Når du setter opp et nytt sikkerhetssystem, må du sørge for at det fungerer ordentlig med så få sårbarheter som mulig. Hvor digitale eiendeler til tusenvis av dollar er involvert, har du ikke råd til å lære av feilene dine og bare fylle ut hull i sikkerheten din som hackere tidligere utnyttet.
Den beste måten å forbedre og garantere nettverkets sikkerhet er ved å teste det kontinuerlig og se etter feil å løse.
Hva er penetrasjonstesting?
Så hva er en penneprøve?
Penetrasjonstesting, også kjent som pennetesting, er et iscenesatt cybersikkerhetsangrep som etterligner en faktisk sikkerhetshendelse. Det simulerte angrepet kan målrette mot en eller flere deler av sikkerhetssystemet ditt, på jakt etter svake punkter en ondsinnet hacker kan utnytte.
Det som skiller det fra et faktisk cyberangrep er at personen som gjør det, er en hvithatt - eller etisk - hacker som du ansetter. De har ferdighetene til å trenge gjennom forsvaret ditt uten den ondsinnede hensikten til sine kolleger med svart hatt.
Typer Pentests
Det er forskjellige eksempler på pentests avhengig av hvilken type angrep den etiske hackeren setter i gang, informasjonen de får på forhånd, og begrensninger som den ansatte har satt.
En enkelt pentest kan være en, eller en kombinasjon, av de primære pentest-typene, som inkluderer:
Insider Pentest
En insider eller intern pentest simulerer en cyberangrep fra insider, der en ondsinnet hacker utgjør en legitim ansatt og får tilgang til selskapets interne nettverk.
Dette er avhengig av å finne interne sikkerhetsfeil som tilgangsrettigheter og nettverksovervåking, i stedet for eksterne som brannmur, antivirus og endepunktsbeskyttelse.
Outsider Pentest
Som navnet antyder, gir denne typen pentest ikke hackeren tilgang til selskapets interne nettverk eller ansatte. Det gir dem muligheten til å hacke seg inn gjennom selskapets eksterne teknologi som offentlige nettsteder og åpne kommunikasjonsporter.
Utenforstående pentester kan overlappe med sosialtekniske pentests, der hackeren lurer og manipulerer en ansatt til å gi dem tilgang til selskapets interne nettverk, forbi det eksterne beskyttelse.
Datadrevet Pentest
Med en datadrevet pentest får hackeren sikkerhetsinformasjon og data om målet sitt. Dette simulerer et angrep fra en tidligere ansatt eller noen som innhentet lekkede sikkerhetsdata.
Blind Pentest
I motsetning til en datadrevet test betyr en blindtest at hackeren ikke får noen informasjon om målet deres annet enn navnet sitt og hva som er offentlig tilgjengelig.
Dobbeltblind pentest
I tillegg til å teste selskapets digitale sikkerhetstiltak (maskinvare og programvare), inkluderer denne testen også sikkerhets- og IT-ansatte. I dette iscenesatte angrepet er det ingen i selskapet som er klar over pentest, og tvinger dem til å reagere som om de støter på en ondsinnet nettangrep.
Dette gir verdifulle data om selskapets generelle sikkerhet og personalets beredskap og hvordan de to samhandler.
Hvordan fungerer penetrasjonstesting
I likhet med ondsinnede angrep, trenger etisk hacking nøye planlegging. Det er flere trinn den etiske hackeren må følge for å sikre en vellykket pentest som gir verdifull innsikt. Her er et innblikk i pentest metodikk.
1. Samle informasjon og planlegging
Enten det er en blind eller datadrevet pentest, må hackeren først samle informasjon om målet sitt på ett sted og planlegge angrepspunktet rundt det.
2. Evaluering av sårbarhet
Det andre trinnet er å skanne deres angrepsvei, på jakt etter hull og sårbarheter å utnytte. Hackeren søker tilgangspunkter og kjører deretter flere småskala tester for å se hvordan sikkerhetssystemet reagerer.
3. Utnytte sårbarheter
Etter å ha funnet de riktige inngangspunktene, vil hackeren prøve å trenge inn i sikkerheten og få tilgang til nettverket.
Dette er det faktiske 'hacking' trinnet der de bruker alle mulige måter for å omgå sikkerhetsprotokoller, brannmurer og overvåkningssystemer. De kunne bruke metoder som SQL-injeksjoner, sosialtekniske angrepeller skripting på tvers av nettsteder.
Lær hvordan sosialteknikk kan påvirke deg, pluss vanlige eksempler som hjelper deg med å identifisere og holde deg trygg fra disse ordningene.
4. Opprettholde skjult tilgang
De fleste moderne cybersikkerhetsforsvarssystemer er avhengige av deteksjon like mye som beskyttelse. For at angrepet skal lykkes, må hackeren være inne i nettverket uoppdaget lenge nok til å oppnå målet sitt, enten det lekker data, ødelegger systemer eller filer eller installerer skadevare.
5. Rapportering, analyse og reparasjon
Etter at angrepet er avsluttet - vellykket eller ikke - vil hackeren rapportere til arbeidsgiveren med sine funn. Sikkerhetsfagfolk analyserer deretter dataene fra angrepet, sammenligner det med hva deres overvåkingssystem rapporterer, og implementerer de riktige modifikasjonene for å forbedre sikkerheten.
6. Skyll og gjenta
Det er ofte et sjette trinn der bedrifter tester forbedringene de har gjort i sikkerhetssystemet deres ved å gjennomføre en ny penetrasjonstest. De kan ansette den samme etiske hackeren hvis de vil teste datadrevne angrep eller en annen for en blind pentest.
Etisk hacking er ikke bare et yrke. De fleste etiske hackere bruker spesialiserte operativsystemer og programvare for å gjøre arbeidet lettere og unngå manuelle feil, noe som gir hver pentest alt.
Så hva bruker pennetesting-hackere? Her er noen eksempler.
Parrot Security er et Linux-basert operativsystem som er designet for penetrasjonstesting og sårbarhetsvurderinger. Den er skyvennlig, enkel å bruke og støtter forskjellige pentest-programvare med åpen kildekode.
Live Hacking er også et Linux-operativsystem, og det er en pentester, siden den er lett og ikke har høye maskinvarekrav. Den leveres også ferdigpakket med verktøy og programvare for penetrasjonstesting og etisk hacking.
Nmap er en open source intelligence (OSINT) verktøy som overvåker et nettverk og samler inn og analyserer data om enhetens verter og servere, noe som gjør det verdifullt for svart-, grå- og hvithatt-hackere.
Det er også plattformoverskridende og fungerer med Linux, Windows og macOS, så det er ideelt for nybegynneretisk hacker.
WebShag er også et OSINT-verktøy. Det er et systemrevisjonsverktøy som skanner HTTPS- og HTTP-protokoller og samler inn relative data og informasjon. Den brukes av etiske hackere som utfører utenforstående pentests gjennom offentlige nettsteder.
Hvor du skal dra for penetrasjonstesting
Pennetesting av ditt eget nettverk er ikke det beste alternativet, da du sannsynligvis har omfattende kunnskap om det, noe som gjør det vanskeligere å tenke utenfor boksen og finne skjulte sårbarheter. Du bør enten ansette en uavhengig etisk hacker eller tjenestene til et selskap som tilbyr pennetesting.
Likevel kan det være veldig risikabelt å ansette en utenforstående for å hacke seg inn i nettverket ditt, spesielt hvis du gir dem sikkerhetsinformasjon eller innsidertilgang. Dette er grunnen til at du bør holde deg til pålitelige tredjepartsleverandører. Her er et lite utvalg av de tilgjengelige.
HackerOne er et San Francisco-basert selskap som tilbyr penetrasjonstesting, sårbarhetsvurdering og testing av testtjenester.
ScienceSoft ligger i Texas, og tilbyr sårbarhetsvurderinger, pennetesting, samsvarstesting og infrastrukturrevisjonstjenester.
Basert i Atlanta, Georgia, tilbyr Raxis verdifulle tjenester fra pennetesting og sikkerhetskodegjennomgang til hendelsesresponsopplæring, sårbarhetsvurderinger og forebyggende opplæring i sosialteknikk.
Få mest mulig ut av penetrasjonstesting
Selv om det fremdeles er relativt nytt, gir pennetesting unik innsikt i hvordan en hackers hjerne fungerer når de angriper. Det er verdifull informasjon som selv de dyktigste fagfolk innen cybersikkerhet ikke kan gi arbeid på overflaten.
Pennetesting kan være den eneste måten å unngå å bli målrettet av hackere med svart hatt og lide konsekvensene.
Bildekreditt: Uplask.
Etisk hacking er en måte å bekjempe sikkerhetsrisikoen ved nettkriminalitet. Er etisk hacking lovlig? Hvorfor trenger vi det til og med?
- Sikkerhet
- Online sikkerhet
Anina er frilansteknologi- og internetsikkerhetsforfatter på MakeUseOf. Hun begynte å skrive innen cybersikkerhet for 3 år siden i håp om å gjøre det mer tilgjengelig for den gjennomsnittlige personen. Lyst på å lære nye ting og en enorm astronominerd.
Abonner på vårt nyhetsbrev
Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.