurere sikkerhetsinnstillingene og gjøre endringer for å lukke disse sårbarhetene deretter.
Hva er de forskjellige typene pentest?
Prinsippene listet opp ovenfor brukes på syv hovedtyper penetrasjonstesting, som hver kan brukes på forskjellige mål og bruksområder:
Interne og eksterne nettverkstester
Dette er kanskje den vanligste typen penetrasjonstesting, der pennetestingsteamet vil prøve å bryte eller omgå brannmurer , rutere, porter, proxy-tjenester og inntrengningsdeteksjon/forebyggingssystemer. Dette kan enten gjøres internt for å simulere angrep fra useriøse aktører i en organisasjon, eller eksternt av team som kun kan bruke informasjon som er offentlig eiendom.
Nettprogrammer
Denne typen pentest vil forsøke å kompromittere et nettprogram, og målrette mot områder som nettlesere, programtillegg, appleter, API-er og eventuelle relaterte tilkoblinger og systemer. Disse testene kan være komplekse ettersom de kan spenne over mange forskjellige programmeringsspråk og målrette mot websider som er live og online, men som er viktige på grunn av det stadig skiftende Internett- og cybersikkerhetslandskapet.
Fysisk databehandling og edge computing
Selv i skyens tid er fysisk hacking fortsatt en stor trussel, ikke en liten del på grunn av fremveksten av enheter som er koblet til tingenes internett (IoT) . Pennetestteam kan derfor få i oppdrag å målrette mot sikkerhetssystemer, overvåkingskameraer, digitalt tilkoblede låser, sikkerhetskort og andre sensorer og datasentre. Dette kan gjøres enten ved at sikkerhetsteamet vet hva som skjer (slik at de kan være oppmerksomme på situasjonen) eller uten at de får beskjed (for å vurdere hvordan de reagerer).
Røde lag og blå lag
Denne typen penetrasjonstesting er todelt, der det 'røde teamet' fungerer som de etiske hackerne, og det 'blå teamet' påtar seg rollen som sikkerhetsteamet som har ansvaret for å lede reaksjonen på nettangrepet. Ikke bare gjør dette en organisasjon til å simulere et angrep og teste et system eller applikasjons motstandsdyktighet, men det gir også nyttig opplæring for sikkerhetsteamet for å lære hvordan de kan avslutte trusler raskt og effektivt.
Skysikkerhet
Å oppbevare skydata og applikasjoner er trygt, men penetrasjonstesting bør håndteres med forsiktighet fordi det involverer angripende tjenester under kontroll av en tredjeparts skyleverandør. De som er flinke, vil kontakte skyleverandører i god tid for å varsle dem om intensjonene deres, og vil bli informert om hva de har og ikke har lov til å angripe. Vanligvis vil penetrasjonstesting av skyen forsøke å utnytte tilgangskontroller, lagring, virtuelle maskiner, applikasjoner, API-er og enhver potensiell feilkonfigurasjon.
Sosial manipulering
Sosial manipulering er i praksis der et team som tester penner utgir seg for å iscenesette et phishing- eller et tillitsbasert nettangrep. De vil prøve å lure folk eller ansatte til å gi fra seg sensitiv informasjon eller passord som vil koble dem til denne informasjonen. Dette kan være en nyttig øvelse for å synliggjøre hvor menneskelige feil forårsaker sikkerhetsproblemer og hvor det må gjøres forbedringer i opplæring og opplæring rundt beste praksis innen sikkerhet.
Trådløse nettverk
Når trådløse nettverk er satt opp med passord som er lette å gjette eller med tillatelser som er enkle å utnytte, kan de bli inngangsporter for nettkriminelle til å iscenesette angrep. Penetrasjonstesting vil sikre at riktig kryptering og påloggingsinformasjon er på plass, og vil også simulere denial of service (DoS)-angrep for å teste nettverkets motstandsdyktighet mot den typen trusler.
Finnes det forskjellige måter å tilnærme seg pennetesting på?
Ulike pennetestteam har forskjellige måter å tilnærme seg testing på, avhengig av hva organisasjoner har bedt dem om å gjøre og hvor mye tid og finansiering de har tilgjengelig. Disse tre metodene er:
Svart boks
Det er her teamene for penetrasjonstesting ikke får informasjon fra organisasjonen om målet. Det er opp til teamet å kartlegge nettverket, systemet, applikasjonene og ressursene som er involvert, og deretter iscenesette et angrep basert på denne oppdagelsen og forskningsarbeidet. Selv om dette er den mest tidkrevende av de tre typene, er det den som gir de mest omfattende og realistiske resultatene.
Hvit boks
I den andre enden av skalaen betyr penetrasjonstesting av hvite bokser at organisasjoner vil dele fullstendig informasjon om målet og den bredere IT-arkitekturen med det peneste teamet, inkludert eventuell relevant påloggingsinformasjon og nettverkskart. Dette er en raskere og mer kostnadseffektiv måte å verifisere sikkerheten til eiendeler på når andre nettverksområder allerede er vurdert, eller når organisasjoner bare vil dobbeltsjekke at alt er som det skal.
Grå boks
Penetrasjonstesting av grå boks, som navnet tilsier, befinner seg et sted i midten av de to første alternativene. I dette scenariet vil en organisasjon dele spesifikk data eller informasjon med det pentestede teamet, slik at de har et utgangspunkt å jobbe ut fra. Vanligvis vil dette være visse passord eller påloggingsdetaljer som kan brukes for å få tilgang til et system; Hvis du deler disse med penetrasjonstesterne, kan de simulere hva som ville skje under disse spesielle omstendighetene.
Sårbarhetsskanning vs penetrasjonstesting: er de de samme?
Sårbarhetsskanning forveksles ofte med penetrasjonstesting, men det er to vidt forskjellige forsøk, og det er viktig å forstå forskjellene.
Sårbarhetsskanning er mye mer begrenset i omfang og fungerer bare for å oppdage eventuelle sårbarheter som kan ligge på lur i infrastrukturen. Det er mye raskere og billigere å kjøre enn penetrasjonstesting, og krever ikke så mye innspill fra erfarne cybersikkerhetseksperter.
På den annen side gir penetrasjonstesting et langt mer omfattende bilde av sårbarheter, sannsynligheten for at de blir utnyttet av ondsinnede aktører og omfanget av skadene som kan oppstå som følge av dette. Dette gir et mye mer informert bilde, støttet av ekspertprosesser som Kaspersky Penetration Testing , som lar organisasjoner ta informerte beslutninger om cybersikkerhet og hendelsesrespons på lang sikt. Utforsk Kasperskys løsninger for penetrasjonstesting i dag, og ta proaktive tiltak for å beskytte virksomheten din.
Relaterte artikler:
- Hva er en skanning på det mørke nettet?
- Slik blir du kvitt skadelig programvare
- Hva er et sikkerhetsbrudd
Relaterte produkter:
