Penetrationstestning är en simulerad attack som drivs av etiska hackare – ibland även kallade ” white hat hackers ” eller ”bra hackers” – eller av andra legitima organ som fått i uppdrag att göra detta. De kommer att arbeta för att försöka göra intrång i system, applikationer, servrar eller andra typer av digitala objekt, och om de lyckas, kommer de att rekommendera sätt att åtgärda sårbarheterna innan de kan utnyttjas av någon annan.
Ibland kan det vara svårt att veta var sårbarheter finns i dina system tills de avslöjas. Problemet är att om de identifieras och utnyttjas av en cyberbrottsling eller annan illvillig aktör, så är det ofta alldeles för sent att göra något åt saken.
Eftersom cyberattackernas omfattning och sofistikering ökar hela tiden, betyder det att organisationer måste ligga i framkant och upptäcka och åtgärda dessa potentiella svagheter innan någon annan har en chans att göra det. Det är där penetrationstestning (även kallat pentest) kommer in.
I den här artikeln kommer vi att utforska hur penetreringstester för cybersäkerhet fungerar: olika metoder, variationer i tillvägagångssätt och de viktigaste skillnaderna när man jämför sårbarhetssökning kontra penetrationstestning.
Varför är penetrationstestning en viktig del av cybersäkerhet?
När det kommer till cybersäkerhet bör penetrationstestning vara en viktig del av varje organisations strategi och helst bör den ske varje år – eller när nya system och applikationer läggs till i fastigheten. Bra penntester kan hjälpa till med:
Proaktivt säkerhetsskydd och incidenthantering
Att avslöja sårbarheter innan cyberbrottslingar har möjlighet kan hjälpa till att täppa till eventuella luckor i säkerhet och stärka försvaret totalt sett. Kasperskys tjänst för penetrationstestning kan simulera attacker med etiska hackare för att avslöja dessa sårbarheter, och se till att dina enheter och system förblir säkra. Detta proaktiva tillvägagångssätt hjälper till att identifiera potentiella hot tidigt, vilket gör det lättare att hantera dem innan de kan utnyttjas.
Uppfylla efterlevnadskrav
De juridiska kraven kring cybersäkerhet och dataskydd blir starkare och starkare hela tiden, från GDPR i Europa till CCPA i Kalifornien. Penetrationstester kan hjälpa till att visa för tillsynsmyndigheter att sårbarheter åtgärdas, vilket kan hjälpa till att undvika juridiska och ekonomiska konsekvenser som kan uppstå till följd av bristande efterlevnad.
Maximera säkerhetssynlighet
En pentest kan ge nya nivåer av insikter i säkerhetsläget för ett specifikt system eller program, och på så sätt kan en regelbunden pennteststrategi belysa säkerhetens kvalitet i hela organisationen. Denna insikt kan hjälpa till med att informera bredare säkerhetsbeslut, från att införa nya lösningar till de områden där investeringar bör allokeras.
Se till att ny programvara och hårdvara är säker
Eventuella nya applikationer och system kommer att påverka befintliga system och infrastruktur och kan ha vissa sårbarheter som IT-säkerhetsteamet kanske inte känner till. Genom att penetrationstesta dessa nya lösningar så tidigt som möjligt kan du se till att de implementeras och används på ett säkert sätt utan att introducera nya sårbarheter.
Upprätthålla allmänhetens förtroende
Allmänheten är mer medveten än någonsin om säkerhetsintrång och datamissbruk , särskilt när detaljer är offentliga egendomar. Att använda penetrationstest för att minimera risken för ett säkerhetsintrång kan minska risken för att en attack skadar en organisations rykte, och i förlängningen dess resultat.
Vilka är de typiska stegen i penetrationstestningen?
Det finns flera olika typer och metoder för penetrationstestning (som vi kommer att utforska senare i den här artikeln). Men principerna för ett bra pentest följer i allmänhet denna process i fem steg:
Planering
Definiera det övergripande målet för pentestet, såsom de system eller applikationer som är involverade och de testmetoder som skulle vara bäst lämpade för detta. Detta går parallellt med underrättelseinsamling kring målets detaljer och potentiella sårbarheter.
Sökning
Analysera målet för att förstå hur det sannolikt reagerar på den avsedda attackmetoden. Detta kan antingen vara 'statisk', där koden utvärderas för att se hur målet sannolikt kommer att bete sig, eller 'dynamiskt', där koden utvärderas i realtid medan applikationen eller systemet körs.
Upprätta åtkomst
I det här skedet kommer attacker att iscensättas i avsikt att avslöja sårbarheterna: detta kan göras med hjälp av en rad olika taktiker, såsom bakdörrar och skript över webbplatser. Om teamet som testar pennan får åtkomst kommer de att försöka simulera skadlig aktivitet som datastöld , tillägg av behörigheter och beslagtagande av webb- och nätverkstrafik.
Upprätthålla åtkomst
När åtkomst har upprättats kommer pennans testteam att se om de kan behålla den åtkomsten under lång tid och gradvis öka omfattningen av de skadliga aktiviteter de kan utföra. Genom att göra det kan de fastställa exakt hur långt en cyberbrottsling skulle kunna gå och hur stor skada de teoretiskt sett skulle kunna göra.
Analys
I slutet av attacken levereras alla åtgärder och resultat från projektet med penetrationstest i en rapport. Detta kvantifierar vilka sårbarheter som utnyttjades, hur länge, samt vilka data och program som de kunde komma åt. Dessa insikter kan sedan hjälpa en organisation att konfigurera sina säkerhetsinställningar och göra ändringar för att stänga av dessa sårbarheter i enlighet med detta.
Vilka är de olika typerna av pentest?
Ovanstående principer tillämpas på sju huvudtyper av penetrationstestning, som var och en kan tillämpas på olika mål och användningsfall:
Interna och externa nätverkstester
Detta är kanske den vanligaste typen av penetrationstestning, där teamet som testar pennan kommer att försöka bryta eller komma runt brandväggar , routrar, portar, proxytjänster och intrångsidentifiering/-förebyggande system. Detta kan antingen göras internt för att simulera attacker från oseriösa aktörer inom en organisation, eller externt av team som bara kan använda information som är allmän egendom.
Webbprogram
Den här typen av pentest försöker äventyra ett webbprogram och riktar sig till områden som webbläsare, plugin-program, appletar, API:er och eventuella relaterade anslutningar och system. Dessa tester kan vara komplexa eftersom de kan sträcka sig över många olika programmeringsspråk och riktar in sig på webbsidor som är live och online men som är viktiga på grund av de ständigt föränderliga landskapen på Internet och cybersäkerhet.
Fysisk databehandling och edge computing
Även i molnets tidevarv är fysisk hacking fortfarande ett stort hot, inte en liten del på grund av ökningen av enheter anslutna till Internet of Things (IoT) . Team som testar pennan kan därför få i uppdrag att rikta in sig på säkerhetssystem, övervakningskameror, digitalt anslutna lås, säkerhetskort och andra sensorer och datacenter. Detta kan göras antingen så att säkerhetsteamet vet vad som händer (så att de kan vara medvetna om situationen) eller utan att veta något (för att bedöma hur de reagerar).
Röda lag och blå lag
Den här typen av penetrationstestning är tvåfaldig, där det "röda laget" agerar som de etiska hackarna, och det "blå laget" tar på sig rollen som det säkerhetsteam som har till uppgift att leda reaktionen på cyberattacken. Detta gör inte bara att en organisation kan simulera en attack och testa ett system eller ett programs motståndskraft, utan det ger också användbar träning för säkerhetsteamet att lära sig hur man stänger av hot snabbt och effektivt.
Molnsäkerhet
Att lagra molndata och applikationer är säkert, men penetrationstestning bör hanteras med försiktighet eftersom de involverar angripande av tjänster under kontroll av en tredje parts molnleverantör. Bra expertlag kommer att kontakta molnleverantörer i god tid för att meddela dem om sina avsikter och kommer att informeras om vad de är och inte får angripa. I allmänhet kommer molnpenetrationstestning att försöka utnyttja åtkomstkontroller, lagring, virtuella maskiner, applikationer, API:er och eventuella felkonfigurationer.
Social manipulation
Social ingenjörskonst är i själva verket där ett team som testar pennan låtsas iscensätta ett nätfiske eller en förtroendebaserad cyberattack. De kommer att försöka lura personer eller personal att ge bort känslig information eller lösenord som kopplar dem till denna information. Det här kan vara en användbar övning för att belysa var mänskliga fel orsakar säkerhetsproblem och där förbättringar behöver göras i utbildning och utbildning kring bästa metoder för säkerhet.
Trådlösa nätverk
När trådlösa nätverk konfigureras med lösenord som är enkla att gissa eller med behörigheter som är enkla att utnyttja, kan de bli en port för cyberbrottslingar att iscensätta attacker. Penetrationstestning kommer att se till att rätt kryptering och autentiseringsuppgifter finns på plats och kommer också att simulera DoS-attacker (denial of service) för att testa nätverkets motståndskraft mot den typen av hot.
Finns det olika sätt att närma sig penntestning?
Olika penntestteam har olika sätt att närma sig testning, beroende på vad organisationer har bett dem att göra och hur mycket tid och finansiering de har tillgängligt. Dessa tre metoder är:
Svart låda
Det är här som teamen för penetrationstest inte får någon information från organisationen om målet. Det är upp till teamet att kartlägga nätverk, system, program och tillgångar som är involverade och sedan iscensätta en attack baserad på denna upptäckt och efterforskningsarbete. Även om detta är den mest tidskrävande av de tre typerna, är det den som ger flest heltäckande och realistiska resultat.
Vit låda
I andra änden av skalan betyder penetrationstestning av den vita rutan att organisationer delar med sig av fullständig information om målet och den bredare IT-arkitekturen, inklusive relevanta inloggningsuppgifter och nätverkskartor. Detta är ett snabbare och mer kostnadseffektivt sätt att verifiera säkerheten hos tillgångar när andra nätverksområden redan är utvärderade eller när organisationer bara vill dubbelkolla att allt är som det ska.
Grå låda
Grå rutors penetrationstestning, som namnet antyder, sitter någonstans i mitten av de två första alternativen. I det här scenariot kommer en organisation att dela specifik data eller information med det testade teamet så att de har en utgångspunkt att arbeta utifrån. Vanligtvis kommer dessa att vara vissa lösenord eller autentiseringsuppgifter som kan användas för att få åtkomst till ett system; Genom att dela dessa med penetreringstestarna kan de simulera vad som skulle hända under dessa särskilda omständigheter.
Sårbarhetssökning kontra penetrationstestning: är de samma?
Sårbarhetssökning blandas ofta ihop med penetrationstestning, men det är två mycket olika försök, och det är viktigt att förstå skillnaderna.
Sårbarhetssökning är mycket mer begränsad i omfattning och arbetar bara för att upptäcka eventuella sårbarheter som kan gömma sig i infrastrukturen. Det är mycket snabbare och billigare att köra än penetrationstestning och kräver inte så mycket input från erfarna cybersäkerhetsexperter.
Å andra sidan ger penetrationstestning en mycket mer heltäckande bild av sårbarheter, sannolikheten för att de utnyttjas av skadliga aktörer och omfattningen av de skador som kan orsakas till följd av detta. Detta ger en mycket mer välgrundad bild, med stöd av expertprocesser som Kaspersky Penetration Testing , som gör det möjligt för organisationer att fatta välgrundade beslut om cybersäkerhet och incidenthantering på lång sikt. Utforska Kasperskys lösningar för penetrationstestning idag och vidta förebyggande åtgärder för att skydda ditt företag.
Relaterade artiklar:
- Vad är en genomsökning av mörka webben?
- Hur blir man av med skadlig programvara
- Vad är ett säkerhetsbrott
Relaterade produkter:
