När du skapar ett nytt säkerhetssystem måste du se till att det fungerar ordentligt med så få sårbarheter som möjligt. Där digitala tillgångar värda tusentals dollar är inblandade har du inte råd att lära av dina misstag och bara fylla i luckor i din säkerhet som hackare tidigare utnyttjat.
Det bästa sättet att förbättra och garantera ditt nätverks säkerhet är att kontinuerligt testa det och leta efter brister att åtgärda.
Vad är penetrationstestning?
Så vad är ett penna test?
Penetrationstestning, även känd som penningtestning, är en iscensatt cybersäkerhetsattack som efterliknar en faktisk säkerhetsincident. Den simulerade attacken kan riktas mot en eller flera delar av ditt säkerhetssystem och letar efter svaga punkter som en skadlig hackare kan utnyttja.
Det som skiljer det från en faktisk cyberattack är att personen som gör det är en vit hatt - eller etisk - hackare som du anställer. De har färdigheterna att tränga igenom ditt försvar utan den onda avsikten hos deras kollegor med svart hatt.
Typer av Pentests
Det finns olika exempel på pentests beroende på vilken typ av attack den etiska hackaren startar, den information de får i förväg och de begränsningar som de anställda har satt.
En enda pentest kan vara en, eller en kombination, av de primära pentest-typerna, som inkluderar:
Insider Pentest
En insider eller intern pentest simulerar en insider cyberattack, där en skadlig hackare poserar som en legitim anställd och får tillgång till företagets interna nätverk.
Detta förlitar sig på att hitta interna säkerhetsfel som åtkomstbehörighet och nätverksövervakning, snarare än externa som brandvägg, antivirus- och slutpunktsskydd.
Outsider Pentest
Som namnet antyder ger denna typ av pentest inte hackaren tillgång till företagets interna nätverk eller anställda. Det ger dem möjlighet att hacka in genom företagets externa teknik som offentliga webbplatser och öppna kommunikationsportar.
Utomstående pentester kan överlappa med socialtekniska pentests, där hackaren lurar och manipulerar en anställd för att ge dem tillgång till företagets interna nätverk, förbi dess externa skydd.
Datadriven Pentest
Med en datadriven pentest förses hackaren med säkerhetsinformation och data om sitt mål. Detta simulerar en attack från en tidigare anställd eller någon som erhöll läckta säkerhetsdata.
Blind Pentest
I motsats till ett datadrivet test betyder ett blindtest att hackaren inte får någon information alls om sitt mål förutom deras namn och vad som är offentligt tillgängligt.
Dubbelblind Pentest
Förutom att testa företagets digitala säkerhetsåtgärder (hårdvara och mjukvara), inkluderar detta test även dess säkerhets- och IT-personal. I denna iscensatta attack är ingen i företaget medveten om den pentest som tvingar dem att reagera som om de stöter på en skadlig cyberattack.
Detta ger värdefull information om företagets övergripande säkerhet och personalens beredskap och hur de två interagerar.
Hur penetrationstest fungerar
I likhet med skadliga attacker behöver etisk hacking noggrann planering. Det finns flera steg som den etiska hackaren måste följa för att säkerställa en framgångsrik pentest som ger värdefull insikt. Här är en inblick i pentest metodik.
1. Insamling av information och planering
Oavsett om det är en blind eller datadriven pentest, måste hackaren först samla information om sitt mål på en plats och planera attackpunkten runt det.
2. Utvärdering av sårbarhet
Det andra steget är att söka igenom deras angreppssätt, leta efter luckor och sårbarheter att utnyttja. Hackaren söker åtkomstpunkter och kör sedan flera småskaliga tester för att se hur säkerhetssystemet reagerar.
3. Utnyttja sårbarheter
Efter att ha hittat rätt startpunkter kommer hackaren att försöka tränga in i dess säkerhet och komma åt nätverket.
Detta är det faktiska ”hackningssteget” där de använder alla möjliga sätt för att kringgå säkerhetsprotokoll, brandväggar och övervakningssystem. De kan använda metoder som SQL-injektioner, socialtekniska attackereller skript på flera platser.
Lär dig hur socialteknik kan påverka dig, plus vanliga exempel som hjälper dig att identifiera och hålla dig säker från dessa scheman.
4. Underhålla hemlig åtkomst
De flesta moderna cybersäkerhetsförsvarssystem är beroende av detektering lika mycket som skydd. För att attacken ska lyckas måste hackaren stanna kvar i nätverket oupptäckt länge tillräckligt för att uppnå sitt mål, oavsett om det läcker data, skadar system eller filer eller installerar skadlig kod.
5. Rapportering, analys och reparation
Efter att attacken avslutats - framgångsrik eller inte - kommer hackaren att rapportera till sin arbetsgivare med sina resultat. Säkerhetspersonal analyserar sedan data från attacken, jämför dem med vad deras övervakningssystem rapporterar och implementerar rätt ändringar för att förbättra deras säkerhet.
6. Skölj och upprepa
Det finns ofta ett sjätte steg där företag testar de förbättringar de gjort i sitt säkerhetssystem genom att genomföra ett nytt penetrationstest. De kan anställa samma etiska hackare om de vill testa datadrivna attacker eller en annan för en blind pentest.
Etisk hacking är inte ett yrke som bara är kompetens. De flesta etiska hackare använder specialiserade operativsystem och programvara för att underlätta sitt arbete och undvika manuella misstag, vilket ger varje pentest allt.
Så vad använder penna test hackare? Här är några exempel.
Parrot Security är ett Linux-baserat operativsystem som var utformat för penetrationstestning och sårbarhetsbedömningar. Det är molnvänligt, lätt att använda och stöder olika pentest-programvara med öppen källkod.
Live Hacking är också ett Linux-operativsystem som är en pentesters användning eftersom det är lätt och inte har höga hårdvarukrav. Den levereras också förpackad med verktyg och programvara för penetrationstestning och etisk hacking.
Nmap är en OSINT-verktyg (open source intelligence) som övervakar ett nätverk och samlar in och analyserar data om enhetens värdar och servrar, vilket gör den värdefull för både hackare med svart, grå och vit hatt.
Det är också plattformsoberoende och fungerar med Linux, Windows och macOS, så det är perfekt för nybörjare etisk hacker.
WebShag är också ett OSINT-verktyg. Det är ett systemgranskningsverktyg som skannar HTTPS- och HTTP-protokoll och samlar in relativ data och information. Det används av etiska hackare som utför utomstående pentests via offentliga webbplatser.
Vart ska man gå för penetrationstestning
Att testa ditt eget nätverk är inte det bästa alternativet eftersom du sannolikt har stor kunskap om det, vilket gör det svårare att tänka utanför lådan och hitta dolda sårbarheter. Du bör antingen hyra en oberoende etisk hackare eller tjänster från ett företag som erbjuder penningtestning.
Ändå kan det vara mycket riskabelt att anställa en utomstående att hacka in i ditt nätverk, särskilt om du ger dem säkerhetsinformation eller insideråtkomst. Det är därför du bör hålla dig till betrodda tredjepartsleverantörer. Här är ett litet urval av de tillgängliga.
HackerOne är ett San Francisco-baserat företag som tillhandahåller penetrationstester, sårbarhetsbedömning och testtjänster för efterlevnad av protokoll.
ScienceSoft ligger i Texas och erbjuder sårbarhetsbedömningar, testning av penna, testning av efterlevnad och revision av infrastruktur.
Baserat i Atlanta, Georgia, erbjuder Raxis värdefulla tjänster från testning av pennor och granskning av säkerhetskoder till utbildning om incidentrespons, sårbarhetsbedömningar och socialteknisk förebyggande utbildning.
Få ut det mesta av penetrationstestningen
Även om det fortfarande är relativt nytt, erbjuder testning av pennor unik inblick i hur en hackers hjärna fungerar när de attackerar. Det är värdefull information som även de skickligaste cybersäkerhetspersonalen inte kan tillhandahålla när de arbetar på ytan.
Penttestning kan vara det enda sättet att undvika att bli riktad av hackare med svart hatt och drabbas av konsekvenserna.
Bildkredit: Unsplash.
Etisk hacking är ett sätt att bekämpa säkerhetsriskerna med cyberbrott. Är etisk hacking lagligt? Varför behöver vi det ens?
- säkerhet
- Onlinesäkerhet
Anina är en frilansande teknik- och internetsäkerhetsförfattare på MakeUseOf. Hon började skriva inom cybersäkerhet för 3 år sedan i hopp om att göra det mer tillgängligt för den genomsnittliga personen. Uppmärksam på att lära sig nya saker och en enorm astronominörd.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Ett steg till…!
Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.
