Penetration Testing είναι απαραίτητο; Με τις ραγδαίες μετατοπίσεις στο τοπίο των επιθέσεων στο σκηνικό της μαύρης αγοράς hackers που αξίζουν δισεκατομμύρια, αν περιμένετε να πραγματοποιήσετε penetration testing θα χάσετε.
Πάρα πολλές εταιρείες και οργανισμοί κάνουν μόνο μια δοκιμή διείσδυσης όταν πρέπει. Συχνά, αυτό είναι επειδή πρέπει να συμμορφωθούν με τους κανονισμούς ή κάποιος τους έχει ζητήσει να αποδείξουν ότι είναι ασφαλείς.
Οι περισσότεροι, δυστυχώς, κάνουν μόνο μια δοκιμή διείσδυσης αφού έχουν ήδη καεί: Όταν δηλαδή οι hackers έχουν πάρει με επιτυχία τα πολύτιμα δεδομένα τους, κάτι που κόστισε στην εταιρεία πολύ περισσότερο από ότι αρκετές δοκιμές διείσδυσης. .
Οι σύγχρονες δοκιμές διείσδυσης είναι κάτι περισσότερο από μια σάρωση. Ο πρώην Γενικός Διευθυντής της Black Hat Trey Ford αναφέρει, «Κανονισμοί όπως το PCI απαιτούν το ελάχιστο μία φορά το χρόνο (penetration testing), ή μετά από κάθε σημαντική αλλαγή στις υποδομές ή στον κώδικα”
“Νομίζω ότι το πρώτο μέρος αυτής της συζήτησης θα πρέπει να αναφερθεί στο “τι ακριβώς είναι μια δοκιμή της διείσδυσης;” αναφέρει ο Ford. “Ανάλογα με ποιους μιλάτε αυτό μπορεί να περιλαμβάνει τη δοκιμή ασφαλείας μιας web εφαρμογής, τη σάρωση ενός δικτύου, social engineering και phishing, ασύρματες δοκιμές και άλλα.”
Πρόβλημα: Οι επιθέσεις εξελίσσονται πιο γρήγορα από ό, τι οι απαιτήσεις
Μόλις πριν από πέντε χρόνια, οι δοκιμές διείσδυσης – “pentesting” – ήταν το αντικείμενο άρθρων στη δημοσιογραφία της IT ασφάλειας που έθεταν συζητήσεις κατά πόσον ή όχι άξιζε να γίνει ένα pentest. Πολλά έχουν αλλάξει σε σύντομο χρονικό διάστημα.
Το Pentesting έχει εξελιχτεί γρήγορα για να συμβαδίσει με μια μαύρη αγορά που είναι γεμάτη με εξειδικευμένους εγκληματίες, ή κυβερνητικούς,οι επιθέσεις έχουν αποκτήσει ευελιξία ώστε να διαπερνούν τις εξελιγμένες άμυνες των επιχειρήσεων.
Υπάρχουν μερικά αυτοματοποιημένα pentesting, αλλά για καλύτερα αποτελέσματα χρειάζεται και μια ομάδα που θα είναι καλύτεροι από τους επιτιθέμενους κάτι που σίγουρα κοστίζει.
Το Pentesting είναι ο τομέας της ανάπτυξης σήμερα. Για παράδειγμα η εταιρεία ασφαλείας Rapid7. Θεωρείται ηγέτης στον τομέα του λογισμικού και των υπηρεσιών ασφαλείας, Η Rapid7 διαθέτει μια εκτεταμένη pentesting σουίτα που περιλαμβάνει το διάσημο Metasploit (“το playbook του εισβολέα”) και έχει μια τεράστια κοινότητα με 200.000 ενεργά μέλη..
Η εταιρεία ασφαλείας έχει ρεκόρ εσόδων και διαθέτει 13 γραφεία σε όλο τον κόσμο. Μπορεί να υπερηφανεύεται για τις 1000 εταιρείες που χρησιμοποιούν τα προϊόντα της.
Στη λίστα των πελατών της συμπεριλαμβάνονται οι Diebold, Deutsche Telekom, Panasonic, Rodale, Revlon, Trader Joe, Virgin Atlantic, και πολλοί άλλοι.
Ο τεχνικός του Metasploit Tod Beardsley βλέπει κατά μέσο όρο 1,2 exploits να προστίθενται καθημερινά στο Metasploit.
Ο Beardsley εξήγησε ότι το θέμα του “πόσο συχνά” περιπλέκεται από το γεγονός ότι ορισμένες επιχειρήσεις χρειάζονται pentesters περισσότερο από άλλους. “Ορισμένες βιομηχανίες – για παράδειγμα, ο χρηματοπιστωτικός τομέας – είναι πιο οργανωμένες από τους άλλους, και πρέπει να πληρούν τις απαιτήσεις pentesting.”
Ωστόσο, θα ήθελα να πω ότι κάθε οργανισμός που διαχειρίζεται δεδομένα και ενδιαφέρεται να παραμείνουν εμπιστευτικά έχει την ευθύνη να εξασφαλίσει τη διαμόρφωση του δικτύου του ούτως ώστε οι άμυνες του να είναι επαρκείς για αυτή την αποστολή.
Επιπλέον, εάν μια εταιρεία δεν θέλει να είναι ένας ανυποψίαστος υποδοχέας για διανομή ενός κακόβουλου προγράμματος, θα πρέπει να υπάρχει επαρκής εξωτερικός έλεγχος.
Υπάρχει ένα ανέκδοτο που κυκλοφορεί στα hacking συνέδρια, Black Hat USA και DEFCON.
Σύμφωνα με μια έρευνα της Rapid7, το spear phishing είναι ο κύριος παράγοντας παραβίασης στις 9 από τις 10 στοχευμένες επιθέσεις.
[tweet_embed id=493364883878998016]
“Υπάρχουν χιλιάδες σημεία μεταξύ του εξωτερικού δικτύου και του εσωτερικού δικτύου”, εξήγησε ο κ Beardsley. “η σύγχρονη εργασιακή ζωή κινείται όλο και περισσότερο μέσα από το γραφείο στο σπίτι (ένα laptop σε ένα τραπέζι της κουζίνας), και υπάρχουν πάρα πολλοί κίνδυνοι για μια εταιρεία.
Τα οικιακά routers, για παράδειγμα δεν είναι και τα πιο ασφαλή. Οι κίνδυνοι δεν σταματάνε όμως μέχρι εκεί. Το πρώτο πράγμα που θα πρέπει να κάνει μια είναι να «κλειδώσει την υπηρεσία DNS της, και θα πρέπει να απαιτεί συνήθη και τακτικό έλεγχο όλων των διαδικασιών για αλλαγή των DNS.”
“Αν κάποιος αποκτήσει τον έλεγχο DNS μιας εταιρείας, θα μπορεί να ελέγχει σχεδόν όλα τα e-mail.
Ο Beardsley εξήγησε ότι είναι δύσκολο να κατηγοριοποιήσουμε το πόσο σημαντικές είναι οι ιδιαίτερες στρατηγικές pentest, και γι ‘αυτό – μια εταιρεία θα πρέπει να πραγματοποιεί pentest πιο συχνά από ό, τι απαιτείται (ή είναι επιθυμητό).
Φεύγοντας από τη λογική της Rapid7 που σίγουρα περιέχει σκοπιμότητες θα πρέπει να σκεφτούμε πολύ σοβαρά πόσο θα κοστίσει μια παραβίαση σε μια ιστοσελίδα, μια εταιρεία, ένα χρηματοπιστωτικό ίδρυμα κοκ.
Το πόσο συχνά εξαρτάται από τη δική σας διακριτική και οικονομική ευχέρεια.
Το άρθρο δημοσιεύτηκε στο ZDNet από την Violet Blue. Περιέχει και απόψεις του συγγραφέα.
