A penetrációs tesztelést, más néven pen-tesztet a biztonsági és informatikai szakemberek arra használják, hogy felmérjék egy hardver- vagy szoftverrendszer biztonságát, és megállapítsák, hogy vannak-e gyengeségek vagy sebezhetőségek.

A penetrációs tesztelésnek több típusa létezik, amelyekkel felmérhetők és pontosan meghatározhatók ezek a sebezhetőségek. Ebben a bejegyzésben ezek közül ötöt tárgyalunk, valamint három különböző megközelítést a végrehajtásukhoz.

A pen-teszteket ahhoz hasonlítjuk, mintha meggyőződnénk arról, hogy az ablakok és az ajtók zárva vannak-e, és hogy a garázsajtó zárva van. Ha nyitva hagyná az otthonát, és nyitva hagyná a betörők előtt, fennáll az esélye, hogy valaki betörhet és pusztítást végezhet.

Ez ugyanígy van a hardver- és szoftverrendszereivel is. Ha nem zárja be virtuális ajtaját, illetéktelen felhasználók, például kiberbűnözők is hozzáférhetnek, ami adatszivárgáshoz, ellopott információkhoz és számos más problémához vezethet.

2020 márciusában a Fortunly arról számolt be, hogy “Az Egyesült Államokat az elmúlt évben 1473 kibertámadás érte, ami 164,6 millió sikeres adatbetöréshez vezetett”. Majd így folytatták: “A kibertámadások költsége a bankszektorban elérte az évi 18,3 millió dollárt vállalatonként”. Egyszerűen fogalmazva, az Ön pénzügyi intézménye nem engedheti meg magának, hogy érzékeny információit és rendszereit veszélyben hagyja.

A Pen-tesztelés típusának eldöntése

Az első számú ok, amiért vállalatának penetrációs tesztelést kell végeznie, az, hogy szimulálni tudjon egy valós támadást anélkül, hogy ténylegesen pusztítást okozna. Számos sebezhetőség fordulhat elő, és ezek oka olyan dolgokra vezethető vissza, mint a kódolási hibák, a nem javított szoftverek, vagy akár egy gyenge jelszó használata.

A minősített etikus hackerekből álló csapatunk képes behatolásteszteket végezni, feltárni az Ön sebezhetőségeit, majd orvoslást találni, hogy szervezete biztonsága szilárd legyen. A kérdés az, hogy melyek a penetrációs tesztek különböző típusai, és melyik a megfelelő az Ön vállalkozása számára?

3 penetrációs tesztekhez használt megközelítés

Mielőtt rátérnénk a létező tesztek típusaira, beszéljünk a penetrációs tesztekhez használt három megközelítésről. Ezek a fekete dobozos tesztelés, a fehér dobozos tesztelés és a szürke dobozos tesztelés.

Fekete dobozos tesztelés: A fekete dobozos behatolásvizsgálatnál, amelyet külső behatolásvizsgálatnak is neveznek, a tesztelőnek kevés vagy egyáltalán nincs információja a vállalkozás informatikai infrastruktúrájáról vagy annak rendszereiről. Ez áll a legközelebb a tesztelő által elérhető valós támadáshoz, mivel a legtöbb hacker valójában nem ismeri a hálózati ökoszisztéma belső működését.

White Box Testing: Ezzel szemben a fehérdobozos teszt során a behatolástesztelő teljes mértékben ismeri az Ön hálózati ökoszisztémáját. Ennek a tesztnek nem az a célja, hogy felmérje, hogy egy külső támadó be tud-e hatolni az Ön rendszereibe és infrastruktúrájába. A cél inkább a kód és az általános biztonság mélyreható ellenőrzése a felhasználói felületen túl a rendszer back-end részeibe is.

A fehérdobozos tesztelést belső behatolásvizsgálatnak, üvegdobozos tesztelésnek, nyitott dobozos tesztelésnek, átlátszó dobozos tesztelésnek vagy tiszta dobozos tesztelésnek is nevezik. A fehérdobozos tesztelés három típusa a feltételes tesztelés, az útvonal tesztelés és a huroktesztelés.

Szürke doboz tesztelés: Ez a fajta tesztelés a fekete és a fehérdobozos tesztelés szempontjait egyesíti. Ennél a tesztelésnél a behatolástesztelőnek van némi ismerete a hálózati ökoszisztémáról és/vagy hozzáférést kap egy webes alkalmazáshoz vagy egy belső hálózathoz.

Például egy felhatalmazott felhasználó, aki rendelkezik bejelentkezési adatokkal és jelszóval. A szürke doboz tesztet ezután arra lehet alkalmazni, hogy megnézzék, képesek-e feltörni a fiókjukat, hogy admin szintű hozzáférést szerezzenek, vagy betörnek-e a belső szoftverkódba.

A vállalkozásának szüksége lehet az ilyen típusú tesztek egyikére vagy mindegyikére a biztonság megfelelő ellenőrzéséhez.

5 A behatolásvizsgálat típusai

Egy vállalkozás infrastruktúrájának biztonságának ellenőrzéséhez számos alkategória és variáció létezik, amikor arról van szó, hogy milyen típusú behatolásvizsgálatokat alkalmazhat a vállalat. Az öt leggyakoribb a hálózati szolgáltatási tesztek, a webalkalmazás-tesztek, az ügyféloldali tesztek, a vezeték nélküli hálózati tesztek és a social engineering tesztek.

1. Hálózati szolgáltatási tesztek: Ez magában foglalja a hálózati alapú támadások, például a tűzfalak, útválasztók, proxy-kiszolgálók stb. elleni biztonsági tesztelést.

2. Webalkalmazás-tesztek: Ezek olyan célzott tesztek, amelyek a webalapú alkalmazásokat vizsgálják biztonsági sebezhetőségek szempontjából.

3. Kliensoldali tesztek: Ezek a tesztek a helyi sebezhetőségek, például egy könnyen kihasználható munkaállomás biztonságának ellenőrzésére irányulnak, vagy az ügyfelek által használt programok, például a Microsoft Word vagy az Adobe Acrobat Reader gyengeségeire.

4. Vezeték nélküli hálózati tesztek: A vezeték nélküli értékelések a vállalkozás wifi-hálózatához csatlakozó eszközök közötti kapcsolatok biztonságát elemzik, beleértve az okostelefonokat, laptopokat, táblagépeket és bármilyen más, internetre csatlakozni képes eszközt.

5. Social Engineering tesztek: A social engineering tesztek tartalmazhatnak távoli és fizikai teszteket is.

A távoli támadások arra próbálják rávenni a felhasználót, hogy érzékeny információkat, például a bejelentkezési adatokat adjon meg.

A fizikai behatolásvizsgálat azt elemzi, hogyan férhet hozzá valaki fizikailag érzékeny adatokhoz, például a nyitva hagyott ajtókhoz, a nem megsemmisítés előtt megsemmisített dokumentumokhoz, vagy akár a pénzintézeti alkalmazottak asztalán nyitva hagyott aktákhoz.

Mi történik a behatolásvizsgálat befejezése után?

Függetlenül attól, hogy milyen típusú behatolásvizsgálatot végeznek egy vállalkozás számára, a tesztelés befejezése után a tesztelőknek képesnek kell lenniük a sebezhetőségek javítására, a fenyegetések mérséklésére és a gyenge pontok orvoslására. Miután orvoslást nyújtottak a biztonsági rések potenciális területeire, egy jó behatolásvizsgálatot végző vállalat felajánlja az ismételt tesztelést, hogy megbizonyosodjon arról, hogy minden aggályos területet kezeltek. Itt lép a Rivial Security a képbe.

A Rivial Security tanúsított, etikus hackerek seregével rendelkezik, akik többféle tesztelési módszert kínálnak az Ön egyedi üzleti infrastruktúrájához, hogy felmérjék a kockázatokat, majd eltávolítsák azokat.

Auditjainkat és értékeléseinket “értékesnek és megvalósíthatónak” nevezték. Mi mindent megteszünk, hogy garantáljuk az Ön elégedettségét. Lépjen kapcsolatba a Rivial Securityvel, ha többet szeretne megtudni hálózati behatolásvizsgálatainkról még ma.