Etisk hacking: Hva er stadiene av penetrasjonstesting?

Det er ikke noe slikt som et helt sikkert system. Penetrasjonstesting, forkortet pentesting, er en spesialisert testprosedyre som innebærer skanning, evaluere og styrke alle et informasjonssystems byggeklosser mot potensiell cyber overgrep. Selskaper bruker bug bounty-nettsteder for å avdekke sikkerhetsfeil i systemene deres. Cybersikkerhetsspesialister som er eksperter på penetrasjonstesting avdekker og avslører organisatoriske feil på lovlig vis med bug bounty-systemer. Så hvordan fungerer denne prosessen?

1. Passiv informasjonsinnsamling og sporing

I den første fasen av en bug bounty- og penetrasjonstest, må testeren samle informasjon om målsystemet. Fordi det er ganske mange angreps- og testmetoder, må penetrasjonstesteren prioritere basert på informasjonen som samles inn for å finne den mest hensiktsmessige testmetoden.

Dette trinnet innebærer å trekke ut verdifulle detaljer om målsystemets infrastruktur, for eksempel domenenavn, nettverksblokker, rutere og IP-adresser innenfor dets omfang. I tillegg bør all relevant informasjon som kan øke suksessen til angrepet, som ansattes data og telefonnumre, samles inn.

Dataene hentet fra åpne kilder i denne fasen kan overraskende gi kritiske detaljer. For å oppnå dette må den etiske hackeren utnytte ulike kilder, med særlig vekt på målinstitusjonens nettside og sosiale medieplattformer. Ved å omhyggelig samle denne intelligensen, legger testeren grunnlaget for en vellykket bug-bounty-innsats.

Imidlertid pålegger de fleste organisasjoner ulike regler for penetrasjonstesteren under feilpremien. Det er vesentlig fra et juridisk synspunkt å ikke avvike fra disse reglene.

2. Aktiv informasjonsinnsamling og skanning

Penetrasjonstesteren oppdager hvilke aktive og passive enheter som opererer innenfor IP-området, vanligvis gjort ved passiv innsamling under feilen. Ved hjelp av informasjonen som ble innhentet under denne passive innsamlingen, må pentesteren bestemme en vei - de må prioritere og bestemme nøyaktig hvilke tester som trengs.

I løpet av dette stadiet er det uunngåelig at hackeren får informasjon om operativsystemet (OS), åpne porter og tjenester og deres versjonsinformasjon på aktive systemer.

I tillegg, hvis organisasjonen som ber om bug-bounty lovlig tillater penetrasjonstesteren for å overvåke nettverkstrafikken, kan kritisk informasjon om systeminfrastrukturen samles inn, i det minste så mye som mulig. De fleste organisasjoner ønsker imidlertid ikke å gi denne tillatelsen. I en slik situasjon må ikke penetrasjonstesteren gå utover reglene.

3. Analyse- og testtrinn

På dette stadiet, penetrasjonstesteren, etter å ha funnet ut hvordan målapplikasjonen vil reagere på ulike inntrengninger forsøker, prøver å etablere aktive forbindelser med systemene den oppdager å være i live og prøver å lage direkte henvendelser. Med andre ord er dette stadiet der den etiske hackeren samhandler med målsystemet ved å effektivt bruke tjenester som FTP, Netcat og Telnet.

Selv om det mislykkes på dette stadiet, er hovedformålet her å teste data innhentet i informasjonsinnhentingen trinn og ta notater om det.

4. Manipulasjons- og utnyttelsesforsøk

Penetrasjonstesteren samler alle dataene samlet i de foregående prosessene for ett mål: forsøk på å få tilgang til målsystemet på samme måte som en ekte, ondsinnet hacker ville. Dette er grunnen til at dette trinnet er så kritisk. For mens de utformer en bug-bounty, bør penetrasjonstestere tenke som fiendtlige hackere.

På dette stadiet prøver pentesteren å infiltrere systemet ved å bruke operativsystemet som kjører på målsystemet, de åpne portene og tjenestene som betjener disse havnene, og utnyttelsesmetodene som kan brukes i lys av deres versjoner. Siden nettbaserte portaler og applikasjoner består av så mye kode og så mange biblioteker, er det et større overflateareal for en ondsinnet hacker å angripe. I denne forbindelse bør en god penetrasjonstester vurdere alle muligheter og implementere alle mulige angrepsvektorer som er tillatt innenfor reglene.

Det krever seriøs kompetanse og erfaring for å kunne bruke eksisterende utnyttelsesmetoder med suksess og fleksibelt, uten å skade systemet, og uten å etterlate noen spor, under prosessen med å overta system. Dette stadiet av penetrasjonstesten er derfor det mest kritiske trinnet. For at rettsmedisinske datateam skal gripe inn under et mulig angrep, må nettangriperen følge sporene som er etterlatt.

5. Privilegium heving forsøk

Et system er bare så sterkt som dets svakeste ledd. Hvis en etisk hacker klarer å få tilgang til et system, logger de vanligvis på systemet som en bruker med lav autoritet. På dette stadiet bør penetrasjonstesteren trenger autoritet på administratornivå, utnytter sårbarheter i operativsystemet eller miljøet.

Deretter bør de ta sikte på å beslaglegge andre enheter i nettverksmiljøet med disse tilleggsprivilegiene de har oppnådd, og til slutt de høyeste brukerrettighetene som domeneadministrator eller database Administrator.

6. Rapportering og presentasjon

Når penetrasjonstesten og bug bounty-trinnene er fullført, må penetrasjonstesteren eller feiljegeren presentere sikkerhetssårbarhetene de oppdaget i målsystemet, trinnene som ble fulgt, og hvordan de var i stand til å utnytte disse sårbarhetene til organisasjonen med en detaljert rapportere. Dette bør inkludere informasjon som skjermbilder, eksempelkoder, angrepsstadier og hva denne sårbarheten kan forårsake.

Sluttrapporten bør også inneholde et løsningsforslag om hvordan man kan tette hvert sikkerhetshull. Følsomheten og uavhengigheten til penetrasjonstester bør forbli et mysterium. Den etiske hackeren bør aldri dele konfidensiell informasjon innhentet på dette stadiet og bør aldri misbruke denne informasjonen ved å gi feilinformasjon, da det generelt er ulovlig.

Hvorfor er penetrasjonstesten viktig?

Det endelige målet med penetrasjonstesting er å avsløre hvor sikker systeminfrastrukturen er fra en angripers perspektiv og å lukke eventuelle sårbarheter. I tillegg til å identifisere svake punkter i en organisasjons sikkerhetsstilling, måler den også relevansen av sikkerhetspolitikken, teste ansattes bevissthet om sikkerhetsproblemer, og bestemme i hvilken grad virksomheten har implementert cybersikkerhet prinsipper.

Penetrasjonstester blir viktigere. For å analysere sikkerheten i infrastrukturen til bedriftsstrukturer og personlige applikasjoner, er det viktig å få støtte fra sertifiserte etiske penetrasjonstestere.