Penetrationstest er et simuleret angreb drevet af etiske hackere – nogle gange også kaldet “ white hat hackere ” eller “gode hackere” – eller andre lovlige organer, der er bestilt til at gøre det. De vil arbejde på at forsøge at bryde systemer, programmer, servere eller enhver anden form for digitale elementer, og hvis det lykkes, vil de anbefale måder at løse sårbarhederne på, før de kan udnyttes af en anden.
Nogle gange kan det være svært at vide, hvor sårbarhederne ligger i dine systemer, før de bliver afsløret. Problemet er, at hvis de bliver identificeret og udnyttet af en cyberkriminel eller en anden ondsindet aktør, så er det ofte alt for sent at gøre noget ved det.
Med omfanget og sofistikeringen af cyberangreb, der hele tiden stiger, betyder det, at organisationer skal være på forkant med at opdage og løse disse potentielle svagheder, før andre har en chance for det. Det er her penetrationstest (også kendt som en pentest) kommer ind i billedet.
I denne artikel vil vi undersøge, hvordan cybersikkerheds penetrationstest fungerer i detaljer: Forskellige metoder, variationer i tilgangen og de vigtigste forskelle ved sammenligning af sårbarhedsscanning vs penetrationstest.
Hvorfor er penetrationstest en vigtig del af cybersikkerheden?
Når det kommer til cybersikkerhed, bør penetrationstest være en central del af enhver organisations strategi og bør ideelt set finde sted hvert år – eller når nye systemer og programmer tilføjes til boet. God pentest kan hjælpe med:
Proaktiv sikkerhedsbeskyttelse og hændelsesreaktion
Afdækning af sårbarheder, før cyberkriminelle har mulighed for det, kan hjælpe med at lukke eventuelle huller i sikkerheden og styrke forsvaret generelt. Kasperskys penetrationstesttjeneste kan simulere angreb med etiske hackere for at afsløre disse sårbarheder og sikre, at dine enheder og systemer forbliver sikre. Denne proaktive tilgang hjælper med at identificere potentielle trusler tidligt, hvilket gør det lettere at håndtere dem, før de kan udnyttes.
Opfyldelse af overholdelseskrav
De juridiske krav omkring cybersikkerhed og databeskyttelse bliver hele tiden stærkere og stærkere, fra GDPR i Europa til CCPA i Californien. Penetrationstest kan hjælpe med at vise tilsynsmyndigheder, at sårbarheder bliver rettet, hvilket kan hjælpe med at undgå juridiske og økonomiske konsekvenser, der kan opstå som følge af manglende overholdelse.
Maksimering af sikkerhedssynlighed
En pentest kan levere nye niveauer af indsigt i sikkerhedspositionen for et specifikt system eller program, og så en regelmæssig penteststrategi kan fremhæve kvaliteten af sikkerheden i hele organisationen. Denne indsigt kan hjælpe med at informere bredere sikkerhedsbeslutninger, fra etablering af nye løsninger til de områder, hvor investeringer bør allokeres.
Sikring af ny software og hardware er sikker
Eventuelle nye applikationer og systemer vil have en effekt på eksisterende systemer og infrastruktur og kan have nogle sårbarheder, som it-sikkerhedsteamet muligvis ikke kender til. Penetrationstest af disse nye løsninger så tidligt som muligt kan sikre, at de implementeres og bruges sikkert uden at introducere nye sårbarheder.
Opretholdelse af offentlighedens tillid
Offentligheden er mere opmærksom end nogensinde på sikkerhedsbrud og datamisbrug , især når detaljer bliver offentligt tilgængelige. Brug af penetrationstest til at minimere risikoen for et sikkerhedsbrud kan reducere chancerne for, at et angreb forårsager skade på en organisations omdømme og i forlængelse heraf dens bundlinje.
Hvad er de typiske penetrationstesttrin?
Der er flere forskellige typer og metoder til penetrationstest (som vi vil udforske senere i denne artikel). Men principperne for en god pentest vil generelt følge denne fem-trins proces:
Planlægning
Definition af det overordnede mål for pentesten, såsom de involverede systemer eller programmer og de testmetoder, der ville være bedst egnede til det. Dette kører sideløbende med indsamling af efterretninger omkring målets detaljer og de potentielle sårbarheder, der er involveret.
Scanning
Analyse af målet for at forstå, hvordan det sandsynligvis vil reagere på den tilsigtede angrebsmetode. Dette kan enten være 'statisk', hvor koden vurderes for at se, hvordan målet sandsynligvis vil opføre sig, eller 'dynamisk', hvor koden vurderes i realtid, mens programmet eller systemet kører.
Etablering af adgang
På dette stadium vil angreb blive iscenesat med den hensigt at afsløre sårbarhederne: dette kan gøres gennem en række taktikker såsom bagdøre og cross-site scripting. Hvis pennetestteamet får adgang, vil de forsøge at simulere ondsindet aktivitet såsom datatyveri , tilføjelse af privilegier og beslaglæggelse af web- og netværkstrafik.
Vedligeholdelse af adgang
Når adgangen er etableret, vil pennetestteamet se, om de kan opretholde denne adgang over en længere periode og gradvist øge omfanget af de ondsindede aktiviteter, de er i stand til at opnå. Ved at gøre det kan de fastslå præcis, hvor langt en cyberkriminel ville være i stand til at gå, og hvor meget skade de teoretisk kunne gøre.
Analyse
Ved slutningen af angrebet leveres alle handlinger og resultater af penetrationstestprojektet i en rapport. Dette kvantificerer, hvilke sårbarheder der blev udnyttet, hvor længe, og de data og programmer, de kunne få adgang til. Denne indsigt kan derefter hjælpe en organisation med at konfigurere sine sikkerhedsindstillinger og foretage ændringer for at lukke disse sårbarheder i overensstemmelse hermed.
Hvad er de forskellige typer pentest?
De ovennævnte principper anvendes på syv hovedtyper af penetrationstest, som hver især kan anvendes på forskellige mål og anvendelsesmuligheder:
Interne og eksterne netværkstest
Dette er måske den mest almindelige type penetrationstest, hvor pennetestteamet vil forsøge at bryde eller omgå firewalls , routere, porte, proxytjenester og systemer til registrering/forebyggelse af indtrængen. Dette kan enten gøres internt for at simulere angreb fra useriøse aktører i en organisation, eller eksternt af teams, der kun kan bruge oplysninger, der er i det offentlige domæne.
Webprogrammer
Denne type pentest vil forsøge at kompromittere et webprogram ved at målrette mod områder som browsere, plugins, applets, API'er og alle relaterede forbindelser og systemer. Disse tests kan være komplekse, da de kan spænde over mange forskellige programmeringssprog og målrette mod websider, der er live og online, men som er vigtige på grund af de konstant skiftende internet- og cybersikkerhedslandskaber.
Fysisk og edge computing
Selv i skyens æra er fysisk hacking stadig en stor trussel, ikke en lille del på grund af stigningen i enheder, der er forbundet til Internet of Things (IoT) . Pen-testhold kan derfor få til opgave at målrette mod sikkerhedssystemer, overvågningskameraer, digitalt tilsluttede låse, sikkerhedskort og andre sensorer og datacentre. Dette kan enten gøres med, at sikkerhedsteamet ved, hvad der sker (så de kan være opmærksomme på situationen) eller uden at de får besked (for at vurdere, hvordan de reagerer).
Røde hold og blå hold
Denne type penetrationstest er todelt, hvor det 'røde hold' fungerer som de etiske hackere, og det 'blå hold' påtager sig rollen som det sikkerhedsteam, der har til opgave at lede reaktionen på cyberangrebet. Dette giver ikke kun en organisation mulighed for at simulere et angreb og teste systemet eller programmets modstandsdygtighed, men det giver også nyttig træning til sikkerhedsteamet i at lære, hvordan man lukker trusler hurtigt og effektivt.
Sikkerhed i skyen
Det er sikkert at opbevare cloud-data og -programmer, men penetrationstest skal håndteres med omhu, fordi det involverer angreb på tjenester under kontrol af en tredjeparts cloud-udbyder. Gode pentest-hold vil kontakte cloud-udbydere i god tid for at underrette dem om deres hensigter og vil blive informeret om, hvad de er og ikke må angribe. Generelt vil skypenetrationstest forsøge at udnytte adgangskontroller, lagring, virtuelle maskiner, programmer, API'er og enhver potentiel fejlkonfiguration.
Social engineering
Social engineering er i praksis, hvor et pennetesthold foregiver at iscenesætte et phishing- eller tillidsbaseret cyberangreb. De vil forsøge at narre folk eller personale til at udlevere følsomme oplysninger eller adgangskoder, der vil forbinde dem med disse oplysninger. Dette kan være en nyttig øvelse til at fremhæve, hvor menneskelige fejl forårsager sikkerhedsproblemer, og hvor der skal foretages forbedringer i træning og uddannelse omkring bedste praksis inden for sikkerhed.
Trådløse netværk
Når trådløse netværk er konfigureret med adgangskoder , der er lette at gætte, eller med tilladelser, der er nemme at udnytte, kan de blive porte for cyberkriminelle til at iscenesætte angreb. Penetrationstest vil sikre, at den rigtige kryptering og legitimationsoplysninger er på plads og vil også simulere denial of service (DoS)-angreb for at teste netværkets modstandsdygtighed over for den type trusler.
Er der forskellige måder at gribe pennetest an på?
Forskellige pennetesthold har forskellige måder at gribe test an på, afhængigt af hvad organisationer har bedt dem om at gøre, og hvor meget tid og finansiering de har til rådighed. Disse tre metoder er:
Black box
Det er her, penetrationstestholdene ikke får nogen information fra organisationen om målet. Det er op til teamet at kortlægge det involverede netværk, system, programmer og aktiver og derefter iscenesætte et angreb baseret på denne opdagelse og forskning. Selvom dette er den mest tidskrævende af de tre typer, er det den, der leverer de mest omfattende og realistiske resultater.
White box
I den anden ende af skalaen betyder penetrationstest af white box, at organisationer deler alle oplysninger om målet og den bredere it-arkitektur med det pentest team, herunder alle relevante legitimationsoplysninger og netværkskort. Dette er en hurtigere og mere omkostningseffektiv måde at verificere sikkerheden af aktiverne på, når andre netværksområder allerede er blevet vurderet, eller når organisationer blot vil dobbelttjekke, at alt er, som det skal være.
Grå boks
Grå boks penetrationstest, som navnet antyder, sidder et sted i midten af de første to muligheder. I dette scenarie vil en organisation dele specifikke data eller oplysninger med det bedste team, så de har et udgangspunkt at arbejde ud fra. Disse vil typisk være bestemte adgangskoder eller legitimationsoplysninger, der kan bruges til at få adgang til et system; ved at dele disse med penetrationstesterne vil de kunne simulere, hvad der ville ske under disse særlige omstændigheder.
Sårbarhedsscanning vs penetrationstest: er de de samme?
Sårbarhedsscanning forveksles ofte med penetrationstest, men det er to vidt forskellige bestræbelser, og det er vigtigt at forstå forskellene.
Sårbarhedsscanning er meget mere begrænset i omfang og arbejder kun for at opdage eventuelle sårbarheder, der lurer i infrastrukturen. Det er meget hurtigere og billigere at udføre end penetrationstest og kræver ikke så meget input fra erfarne cybersikkerhedseksperter.
På den anden side giver penetrationstest et langt mere omfattende overblik over sårbarheder, sandsynligheden for, at de bliver udnyttet af ondsindede aktører, og omfanget af de skader, der kan opstå som følge heraf. Dette giver et meget mere informeret overblik, understøttet af ekspertprocesser som f.eks. Kaspersky Penetration Testing , der giver organisationer mulighed for at træffe informerede beslutninger om cybersikkerhed og reaktion på hændelser på lang sigt. Udforsk Kasperskys løsninger til penetrationstest i dag, og tag proaktive skridt til at beskytte din virksomhed.
Relaterede artikler:
- Hvad er en scanning af det mørke internet?
- Sådan slipper du af med malware
- Hvad er et sikkerhedsbrud
Relaterede produkter:
