Läpäisytestaus on keskeinen tapa pitää tietosi turvassa, mutta monet meistä tekevät siitä useita vääriä oletuksia.
Tietokonejärjestelmien haavoittuvuudet eivät välttämättä ole ongelmallisia ennen kuin tunkeilijat löytävät ne ja käyttävät niitä hyväkseen. Jos kehität porsaanreikkien tunnistamisen kulttuuria ennen uhkatekijöitä, voit ratkaista ne, jotta niistä ei aiheudu merkittävää haittaa. Tämä on mahdollisuus, jonka läpäisytestaus tarjoaa sinulle.
Läpäisytestaukseen liittyy kuitenkin enemmän kuin muutama myytti, jotka voivat estää sinua ryhtymästä turvallisuuttasi parantaviin toimiin.
1. Läpäisytestaus on tarkoitettu vain organisaatioille
On olemassa käsitys, että läpäisytestaus on organisaatioiden, ei yksilöiden, toimintaa. Pentestin tavoitteen ymmärtäminen on avainasia tämän selventämiseksi. Testin loppupeli on tietojen suojaaminen. Organisaatiot eivät ole ainoita, joilla on arkaluonteisia tietoja. Jokapäiväisillä ihmisillä on myös arkaluonteisia tietoja, kuten pankkitietoja, luottokorttitietoja, potilastietoja jne.
Jos et ihmisenä tunnista haavoittuvuuksia järjestelmässäsi tai tilissäsi, uhkatoimijat käyttävät niitä hyväkseen päästäkseen tietoihisi ja käyttämään niitä sinua vastaan. He voivat käyttää sitä syöttinä lunnasohjelmahyökkäyksiin, joissa he vaativat sinua maksamaan kertasumman ennen pääsyn palauttamista.
2. Läpäisytestaus on ehdottomasti ennakoiva toimenpide
Ajatus uhkien löytämisestä järjestelmästä ennen tunkeilijoita osoittaa, että läpäisytestaus on sitä ennakoiva turvatoimi, mutta näin ei aina ole. Se voi joskus olla reaktiivinen, varsinkin kun tutkit kyberhyökkäystä.
Hyökkäyksen jälkeen voit suorittaa pentestin saadaksesi käsityksen hyökkäyksen luonteesta, jotta voit torjua sen oikein. Kun selvität, miten tapaus tapahtui, käyttöönotetut tekniikat ja kohdennetut tiedot, voit estää sen toistumisen sulkemalla aukot.
3. Penetration Testing on toinen nimi haavoittuvuustarkistukselle
Koska sekä tunkeutuvuustestauksessa että haavoittuvuusskannauksessa on kyse uhkavektorien tunnistamisesta, ihmiset käyttävät niitä usein vaihtokelpoisina, koska ne ajattelevat niiden olevan sama asia.
Haavoittuvuuden tarkistus on automaattinen prosessi tunnistaa järjestelmän havaitut haavoittuvuudet. Luettelet mahdolliset puutteet ja skannaat järjestelmäsi selvittääksesi niiden esiintymisen ja vaikutuksen järjestelmääsi. Läpäisytestaus puolestaan tarkoittaa hyökkäysverkkojen levittämistä koko järjestelmään samalla tavalla kuin kyberrikollinen tekisi, toivoen tunnistavansa heikkoja lenkkejä. Toisin kuin haavoittuvuustarkistuksessa, sinulla ei ole ennalta määritettyä luetteloa uhista, joita sinun pitäisi varoa, mutta yritä kaikkea mahdollista.
4. Läpäisytestaus voidaan täysin automatisoida
Läpäisytestauksen automatisointi näyttää teoriassa hyvältä, mutta todellisuudessa se on kaukaa haettua. Kun automatisoit pentestin, suoritat haavoittuvuustarkistuksen. Järjestelmä ei ehkä pysty ratkaisemaan ongelmia.
Läpäisytestaus vaatii ihmisen panoksen. Sinun on pohdittava mahdollisia tapoja tunnistaa uhkia, vaikka niitä ei näyttäisi olevan olemassakaan. Sinun on testattava tietosi eettisestä hakkeroinnista käyttämällä kaikkia saatavilla olevia tekniikoita murtautuaksesi verkon turvallisimmille alueille aivan kuten hakkeri tekisi. Ja kun tunnistat haavoittuvuuksia, etsit tapoja korjata ne, jotta niitä ei enää ole.
5. Läpäisytestaus on liian kallista
Läpäisytestauksen suorittaminen vaatii sekä henkilöresursseja että teknisiä resursseja. Testin suorittajan on oltava erittäin taitava, eivätkä tällaiset taidot ole halpaa. Heillä tulee olla myös tarvittavat työkalut. Vaikka nämä resurssit eivät välttämättä ole helposti saatavilla, ne ovat uhkien ehkäisyssä tarjoamansa arvon arvoisia.
Läpäisytestaukseen investoinnin hinta on mitätön verrattuna kyberhyökkäysten taloudellisiin vahinkoihin. Jotkut tietojoukot ovat korvaamattomia. Kun uhkatoimijat paljastavat ne, vaikutukset ovat taloudellisesti mittaamattomia. Ne voivat pilata maineesi lunastuksen jälkeen.
Jos hakkerit pyrkivät kiristämään sinulta rahaa hyökkäyksen aikana, he vaativat suuria summia, jotka ovat yleensä korkeampia kuin viimeinen budjettisi.
6. Läpäisytestauksen voivat suorittaa vain ulkopuoliset
On olemassa pitkäaikainen myytti, jonka mukaan läpäisytestaus on tehokkainta, kun sen suorittaa ulkopuoliset osapuolet kuin sisäiset osapuolet. Tämä johtuu siitä, että ulkopuolinen henkilöstö on objektiivisempaa, koska heillä ei ole yhteyttä järjestelmään.
Vaikka objektiivisuus on avainasemassa testin pätevyyden kannalta, järjestelmään kuuluminen ei tee testistä täysin epäobjektiivista. Läpäisytesti koostuu vakiomenettelyistä ja suorituskykymittareista. Jos testaaja noudattaa ohjeita, tulokset ovat päteviä.
Lisäksi järjestelmän tunteminen voi olla etu, koska olet tietoinen heimotiedosta, joka auttaa sinua navigoimaan järjestelmässä paremmin. Painopisteen ei pitäisi olla ulkoisen tai sisäisen testaajan hankkimisessa, vaan sellaisessa, jolla on taidot tehdä hyvää työtä.
7. Läpäisytestaus tulisi tehdä silloin tällöin
Jotkut ihmiset tekevät mieluummin penetraatiotestauksen silloin tällöin, koska he uskovat, että heidän testinsä vaikutus on pitkäaikainen. Tämä on haitallista, kun otetaan huomioon kyberavaruuden epävakaus.
Kyberrikolliset työskentelevät ympäri vuorokauden etsiessään järjestelmien haavoittuvuuksia. Pitkät taukoajat pentestien välillä antaa heille runsaasti aikaa tutkia uusia porsaanreikiä, joita et ehkä tiedä.
Sinun ei tarvitse suorittaa tunkeutumistestiä joka toinen päivä. Oikea tasapaino olisi tehdä se säännöllisesti kuukausien sisällä. Tämä on riittävää, varsinkin kun sinulla on muita turvatoimia paikan päällä ilmoittamaan sinulle uhkavektoreista, vaikka et etsi niitä aktiivisesti.
8. Läpäisytestauksessa on kyse teknisten haavoittuvuuksien löytämisestä
On olemassa väärinkäsitys, että läpäisytestaus keskittyy järjestelmien teknisiin haavoittuvuuksiin. Tämä on ymmärrettävää, koska päätepisteet, joiden kautta tunkeilijat pääsevät järjestelmiin, ovat teknisiä, mutta niissä on myös joitain ei-teknisiä elementtejä.
Otetaan esimerkiksi sosiaalinen suunnittelu. Kyberrikollinen voisi käyttää sosiaalisen suunnittelun tekniikoita houkutella sinut paljastamaan kirjautumistietosi ja muita arkaluonteisia tietoja tilistäsi tai järjestelmästäsi. Perusteellisella pentestillä tutkitaan myös ei-teknisiä alueita määrittääkseen todennäköisyytesi joutua niiden uhriksi.
9. Kaikki läpäisytestit ovat samoja
Ihmisillä on taipumus päätellä, että kaikki läpäisytestit ovat samoja, varsinkin kun he ottavat huomioon kustannukset. Joku saattaisi päättää valita halvemman testauspalveluntarjoajan vain säästääkseen kustannuksia uskoen, että heidän palvelunsa on yhtä hyvä kuin kalliimpikin, mutta se ei ole totta.
Kuten useimmissa palveluissa, penetraatiotestauksella on eri asteita. Sinulla voi olla laaja testi, joka kattaa kaikki verkkosi alueet, ja ei-laaja, joka kaappaa muutamia verkkosi alueita. On parasta keskittyä testistä saamaasi arvoon, ei kustannuksiin.
10. Puhdas testi tarkoittaa, että kaikki on hyvin
Puhdas testitulos testistäsi on hyvä merkki, mutta sen ei pitäisi tehdä sinusta omahyväistä kyberturvallisuuttasi. Niin kauan kuin järjestelmäsi on toiminnassa, se on alttiina uusille uhille. Jos mitään, puhtaan tuloksen pitäisi motivoida sinua tuplaamaan tietoturvasi. Suorita penetraatiotesti säännöllisesti uusien uhkien ratkaisemiseksi ja uhkattoman järjestelmän ylläpitämiseksi.
Saavuta täydellinen verkon näkyvyys tunkeutumistestauksella
Penetraatiotestaus antaa sinulle ainutlaatuisen käsityksen verkkostasi. Verkon omistajana tai järjestelmänvalvojana tarkastelet verkkoasi eri tavalla kuin tunkeilijan näkemys, jolloin jäät huomaamatta joitain tietoja, jotka he saattavat olla tiedossa. Mutta testin avulla voit tarkastella verkkoasi hakkerin linssistä, jolloin saat täydellisen näkyvyyden kaikista näkökohdista, mukaan lukien uhkavektorit, jotka normaalisti olisivat kuolleissa kulmissasi.
