Miten kyberrikolliset murtautuvat järjestelmiin? Miten voit suojautua niitä vastaan? Eettiset hakkerit voivat näyttää sinulle pentestien avulla.
Ei ole olemassa täysin turvallista järjestelmää. Penetration-testaus, lyhennettynä pentesting, on erikoistunut testausmenettely, joka sisältää skannauksen, arvioida ja vahvistaa tietojärjestelmän kaikkia rakennuspalikoita mahdollisia kyberiä vastaan hyökkäykset. Yritykset käyttävät bugipalkkiosivustoja paljastaakseen järjestelmiensä tietoturvapuutteita. Kyberturvallisuuden asiantuntijat, jotka ovat penetraatiotestauksen asiantuntijoita, paljastavat ja paljastavat organisaation puutteet laillisesti bugipalkkiojärjestelmien avulla. Joten miten tämä prosessi toimii?
1. Passiivinen tiedon kerääminen ja seuranta
Bug bounty and penetration -testin ensimmäisessä vaiheessa testaajan on kerättävä tietoa kohdejärjestelmästä. Koska hyökkäys- ja testausmenetelmiä on melko paljon, penetraatiotestaajan on priorisoitava kerättyjen tietojen perusteella sopivin testimenetelmä.
Tässä vaiheessa poimitaan arvokkaita tietoja kohdejärjestelmän infrastruktuurista, kuten toimialueen nimistä, verkkolohkoista, reitittimistä ja IP-osoitteista. Lisäksi on kerättävä kaikki asiaankuuluvat tiedot, jotka voivat edistää hyökkäyksen onnistumista, kuten työntekijöiden tiedot ja puhelinnumerot.
Tämän vaiheen aikana avoimista lähteistä saadut tiedot voivat yllättävän saada kriittisiä yksityiskohtia. Tämän saavuttamiseksi eettisen hakkerin on hyödynnettävä erilaisia lähteitä, painottaen erityisesti kohdelaitoksen verkkosivustoa ja sosiaalisen median alustoja. Keräämällä näitä tietoja huolellisesti testaaja luo pohjan onnistuneelle bugipalkkioyritykselle.
Useimmat organisaatiot kuitenkin asettavat erilaisia sääntöjä penetraatiotestaajalle bugipalkkion aikana. Oikeudellisesta näkökulmasta on tärkeää olla poikkeamatta näistä säännöistä.
2. Aktiivinen tiedonkeruu ja skannaus
Läpäisytestauslaite havaitsee, mitkä aktiiviset ja passiiviset laitteet toimivat IP-alueella, tyypillisesti se tehdään passiivisella keräämisellä bugipalkkion aikana. Tämän passiivisen keräämisen aikana saamiensa tietojen avulla pentesterin on määritettävä polku – heidän on priorisoitava ja määritettävä tarkalleen, mitä testejä tarvitaan.
Tässä vaiheessa on väistämätöntä, että hakkeri saa tietoa käyttöjärjestelmästä (OS), avoimista porteista ja palveluista sekä niiden versiotiedot reaaliaikaisista järjestelmistä.
Lisäksi, jos virhepalkkiota pyytävä organisaatio laillisesti sallii läpäisytestaajan seurata verkkoliikennettä, kriittistä tietoa järjestelmän infrastruktuurista voidaan kerätä ainakin niin paljon kuin mahdollista. Useimmat organisaatiot eivät kuitenkaan halua myöntää tätä lupaa. Tällaisessa tilanteessa läpäisymittari ei saa ylittää sääntöjä.
3. Analysointi- ja testausvaihe
Tässä vaiheessa läpäisevyyden testaaja selvittää, kuinka kohdesovellus reagoi erilaisiin tunkeutumiseen yrittää, yrittää muodostaa aktiivisia yhteyksiä järjestelmiin, joiden se havaitsee olevan elossa, ja yrittää luoda suoria kyselyt. Toisin sanoen tämä on vaihe, jossa eettinen hakkeri on vuorovaikutuksessa kohdejärjestelmän kanssa käyttämällä tehokkaasti palveluita, kuten FTP, Netcat ja Telnet.
Vaikka se epäonnistuu tässä vaiheessa, päätarkoituksena tässä on testata tiedonkeruussa saatuja tietoja askeleita ja tehdä siitä muistiinpanoja.
4. Manipulointi- ja hyväksikäyttöyritys
Tunnustestaaja kerää kaikki edellisissä prosesseissa kerätyt tiedot yhtä tavoitetta varten: yrittää päästä kohdejärjestelmään samalla tavalla kuin aito, pahantahtoinen hakkeri olisi. Tästä syystä tämä vaihe on niin kriittinen. Koska suunnitellessaan bugipalkkiota penetraatiotestaajien tulisi ajatella kuin vihamieliset hakkerit.
Tässä vaiheessa pentesteri yrittää tunkeutua järjestelmään käyttämällä kohdejärjestelmässä toimivaa käyttöjärjestelmää, avoimia portteja ja näissä satamissa palvelevat palvelut ja niiden valossa sovellettavissa olevat hyödyntämismenetelmät versiot. Koska verkkopohjaiset portaalit ja sovellukset koostuvat niin paljon koodista ja niin monista kirjastoista, haitallisilla hakkereilla on suurempi pinta-ala hyökätä. Tässä suhteessa hyvän penetraatiotestaajan tulee harkita kaikkia mahdollisuuksia ja toteuttaa kaikki mahdolliset sääntöjen puitteissa sallitut hyökkäysvektorit.
Vaatii vakavaa asiantuntemusta ja kokemusta voidakseen käyttää olemassa olevia hyödyntämismenetelmiä menestyksekkäästi ja joustavasti, vahingoittamatta järjestelmää ja jättämättä jälkiä haltuunottoprosessin aikana järjestelmä. Tämä läpäisytestin vaihe on siksi kriittisin vaihe. Jotta rikostekniset laskentatiimit voivat puuttua asiaan mahdollisen hyökkäyksen aikana, kyberhyökkääjän on seurattava jäljelle jääneitä jälkiä.
5. Etuoikeuskorotusyritys
Järjestelmä on vain niin vahva kuin sen heikoin lenkki. Jos eettinen hakkeri onnistuu pääsemään järjestelmään, hän yleensä kirjautuu järjestelmään vähäpätöisenä käyttäjänä. Tässä vaiheessa läpäisytestin pitäisi tarvitset järjestelmänvalvojan tason oikeudet, käyttöjärjestelmän tai ympäristön haavoittuvuuksien hyödyntäminen.
Sen jälkeen heidän tulisi pyrkiä kaappaamaan muita verkkoympäristön laitteita näillä lisäoikeuksilla he ovat saaneet ja viime kädessä korkeimman tason käyttäjäoikeudet, kuten Domain Administrator tai Database Järjestelmänvalvoja.
6. Raportointi ja esittely
Kun tunkeutumistesti ja bugipalkkion vaiheet on suoritettu, tunkeutumistestaajan tai bug hunterin on esitettävä tietoturva-aukkoja havaittiin kohdejärjestelmässä, mitä vaiheita seurattiin ja kuinka he pystyivät hyödyntämään näitä haavoittuvuuksia organisaatiossa yksityiskohtaisella raportti. Tämän pitäisi sisältää tietoja, kuten kuvakaappauksia, esimerkkikoodeja, hyökkäysvaiheita ja mitä tämä haavoittuvuus voi aiheuttaa.
Loppuraportin tulee sisältää myös ratkaisuehdotus siitä, miten jokainen tietoturva-aukko saadaan umpeen. Läpäisytestien herkkyyden ja riippumattomuuden pitäisi jäädä mysteeriksi. Eettinen hakkeri ei saa koskaan jakaa tässä vaiheessa saamiaan luottamuksellisia tietoja eikä käyttää niitä väärin tarjoamalla vääriä tietoja, koska se on yleensä laitonta.
Miksi penetraatiotesti on tärkeä?
Läpäisytestauksen perimmäisenä tavoitteena on paljastaa, kuinka turvallinen järjestelmäinfrastruktuuri on hyökkääjän näkökulmasta ja sulkea mahdolliset haavoittuvuudet. Sen lisäksi, että se tunnistaa organisaation turvallisuusasennon heikkoja kohtia, se mittaa myös sen turvallisuuspolitiikan relevanssia, testataan henkilöstön tietoisuutta turvallisuuskysymyksistä ja määritetään, missä määrin yritys on ottanut kyberturvallisuuden käyttöön periaatteita.
Läpäisytesteistä on tulossa yhä tärkeämpiä. Yritysrakenteiden ja henkilökohtaisten sovellusten infrastruktuurin turvallisuuden analysoimiseksi on välttämätöntä saada tukea sertifioiduilta eettisiltä penetraatiotestaajilta.