Neexistuje nic takového jako zcela bezpečný systém. Penetrační testování, zkráceně pentesting, je specializovaný testovací postup, který zahrnuje skenování, vyhodnocování a posilování všech stavebních bloků informačního systému proti potenciálním kybernetickým útokům. Korporace využívají bug bounty weby k odhalení bezpečnostních chyb ve svých systémech. Specialisté na kybernetickou bezpečnost, kteří jsou odborníky na penetrační testování, zákonně odhalují a odhalují organizační nedostatky pomocí systémů odměňování chyb. Jak tedy tento proces funguje?
Table of Contents
1. Pasivní shromažďování a sledování informací
V první fázi bug bounty a penetračního testu musí tester shromáždit informace o cílovém systému. Vzhledem k tomu, že existuje poměrně mnoho útočných a testovacích metod, musí penetrační tester upřednostňovat na základě shromážděných informací, aby určil nejvhodnější testovací metodu.
Tento krok zahrnuje extrahování cenných podrobností o infrastruktuře cílového systému, jako jsou názvy domén, síťové bloky, směrovače a IP adresy v rámci jeho působnosti. Kromě toho by měly být shromážděny všechny relevantní informace, které by mohly zvýšit úspěšnost útoku, jako jsou data zaměstnanců a telefonní čísla.
Data získaná z otevřených zdrojů během této fáze mohou překvapivě poskytnout kritické detaily. Aby toho dosáhl, musí etický hacker využít různé zdroje, se zvláštním důrazem na webové stránky cílové instituce a platformy sociálních médií. Pečlivým shromažďováním těchto informací tester položí základy pro úspěšnou snahu o odměnu za chyby.
Většina organizací však během bug bounty ukládá penetračním testerům různá pravidla. Z právního hlediska je nezbytné se od těchto pravidel neodchýlit.
2. Aktivní sběr a skenování informací
Penetrační tester zjišťuje, která aktivní a pasivní zařízení pracují v rozsahu IP, obvykle pasivním sběrem během bug bounty. S pomocí informací získaných během tohoto pasivního sběru musí pentester určit cestu – musí stanovit priority a přesně určit, které testy jsou potřeba.
Během této fáze je nevyhnutelné, že hacker získá informace o operačním systému (OS), otevřených portech a službách a informace o jejich verzi na živých systémech.
Kromě toho, pokud organizace požadující odměnu za chyby legálně povolí penetračnímu testeru monitorovat síťový provoz, lze shromáždit kritické informace o systémové infrastruktuře, alespoň v maximální možné míře. Většina organizací však toto oprávnění udělit nechce. V takové situaci nesmí penetrační tester jít nad rámec pravidel.
3. Krok analýzy a testování
V této fázi se penetrační tester poté, co zjistí, jak bude cílová aplikace reagovat na různé pokusy o narušení, pokusí navázat aktivní spojení se systémy, které detekuje jako živé, a pokusí se o přímé dotazy. Jinými slovy, toto je fáze, kdy etický hacker interaguje s cílovým systémem efektivním využíváním služeb jako FTP, Netcat a Telnet.
I když v této fázi selže, hlavním účelem je zde testovat data získaná v krocích shromažďování informací a dělat si k nim poznámky.
4. Manipulace a pokus o vykořisťování
Penetrační tester shromažďuje všechna data shromážděná v předchozích procesech za jediným cílem: pokusit se získat přístup k cílovému systému stejným způsobem, jakým by to udělal skutečný, zákeřný hacker. Proto je tento krok tak kritický. Protože při navrhování bug bounty by penetrační testeři měli myslet jako nepřátelští hackeři.
V této fázi se pentester snaží infiltrovat systém pomocí operačního systému běžícího na cílovém systému, otevřených portů a služeb na těchto portech a způsobů využití, které lze použít ve světle jejich verzí. Vzhledem k tomu, že webové portály a aplikace se skládají z velkého množství kódu a mnoha knihoven, existuje větší plocha, na kterou může zákeřný hacker zaútočit. V tomto ohledu by měl dobrý penetrační tester zvážit všechny možnosti a implementovat všechny možné útočné vektory povolené v rámci pravidel.
Aby bylo možné úspěšně a pružně používat stávající způsoby využívání, aniž by došlo k poškození systému a bez zanechání jakýchkoliv stop, vyžaduje to během procesu převzetí systému vážné odborné znalosti a zkušenosti. Tato fáze penetračního testu je proto nejkritičtějším krokem. Aby forenzní výpočetní týmy mohly zasáhnout během možného útoku, musí kyberútočník sledovat stopy, které po něm zůstaly.
5. Pokus o zvýšení oprávnění
Systém je jen tak silný, jak silný je jeho nejslabší článek. Pokud se etickému hackerovi podaří získat přístup do systému, obvykle se do systému přihlásí jako uživatel s nízkou autoritou. V této fázi by měl penetrační tester potřebovat oprávnění na úrovni správce, aby mohl využívat zranitelnosti operačního systému nebo prostředí.
Poté by se měli zaměřit na zabavení dalších zařízení v síťovém prostředí s těmito dodatečnými oprávněními, která získali, a nakonec s uživatelskými oprávněními nejvyšší úrovně, jako je správce domény nebo správce databáze.
6. Reportování a prezentace
Po dokončení penetračního testu a bug bounty musí penetrační tester nebo bug hunter prezentovat bezpečnostní zranitelnosti, které detekoval v cílovém systému, kroky, které následovaly, a jak byli schopni tyto zranitelnosti zneužít organizaci s podrobnou zprávou. . To by mělo zahrnovat informace, jako jsou snímky obrazovky, ukázkové kódy, fáze útoku a co může tato chyba zabezpečení způsobit.
Závěrečná zpráva by také měla obsahovat návrh řešení, jak každou bezpečnostní mezeru zacelit. Citlivost a nezávislost penetračních testů by měla zůstat záhadou. Etický hacker by nikdy neměl sdílet důvěrné informace získané v této fázi a nikdy by neměl tyto informace zneužívat poskytováním dezinformací, protože to je obecně nezákonné.
Proč je penetrační test důležitý?
Konečným cílem penetračního testování je odhalit, jak bezpečná je systémová infrastruktura z pohledu útočníka, a odstranit případné zranitelnosti. Kromě identifikace slabých míst v bezpečnostní pozici organizace také měří relevanci její bezpečnostní politiky, testuje povědomí zaměstnanců o bezpečnostních problémech a určuje, do jaké míry firma zavedla principy kybernetické bezpečnosti.
Penetrační testy jsou stále důležitější. Pro analýzu bezpečnosti v infrastruktuře podnikových struktur a osobních aplikací je nezbytné získat podporu od certifikovaných etických penetračních testerů.