Når du opretter et nyt sikkerhedssystem, skal du sørge for, at det fungerer korrekt med så få sårbarheder som muligt. Hvor digitale aktiver til en værdi af tusinder af dollars er involveret, har du ikke råd til at lære af dine fejl og udfylde kun huller i din sikkerhed, som hackere tidligere har udnyttet.
Den bedste måde at forbedre og garantere dit netværks sikkerhed på er ved løbende at teste det og se efter mangler at rette.
Hvad er penetrationstest?
Så hvad er en pen test?
Penetrationstest, også kendt som pen-test, er et iscenesat cybersikkerhedsangreb, der efterligner en faktisk sikkerhedshændelse. Det simulerede angreb kan målrette mod en eller flere dele af dit sikkerhedssystem og se efter svage punkter, som en ondsindet hacker kunne udnytte.
Hvad der adskiller det fra et egentligt cyberangreb er, at den person, der gør det, er en hvidhatt - eller etisk - hacker, som du ansætter. De har færdighederne til at trænge igennem dit forsvar uden den ondsindede hensigt fra deres kolleger med sort hat.
Typer af Pentests
Der er forskellige eksempler på rystelser, afhængigt af hvilken type angreb den etiske hacker lancerer, de oplysninger, de får på forhånd, og de begrænsninger, der er fastsat af deres medarbejder.
En enkelt pentest kan være en eller en kombination af de primære pentesttyper, der inkluderer:
Insider Pentest
En insider eller intern pentest simulerer en insider cyberangreb, hvor en ondsindet hacker udgør som en legitim medarbejder og får adgang til virksomhedens interne netværk.
Dette er afhængig af at finde interne sikkerhedsfejl som adgangsrettigheder og netværksovervågning snarere end eksterne som firewall, antivirus og slutpunktsbeskyttelse.
Outsider Pentest
Som navnet antyder, giver denne type pentest ikke hacker adgang til virksomhedens interne netværk eller medarbejdere. Det giver dem mulighed for at hacke ind gennem virksomhedens eksterne teknologi som offentlige websteder og åbne kommunikationsporte.
Udenforstående pentests kan overlappe med social engineering pentests, hvor hacker-tricks og manipulerer en medarbejder til at give dem adgang til virksomhedens interne netværk, forbi dets eksterne beskyttelse.
Datadrevet Pentest
Med en datadrevet pentest forsynes hackeren med sikkerhedsoplysninger og data om deres mål. Dette simulerer et angreb fra en tidligere medarbejder eller en person, der har fået lækkede sikkerhedsdata.
Blind pentest
I modsætning til en datadrevet test betyder en blind test, at hacker ikke får nogen som helst information om deres mål udover deres navn, og hvad der er offentligt tilgængeligt.
Dobbeltblind pentest
Ud over at teste virksomhedens digitale sikkerhedsforanstaltninger (hardware og software) inkluderer denne test også dets sikkerheds- og it-personale. I dette iscenesatte angreb er ingen i virksomheden opmærksomme på den pentest, der tvinger dem til at reagere som om de støder på en ondsindet cyberangreb.
Dette giver værdifulde data om virksomhedens overordnede sikkerhed og medarbejdernes beredskab og hvordan de to interagerer.
Hvordan penetrationstest fungerer
I lighed med ondsindede angreb har etisk hacking behov for omhyggelig planlægning. Der er flere trin, som den etiske hacker skal følge for at sikre en vellykket pentest, der giver værdifuld indsigt. Her er et indblik i pentest metode.
1. Indsamling af information og planlægning
Uanset om det er en blind eller datadrevet pentest, skal hackeren først indsamle oplysninger om deres mål et sted og planlægge angrebsstedet omkring det.
2. Evaluering af sårbarhed
Det andet trin er at scanne deres angrebsvej, på udkig efter huller og sårbarheder at udnytte. Hackeren søger adgangspunkter og kører derefter flere småskala test for at se, hvordan sikkerhedssystemet reagerer.
3. Udnyttelse af sårbarheder
Efter at have fundet de rigtige indgangspunkter, vil hacker forsøge at trænge ind i dets sikkerhed og få adgang til netværket.
Dette er det egentlige 'hacking' trin, hvor de bruger alle mulige måder til at omgå sikkerhedsprotokoller, firewalls og overvågningssystemer. De kunne bruge metoder som SQL-injektioner, sociale ingeniørangrebeller scripting på tværs af websteder.
Lær, hvordan social engineering kan påvirke dig, plus almindelige eksempler, der hjælper dig med at identificere og holde dig sikker fra disse ordninger.
4. Opretholdelse af skjult adgang
De fleste moderne cybersikkerhedsforsvarssystemer er afhængige af detektion så meget som beskyttelse. For at angrebet skal lykkes, skal hackeren forblive inde i netværket uopdaget længe nok til at nå deres mål, uanset om det lækker data, ødelægger systemer eller filer eller installerer malware.
5. Rapportering, analyse og reparation
Når angrebet er afsluttet - vellykket eller ej - rapporterer hacker til deres arbejdsgiver med deres fund. Sikkerhedsfagfolk analyserer derefter dataene fra angrebet, sammenligner dem med, hvad deres overvågningssystemer rapporterer, og implementerer de korrekte ændringer for at forbedre deres sikkerhed.
6. Skyl og gentag
Der er ofte et sjette trin, hvor virksomheder tester de forbedringer, de har foretaget i deres sikkerhedssystem, ved at iscenesætte en ny penetrationstest. De ansætter muligvis den samme etiske hacker, hvis de vil teste datadrevne angreb eller en anden for en blind pentest.
Etisk hacking er ikke et kun fagligt erhverv. De fleste etiske hackere bruger specialiserede operativsystemer og software til at gøre deres arbejde lettere og undgå manuelle fejl, hvilket giver hver pentest alt.
Så hvad bruger pen-test hackere? Her er et par eksempler.
Parrot Security er et Linux-baseret operativsystem, der er designet til penetrationstest og sårbarhedsvurderinger. Det er skyvenligt, let at bruge og understøtter forskellige open source pentest-software.
Også et Linux OS, Live Hacking er en pentesters go-to, da det er let og ikke har høje hardwarekrav. Den leveres også fyldt med værktøjer og software til penetrationstest og etisk hacking.
Nmap er en open source intelligence (OSINT) værktøj der overvåger et netværk og indsamler og analyserer data om enhedens værter og servere, hvilket gør det værdifuldt for både sort-, grå- og hvidhat-hackere.
Det er også på tværs af platforme og fungerer sammen med Linux, Windows og macOS, så det er ideelt for nybegynderetisk hacker.
WebShag er også et OSINT-værktøj. Det er et systemrevisionsværktøj, der scanner HTTPS- og HTTP-protokoller og indsamler relative data og oplysninger. Det bruges af etiske hackere, der udfører udenlandske pentests via offentlige websteder.
Hvor skal man gå til penetrationstest
Pen-test af dit eget netværk er ikke din bedste mulighed, da du sandsynligvis har omfattende viden om det, hvilket gør det sværere at tænke uden for boksen og finde skjulte sårbarheder. Du skal enten ansætte en uafhængig etisk hacker eller tjenester fra et firma, der tilbyder pen-test.
At ansætte en outsider til at hacke sig ind i dit netværk kan stadig være meget risikabelt, især hvis du giver dem sikkerhedsoplysninger eller insideradgang. Dette er grunden til at du skal holde dig til pålidelige tredjepartsudbydere. Her er en lille prøve af de tilgængelige.
HackerOne er en San Francisco-baseret virksomhed, der leverer penetrationstest, sårbarhedsvurdering og testtjenester for protokoloverensstemmelse.
ScienceSoft ligger i Texas og tilbyder sårbarhedsvurderinger, pen-test, compliance-test og infrastrukturrevisionstjenester.
Baseret i Atlanta, Georgia, tilbyder Raxis værdifulde tjenester fra pen-test og gennemgang af sikkerhedskoder til hændelsesrespons træning, sårbarhedsvurderinger og forebyggende uddannelse inden for social engineering.
Få mest muligt ud af penetrationstest
Selvom det stadig er relativt nyt, tilbyder pen-test unik indsigt i, hvordan en hackers hjerne fungerer, når de angriber. Det er værdifuld information, som selv de mest dygtige fagfolk inden for cybersikkerhed ikke kan levere, når de arbejder på overfladen.
Pen-test kan være den eneste måde at undgå at blive målrettet af black-hat hackere og lide konsekvenserne.
Billedkredit: Uplash.
Etisk hacking er en måde at bekæmpe sikkerhedsrisici ved cyberkriminalitet på. Er etisk hacking lovligt? Hvorfor har vi brug for det?
- Sikkerhed
- Onlinesikkerhed
Anina er freelance teknologi og internetsikkerhedsforfatter hos MakeUseOf. Hun begyndte at skrive inden for cybersikkerhed for 3 år siden i håb om at gøre det mere tilgængeligt for den gennemsnitlige person. Ønsket om at lære nye ting og en enorm astronominerd.
Abonner på vores nyhedsbrev
Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!
Et trin mere !!!
Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.