Тестирование на проникновение выявляет уязвимости
(Источник изображения: Shutterstock)
«У нас здесь проблема…» — раздался голос в трубке. Наш клиент нанял нас для проверки его компьютерных систем на наличие уязвимостей.. и мы только что обнаружили одну из них.
Наше тестирование выявило критическую ошибку в клиентском брандмауэре. Ошибка привела к сбою сети, в результате чего остановилась вся компания. Эта уязвимость похожа на недавнюю уязвимость CrowdStrike, но гораздо меньше.
После напряженных 30 минут мы снова подключили клиентскую сеть к сети. Наши клиенты шокированы тем, что после многих лет тестирования никому не пришло в голову атаковать межсетевые экраны, защищающие их сети. Мы сделали это. Потому что именно это сделал бы хакер в черной шляпе.
Тестирование на проникновение или «белый взлом» пытается использовать слабые места в системе, приложении или сети, чтобы определить уязвимость организации к утечке данных. Идея состоит в том, чтобы позволить хакерам в белой шляпе (хорошим парням) обнаруживать уязвимости раньше, чем это сделают хакеры в черной шляпе (плохие парни). У нашего клиента тестирование выявило критическую уязвимость в сети, которую они быстро устранили, предотвратив новую катастрофу.
Тестирование на проникновение — важная часть создания безопасной среды, но оно не лишено рисков. Я занимаюсь хакерством в белой шляпе уже много лет. Вот несколько важных вопросов, которые следует рассмотреть, прежде чем нанимать тестера на проникновение.
Риск неизбежен
Невозможно предсказать, как система отреагирует на тест на проникновение. Как и у наших клиентов, неизвестные дефекты или неправильные настройки могут привести к катастрофическим результатам.
Опытные тестеры на проникновение обычно могут предвидеть такие проблемы. Однако даже лучшие хакеры в белой шляпе не идеальны. Эти недостатки лучше обнаруживаются при контролируемом тестировании, чем при утечке данных. Во время тестирования имейте в наличии персонал ИТ-поддержки, который сможет реагировать на сбои. Кроме того, не волнуйтесь, если ваш поставщик услуг по тестированию на проникновение потребует от вас подписать соглашение, освобождающее его от любой ответственности, возникающей в результате теста. Цель тестирования — увидеть, что пошло не так. Неразумно ожидать, что поставщик услуг по тестированию на проникновение будет нести расходы и ответственность за неудачный тест или потерю данных.
Взлом пустоты
Хакеры «черной шляпы» сделают все возможное для атаки. Поэтому тестирование на проникновение должно проверять все. Если части сети исключены или система отключена, тестировщики не смогут оценить ее безопасность. Если вы не можете протестировать все, определите богатый набор примеров, охватывающих все возможные типы систем, приложений и сетей, которые вы отслеживаете. Аналогично, тестировщики не могут тестировать то, к чему у них нет доступа. Чтобы тестирование было эффективным, тестировщикам необходим доступ ко всем частям сети.
Путь наименьшего сопротивления
Хакеры «черной шляпы» обычно идут по пути наименьшего сопротивления для взлома системы. Это означает, что они будут использовать известные уязвимости, которые, по их уверенности, можно использовать. Некоторые хакеры до сих пор используют старые уязвимости, появившиеся в 1995 году, такие как SQL-инъекция. Они используют их, потому что они работают. Хакеры «черной шляпы» редко используют неизвестные уязвимости или уязвимости нулевого дня. Они зарезервированы для дорогостоящих целей, таких как правительство, армия или критически важная инфраструктура.
Для хакеров в белой шляпе нереально протестировать все возможные способы взлома системы. Вместо этого им следует сосредоточиться на широком спектре широко используемых эксплойтов. Наконец, не все уязвимости опасны. Хорошие хакеры в белой шляпе будут ранжировать уязвимости в зависимости от того, насколько легко ими воспользоваться. Экзотические или сложные атаки могут быть интересными, но они требуют времени и могут отвлечь вашу команду от более распространенных уязвимостей, которые с большей вероятностью будут использованы.
Навыки имеют значение
Большинство хакеров в белой шляпе используют различные инструменты тестирования. Хотя инструменты автоматизации и искусственного интеллекта могут ускорить этот процесс, они не могут заменить опытных хакеров с обширными знаниями в области информационных технологий и пониманием человеческого поведения. Прежде чем нанимать компанию по тестированию на проникновение, проверьте опыт команды и убедитесь, что старшие члены имеют не менее пяти лет опыта в конкретном тестировании на проникновение. Будьте осторожны с поставщиками услуг тестирования, которые назначают только младших тестировщиков или тестировщиков по контракту.
Регулярно меняйте тестировщиков
Хотя налаживать отношения с поставщиком услуг тестирования — это хорошо, меняйте компанию каждый год, чтобы избежать самоуспокоенности. Используйте пул из трех-пяти компаний и чередуйте их. Разные компании обладают разными навыками. Например, моя компания очень хорошо умеет атаковать инфраструктуру, поэтому мы обнаружили ошибку брандмауэра, упомянутую в начале этой статьи.
Остерегайтесь «попавшегося» тестирования
Тестирование Gotcha фокусируется только на атаках на среду, а не на оценке общей безопасности. Эти тесты будут сосредоточены на одном пути эксплойта и могут пропустить многие другие. Хорошая компания по тестированию проведет оценку системы и предпримет целенаправленные хакерские атаки».
Ловушки третьих лиц
Одной из наиболее важных уязвимостей являются сторонние приложения или системы. Например, серверы WordPress часто пронизаны уязвимостями из-за широкого использования сторонних плагинов, которые не проходят тщательное тестирование безопасности.
К сожалению, некоторые поставщики могут прямо запретить вам тестировать их системы. Это может открыть множество уязвимостей, которые вы, возможно, не сможете обнаружить или защитить от них. Попросите сторонних поставщиков предоставить вам доказательства того, что они провели собственное независимое тестирование на проникновение, или разрешите вам проводить тестирование вместе с поставщиком).
Социальная инженерия имеет ограничения
Тесты социальной инженерии заставляют сотрудников раскрывать конфиденциальную информацию посредством поддельных телефонных звонков или фишинговых электронных писем. Эти тесты очень успешны, потому что люди по своей природе доверяют.
Проводите целевые фишинговые тесты, чтобы оценить, соблюдают ли сотрудники политики безопасности, а не выборочное тестирование. Если пользователь не проходит тест социальной инженерии, сосредоточьтесь на обучении, а не на предупреждениях.
Время — враг
Время является основным ограничением для любого тестера на проникновение. Время на выполнение миссии ограничено. Поэтому тестировщики должны эффективно использовать свое время. Это означает максимальную автоматизацию, чтобы они могли сосредоточиться на более тонких уязвимостях. Черная шляпа, с другой стороны, не имеет ограничений по времени. Им могут потребоваться недели, месяцы или даже годы, чтобы взломать систему. По сути, это создает неравные условия игры. Неразумно ожидать, что тестеры на проникновение будут тратить на тестирование неограниченное время и энергию. Это сделало бы тестирование невероятно дорогим.
Ремонт падает на вас
Тестирование на проникновение обычно не устраняет обнаруженные уязвимости; эту задачу выполняет ваша внутренняя команда или подрядчики. После тестирования ресурсы направляются на решение проблем.
Думайте системно
Избегайте устранения уязвимостей в одиночку. Внедрить системные улучшения во всей организации. Большинство уязвимостей можно устранить с помощью автоматического обновления программного обеспечения и операционной системы. Стандартизируйте развертывание системы и управление ею на случай неправильных конфигураций. Для критически важных систем вы можете рассмотреть новые технологии, такие как защита от движущихся целей, которая создает динамичную, постоянно обновляющуюся среду, которой чрезвычайно сложно управлять.
Заключение
Тестирование на проникновение необходимо для любой организации. Хакерам в белой шляпе лучше всего обнаружить уязвимости до того, как это сделают хакеры в черной шляпе. Однако ни один контроль безопасности или технология не являются совершенными. Любая сложная система имеет свои присущие недостатки. Даже самые лучшие продукты, методы и люди в области безопасности могут потерпеть неудачу. Неважно, какие технологии вы используете, важно, как вы ими управляете, отслеживаете и тестируете.
Наконец, важно помнить, что хакеры в черной шляпе не следуют правилам, политике или организационным структурам. Они уничтожат все, чтобы заполучить ваши данные. Чтобы убедиться, что ваша безопасность эффективна, вам нужно думать как хакер в черной шляпе и все проверять. Особенно те системы, которые вы считаете безопасными.
Мы предоставляем лучшее программное обеспечение для шифрования.
Эта статья является частью канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и самых ярких специалистах в сфере технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь: https://www.techradar.com/news/submit-your-story-to-techradar-pro