Ako penetračné testovanie udržuje systémy v bezpečí

Zhrnutie: Penetračné testovanie je spôsob, ako môžu odborníci na kybernetickú bezpečnosť otestovať systém simuláciou útoku. Zahŕňa zámernú snahu prekonať existujúce zabezpečenie a spoločnostiam môže pomôcť zistiť, či ich systémy vydržia hacking.

Ak čítate o kybernetickej bezpečnosti, termín penetračné testovanie sa objaví ako spôsob, ako zistiť, či sú systémy bezpečné. Čo je však penetračné testovanie a ako funguje? Akí ľudia vykonávajú tieto testy?

Čo je testovanie perom?

Penetračné testovanie, často označované ako testovanie perom, je formou etického hackovania, pri ktorom profesionáli v oblasti kybernetickej bezpečnosti útočia na systém, aby zistili, či dokážu prejsť cez jeho obranu, teda „preniknúť“. Ak je útok úspešný, testeri pera oznámia vlastníkovi lokality, že našli problémy, ktoré by mohol zneužiť škodlivý útočník.

Pretože hackovanie je etické, ľudia vykonávajúci hacky nie sú ochotní niečo ukradnúť alebo poškodiť. Je však dôležité pochopiť, že okrem zámeru sú perové testy v každom prípade útoky. Testeri pera použijú každý špinavý trik v knihe, aby sa dostali do systému. Koniec koncov, nebol by to veľký test, keby nepoužili všetky zbrane, ktoré by použil skutočný útočník.

Test pera vs hodnotenie zraniteľnosti

Ako také sú penetračné testy iné zviera ako iný populárny nástroj kybernetickej bezpečnosti, hodnotenia zraniteľnosti. Podľa spoločnosti Secmentis zaoberajúcej sa kybernetickou bezpečnosťou v e-maile sú hodnotenia zraniteľnosti automatickými kontrolami obrany systému, ktoré poukazujú na potenciálne slabiny v nastavení systému.

Perovým testom sa skutočne pokúsi zistiť, či sa z potenciálneho problému dá urobiť skutočný problém, ktorý sa dá využiť. Ako také sú hodnotenia zraniteľnosti dôležitou súčasťou akejkoľvek stratégie testovania pera, ale neponúkajú istotu, ktorú poskytuje skutočný test pera.

Kto vykonáva perové testy?

Samozrejme, získanie tejto istoty znamená, že musíte byť dosť zruční v útokoch na systémy. Výsledkom je, že mnohí ľudia pracujúci v penetračných testoch sú sami reformovanými čiernymi hackermi. Ovidiu Valea, hlavný inžinier kybernetickej bezpečnosti v rumunskej firme CT Defense, odhaduje, že bývalí čierni klobúky by mohli tvoriť až 70 percent ľudí pracujúcich v jeho odbore.

Podľa Valea, ktorý je sám bývalým čiernym klobúkom, je výhodou najímania ľudí, ako je on, na boj so zlomyseľnými hackermi, že „vedia myslieť ako oni“. Tým, že sa dokáže dostať do mysle útočníka, môže ľahšie „sledovať jeho kroky a nájsť zraniteľné miesta, ale my to nahlásime spoločnosti skôr, ako to zneužije škodlivý hacker“.

V prípade Valea a CT Defense si ich často najímajú spoločnosti, aby pomohli vyriešiť akékoľvek problémy. Pracujú s vedomím a súhlasom spoločnosti na prelomení ich systémov. Existuje však aj forma testovania perom, ktorú vykonávajú nezávislí pracovníci, ktorí vyjdú a zaútočia na systémy s najlepšími motívmi, ale nie vždy s vedomím ľudí, ktorí tieto systémy prevádzkujú.

Títo nezávislí pracovníci často zarábajú peniaze získavaním takzvaných odmien prostredníctvom platforiem ako Hacker One. Niektoré spoločnosti – napríklad mnohé z najlepších sietí VPN – vyplácajú stálu odmenu za akékoľvek nájdené chyby zabezpečenia. Nájdite problém, nahláste ho, získajte zaplatené. Niektorí nezávislí pracovníci dokonca zaútočia na spoločnosti, ktoré sa nezaregistrovali, a dúfajú, že ich správa dostane zaplatené.

Valea však varuje, že toto nie je cesta pre každého. „Môžete pracovať niekoľko mesiacov a nič nenájdete. Nebudete mať peniaze na nájom. Podľa neho nielenže musíte byť veľmi dobrí v hľadaní zraniteľností, ale s príchodom automatických skriptov už nezostáva veľa ovocia.

Ako fungujú penetračné testy?

Hoci freelanceri, ktorí zarábajú peniaze hľadaním vzácnych alebo výnimočných chýb, trochu pripomínajú senzačné digitálne dobrodružstvo, každodenná realita je trochu viac pri zemi. To však neznamená, že to nie je vzrušujúce. Pre každý typ zariadenia existuje súbor testov, pomocou ktorých sa zisťuje, či dokáže odolať útoku.

V každom prípade sa pero testeri pokúsia prelomiť systém so všetkým, čo im napadne. Valea zdôrazňuje, že dobrý tester pier trávi veľa času jednoduchým čítaním správ od iných testerov, a to nielen preto, aby mal prehľad o tom, čo môže robiť konkurencia, ale aj preto, aby získal nejakú inšpiráciu pre svoje vlastné vychytávky.

Získanie prístupu k systému je však len časťou rovnice. Keď budú vo vnútri, testeri pera sa podľa Valeových slov „pokúsia zistiť, čo s tým dokáže urobiť zlomyseľný herec“. Hacker napríklad uvidí, či existujú nejaké nezašifrované súbory, ktoré by mohol ukradnúť. Ak to nie je možné, dobrý tester pera sa pokúsi zistiť, či dokáže zachytiť požiadavky alebo dokonca spätne analyzovať zraniteľné miesta a možno získať lepší prístup.

Aj keď to nie je samozrejmosť, faktom je, že keď ste vo vnútri, nemôžete urobiť veľa, aby ste útočníka zastavili. Majú prístup a môžu kradnúť súbory a ničiť operácie. Podľa Valea si „spoločnosti neuvedomujú, aký dopad môže mať porušenie, môže zničiť spoločnosť“.

Ako môžem chrániť svoje zariadenia?

Hoci organizácie majú pokročilé nástroje a zdroje, ako sú testy pera na zabezpečenie svojich operácií, čo môžete urobiť, aby ste zostali v bezpečí ako každodenný spotrebiteľ? Cielený útok vám môže ublížiť rovnako, aj keď iným spôsobom, ako trpí spoločnosť. Spoločnosť, ktorej údaje unikli, je určite zlá správa, ale ak sa to stane ľuďom, môže to zničiť životy.

Hoci testovanie vlastného počítača perom je pre väčšinu ľudí pravdepodobne mimo dosahu – a pravdepodobne zbytočné – existuje niekoľko skvelých a jednoduchých tipov na kybernetickú bezpečnosť, ktoré by ste mali dodržiavať, aby ste sa nestali obeťou hackerov. V prvom rade by ste pravdepodobne mali otestovať všetky podozrivé odkazy predtým, než na ne kliknete, pretože sa zdá, že ide o veľmi bežný spôsob, akým hackeri útočia na váš systém. A samozrejme, dobrý antivírusový softvér vyhľadá malvér.