Ağ güvenlik açığı genellikle gerçekten hoş olmayan ve maliyetli olan son yollara sahiptir. Pek çok durumda, en azından söylemek gerekirse, işletmeler derslerini zor yoldan öğrendiler: hizmetler uzunca bir süre azaldı, kapsamlı (çok pahalı) kurtarma çalışmaları, kar kaybı ve diğer uzun vadeli etkiler hakkında hiçbir şey söylemedi. Daha akıllı taraftaki işletmeler, etkili olduğu kanıtlanmış veri koruması için can atıyorlar. Bunu nasıl kanıtlayabilirim? Saldırıları taklit edin – ne kadar iğrenç (her yerden ve çeşitli yollarla), o kadar iyi.
Sızma testi
Pentestler için kısaltılmış penetrasyon testleri kısaca bu şekilde hayata geçti.
Görünürde hedefler
En yaygın bilgisayar korsanlığı nesnelerini hızlıca alıntılayalım. Onlar:
- Çoklu bulut ortamlarında bilgilerin açıklanması, Özellikle Sunucu Tarafı İstek Sahteciliği.
- Yerel ağlar içinde olanlar ve harici erişim girişimleri de dahil olmak üzere kimlik doğrulama prosedürleri.
- Özellikle hassas bilgileri paylaşmak için kullanıldığında yaygın haberciler.
- Güncel olmayan ve / veya yanlış yamalı yazılımlar. Lisanssız kopyalar en kolay av gibi görünüyor.
- Son olarak, nesnesinden ziyade bir hackleme konusudur. İnsanlar: Şirketten daha fazlasını elde etmek (kişisel ayrıcalıkların artması gibi) veya sadece zarar vermek için hatalı veya amaçlı davranışlarıyla.
Askeri ifadelere daha fazla bağlı kalmak: tehditler mevcut ve açık. Bu nedenle, bir birim için bilinen hayatta kalma rutinleri düzenli tatbikatlardır.
Tedavini almak için hastalan
Beklenmeyen bir karşılaştırma: Penetrasyon testini aşı olarak düşünün. Esas olarak bu acı nedir? Karşı olması amaçlananın küçük bir dozu – gerçek virüs veya bakteri, ump’yi binlerce kez çözdü. Çoğu durumda, atış sizi biraz hasta eder, ancak bazı durumlarda yaşamınız boyunca bu hastalığa karşı bağışık hale getirir.
Sızma testleri (ve test cihazları), aynı tek varlığa yönelik saldırıların sayısını simüle eder. Birçok görev otomatiktir, ancak bir istemcinin işletim sistemine, donanımına ve yazılımına girmek gibi bazıları manuel katılım gerektirir.
Önce dış saldırılar düzenlenir; ilk güvenlik hattı internet üzerinden test edilir. Ardından iç çevre girilir: sıradan bir çalışanın erişim haklarına sahip test cihazları, genellikle uzak VPN bağlantısı aracılığıyla dahili bir ağı kontrol eder. Saldırıya uğrayan tarafın personelinin yasaklanmış bazı faaliyetleri de sıklıkla test edilir; Bu tür davranışlar saldırılar içinde bile kışkırtılabilir. Sonunda müşteri, işletmenin genel olarak ve ayrıntılı olarak nasıl korunduğuna dair kapsamlı bir rapor alır; iyileştirme önerileri ile birlikte en kritik konular ilk sıraya konur.
Şu anda beş penetrasyon testi yöntemi kullanılmaktadır. Açık Kaynak Güvenlik Test Metodolojisi El Kitabı (OSSTMM) ve NIST SP800-115 en çok kullanılanlar gibi görünüyor.
Penetrasyon testleri ile ilgili düzenlemelerden ayrı olarak bahsetmeye değer. Ödeme kartı verilerini işleyen kuruluşlar, PCI DSS Gerekliliği 11.3’e uygun olarak tüm çevre penetrasyon testlerini yıllık olarak tamamlamakla yükümlüdür. Bazı yerel düzenlemeler pentestlerin varlığını da besleyebilir.
Bu nedenle, pentestlerin bu grip (veya her neyse) atışıyla belirli benzerlikleri vardır. Ondan önce oldukça tedirginsiniz, bazen rahatsız oluyorsunuz, o zaman bir “ah” var – ama aslında beklenenden çok daha az acıtıyor, o zaman sağlığınızın iyi olduğu ve önyargısız iletişim kurmakta özgür olduğunuz kanıtlandı.
Gerçek, ancak sanal olan şey
Bir penetrasyon testinin kesinlikle “canlı” düzenlenmesi biraz korkutucu: müşterilerin “işler ters giderse ne olur” türündeki endişeleri anlaşılabilir. Yine de en büyük avantaj ve nihayetinde pentest duygusu gerçekçiliğindedir. Verilen müşteri, tepeleri ve çukurları ile mevcut altyapı – ve sonunda çok güvenilir, dolayısıyla değerli cevap: iş yeterince korunuyor mu yoksa iyileştirme gerektiriyor mu?
Aşağıda yapılan gerçek pentestin açıklaması verilmiştir. Tabii ki, gerçek isimler veya kesin rakamlar olmayacak, ancak bu geniş referanstaki gerçekliği hissedin:
“Daha az önyargılı olduğu için yan güvenlik uzmanlığı kaçınılmazdır; Müşteriler genellikle büyük ölçekli testler yapma yetkinliğinden yoksundur. Ne yazık ki, küçük işletmeler penetrasyon testlerini çok karmaşık ve pahalı buluyor. Yine de küçük bir işletme için pentest yaptık.
Yetenekli ekibimiz, müşterinin kurumsal altyapısına hem harici hem de dahili olarak mevcut tüm yollarla saldırdı. Sadece teknik araçlar dahil değildi; Bazı sosyal mühendislik de mevcuttu. Hem büyük siber saldırıları hem de iç dolandırıcılık faaliyetlerini simüle etti, ancak hepsi kontrol altında ve tehlikeli bir iz bırakmadan.
Bir saldırganın belirli hedefleri olmadığında izinsiz giriş Kara Kutu modelini taklit etmek için kullanıldı. Dahili sızma testi için Uzak Kullanıcı modeli, bir bilgisayar korsanı denetlenmeyen iş istasyonunu yerel bir ağa bağladığında trhu VPN, seçildi. Active Directory etki alanına ne mantıksal erişim ne de ağ yapısı ve koruması hakkındaki bilgiler o uzak kullanıcı için mevcut değildi. Kablosuz ağ koruması, gerçek bir kişi yan taraftaki müşterinin ofisine eriştiğinde Ziyaretçi modeli aracılığıyla test edildi.
Her test, etki alanı adlarını ve bölgelerini, ağ adreslerini ve bileşenlerini, koruma araçlarını, web uygulamalarını, hesap adlarını, kullanılan yazılımları ve hizmetleri toplayan bir giriş keşif aşamasına sahipti. Personelle ilgili bazı veriler de toplandı: sosyal testler sırasında ekip sahte bir kimlik avı gönderimi gerçekleştirdi ve insan tepkisini izledi. Ek olarak, kötü amaçlı yazılım taklidi olan USB flash sürücüler müşterinin ofisine dağıtıldı: sürücülerin ofis bilgisayarlarına bağlantıları uzaktan kaydedildi.
Tüm testler sırasında karşılıklı güven sorunu büyüktü. Her aşama veya model müşteriyle kapsamlı bir şekilde konuşuldu. Potansiyel zarar veya geri dönüşü olmayan değişikliklere ilişkin ayrı mutabakat zaptı her iki tarafça da imzalandı; Testin herhangi bir anında risk çok yüksek görünüyorsa veya test ediciler nüfuz etmelerinde başarılı olmuşsa, operasyonlar daha fazla açıklığa kadar derhal durduruluyordu.
Pentest sonucu müşteri için sürpriz oldu. Dış koruma yeterli seviyenin üzerindeydi. DDoS saldırılarına karşı web uygulaması direnci çok düşük görünüyordu. Bu nedenle, potansiyel dolandırıcıların üstesinden gelmek için çok fazla bilgi işlem gücüne ihtiyacı yoktu.
İç yapı da bazı önemli sorunları ortaya çıkardı. Ancak asıl endişe teknik değildi. Müşterinin çalışanları, veri güvenliği konusunda hem özen hem de bilgi eksikliği gösterdi. Bir şirket ağı dışarıdan sağlam görünüyorsa, birinin onu içeriden mahvetmeye çalışması riski her zaman vardır.”
Kontrol Listesi
İşletmeniz için penetrasyon testlerini göz önünde bulundurarak lütfen aklınızda bulundurun:
- Cironuz ne kadar büyük?
- İşinizin ne kadarı buna bağlı?
- Penetrasyon durumunda ne kadar kaybedebilirsiniz?
