בעת הגדרת מערכת אבטחה חדשה, עליך לוודא שהיא עובדת כראוי עם כמה שפחות נקודות תורפה. כאשר מדובר בנכסים דיגיטליים בשווי אלפי דולרים, אינך יכול להרשות לעצמך ללמוד מהטעויות שלך ולהשלים רק פערים באבטחה שהאקרים ניצלו בעבר.
הדרך הטובה ביותר לשפר ולהבטיח את אבטחת הרשת שלך היא על ידי בדיקה רציפה וחיפוש אחר פגמים לתיקון.
מהי בדיקת חדירה?
אז מהי בדיקת עט?
בדיקת חדירה, המכונה גם בדיקת עטים, היא מתקפת אבטחת סייבר מבוימת המדמה אירוע ביטחוני ממשי. ההתקפה המדומה יכולה לכוון לאחד או למספר חלקים של מערכת האבטחה שלך, ומחפש נקודות תורפה שהאקר זדוני יכול לנצל.
מה שמייחד את זה ממתקפת סייבר ממשית הוא שהאדם שעושה את זה הוא כובע לבן או מוסר שאתה שוכר. יש להם את הכישורים לחדור להגנות שלך בלי הכוונה הזדונית של עמיתיהם עם הכובע השחור.
סוגי פנדסטים
ישנן דוגמאות שונות למזיקים בהתאם לסוג ההתקפה שההאקרים משיקים, המידע שהם מקבלים מראש והמגבלות שקבע העובד שלהם.
פנטסט יחיד יכול להיות אחד או שילוב בין סוגי הפנטסט העיקריים, הכוללים:
פנטסט פנימי
מקורב פנימי או פנטסט פנימי מדמה מתקפת סייבר פנימית, כאשר האקר זדוני מתחזה כעובד לגיטימי ומקבל גישה לרשת הפנימית של החברה.
זה מסתמך על מציאת ליקויי אבטחה פנימיים כמו הרשאות גישה וניטור רשת, ולא חיצוניים כמו חומת אש, אנטי-וירוס והגנת נקודות קצה.
פנטסט מבחוץ
כפי שהשם מרמז, סוג זה של פנטסט אינו מעניק להאקר כל גישה לרשת הפנימית של החברה או לעובדיה. זה משאיר להם את האפשרות לפרוץ דרך הטכנולוגיה החיצונית של החברה כמו אתרים ציבוריים ונמלי תקשורת פתוחים.
מזיקים מבחוץ יכולים לחפוף עם מזיקים של הנדסה חברתית, שם ההאקר מתעתע ו עושה מניפולציה לעובד כדי להעניק לו גישה לרשת הפנימית של החברה, מעבר לחיצוניות שלה הֲגָנָה.
פנטסט מונע נתונים
עם פנטסט מונחה נתונים, ההאקר מקבל מידע אבטחה ונתונים אודות היעד שלהם. זה מדמה התקפה של עובד לשעבר או מישהו שהשיג נתוני אבטחה שהודלפו.
פנטסט עיוור
בניגוד למבחן מבוסס נתונים, בדיקה עיוורת פירושה שההאקר לא מקבל מידע כלשהו על היעד שלהם מלבד שמו ומה זמין לציבור.
פנטסט כפול-עיוור
בנוסף לבדיקת אמצעי האבטחה הדיגיטליים של החברה (חומרה ותוכנה), בדיקה זו כוללת גם את אנשי האבטחה וה- IT שלה. בהתקפה מבוימת זו, איש בחברה אינו מודע לחומש העונש, ומכריח אותם להגיב כאילו הם נתקלים במתקפת סייבר זדונית.
זה מספק נתונים חשובים על האבטחה הכוללת של החברה ונכונות הצוות ועל האופן שבו השניים מתקשרים.
כיצד עובדת בדיקת חדירה
בדומה להתקפות זדוניות, פריצה אתית זקוקה לתכנון מדוקדק. יש מספר שלבים שהאקר האתי צריך לבצע כדי להבטיח פנטסט מוצלח שמניב תובנות בעלות ערך. הנה תובנה למתודולוגיה הפנטסטית.
1. איסוף מידע ותכנון
בין אם מדובר בפנטסט עיוור או מונע נתונים, ההאקר צריך קודם כל לאסוף מידע על מטרתו במקום אחד ולתכנן את נקודת ההתקפה סביבו.
2. הערכת פגיעות
השלב השני הוא לסרוק את דרך ההתקפה שלהם, לחפש פערים ופגיעות לניצול. ההאקר מחפש נקודות גישה ואז מבצע בדיקות מרובות בקנה מידה קטן כדי לראות כיצד מגיבה מערכת האבטחה.
3. ניצול פגיעויות
לאחר מציאת נקודות הכניסה הנכונות, ההאקר ינסה לחדור לאבטחתו ולגשת לרשת.
זהו שלב ה"פריצה "בפועל בו הם משתמשים בכל דרך אפשרית לעקוף פרוטוקולי אבטחה, חומות אש ומערכות ניטור. הם יכולים להשתמש בשיטות כמו הזרקות SQL, התקפות הנדסה חברתית, או סקריפטים בין אתרים.
למד כיצד הנדסה חברתית יכולה להשפיע עליך, ועוד דוגמאות נפוצות שיעזרו לך לזהות ולהישאר בטוחים מתוכניות אלה.
4. שמירה על גישה סמויה
רוב מערכות ההגנה המודרניות על אבטחת סייבר מסתמכות על זיהוי באותה מידה כמו הגנה. על מנת שההתקפה תצליח, ההאקר צריך להישאר בתוך הרשת ללא גילוי ארוך מספיק כדי להשיג את מטרתם, בין אם מדובר בהדלפת נתונים, השחתת מערכות או קבצים או התקנה תוכנה זדונית.
5. דיווח, ניתוח ותיקון
לאחר סיום ההתקפה - מוצלח או לא - ההאקר ידווח למעסיקו עם ממצאיו. לאחר מכן אנשי מקצוע בתחום האבטחה מנתחים את נתוני התקיפה, משווים אותם למה שמדווחות מערכות הניטור שלהם ומיישמים את השינויים המתאימים לשיפור האבטחה שלהם.
6. לשטוף וחזור
לעיתים קרובות יש שלב שישי בו חברות בודקות את השיפורים שביצעו במערכת האבטחה שלהן על ידי עריכת מבחן חדירה נוסף. הם עשויים לשכור את אותו האקר אתי אם הם רוצים לבדוק התקפות מונעות נתונים או התקפה אחרת עבור פנטסט עיוור.
פריצה אתית אינה מקצוע המיומן בלבד. מרבית ההאקרים האתיים משתמשים במערכות הפעלה ותוכנות מיוחדות בכדי להקל על עבודתם ולהימנע מטעויות ידניות, מה שמקנה לכל אחד מהמגנים הכל.
אז במה משתמשים בהאקרים לבדיקת עט? להלן מספר דוגמאות.
Parrot Security הוא מערכת הפעלה מבוססת לינוקס שתוכננה לבדיקות חדירה והערכות פגיעות. זה ידידותי לענן, קל לשימוש ותומך בתוכנות פנטסט קוד פתוח שונות.
כמו כן מערכת הפעלה של לינוקס, פריצה חיה היא דרך הפנטסטר מכיוון שהיא קלה ואין לה דרישות חומרה גבוהות. זה מגיע גם ארוז מראש עם כלים ותוכנות לבדיקת חדירה ופריצה אתית.
Nmap הוא כלי קוד מודיעין קוד פתוח (OSINT) שעוקב אחר רשת ואוסף ומנתח נתונים על מארחי ושרתים של מכשירים, מה שהופך אותם לבעלי ערך עבור האקרים עם כובע שחור, אפור ולבן.
זה גם חוצה פלטפורמות ועובד עם לינוקס, חלונות ו- macOS, ולכן הוא אידיאלי עבור האקר אתי למתחילים.
WebShag הוא גם כלי OSINT. זהו כלי לביקורת מערכת הסורק פרוטוקולי HTTPS ו- HTTP ואוסף נתונים ומידע יחסי. הוא משמש את האקרים אתיים המבצעים פנטסטים מבחוץ דרך אתרים ציבוריים.
לאן ללכת לבדיקת חדירה
בדיקת עטים ברשת שלך איננה האופציה הטובה ביותר שלך מכיוון שככל הנראה יש לך ידע נרחב עליה, מה שמקשה על חשיבה מחוץ לקופסה ומציאת פגיעויות נסתרות. עליכם לשכור האקר אתי עצמאי או את שירותיה של חברה המציעה בדיקת עטים.
ובכל זאת, שכירת גורם חיצוני לפרוץ לרשת שלך יכולה להיות מאוד מסוכנת, במיוחד אם אתה מספק להם מידע אבטחה או גישה למקורב. זו הסיבה שאתה צריך להיצמד לספקי צד שלישי מהימנים. הנה מדגם קטן מאלה.
HackerOne הינה חברה שבסיסה בסן פרנסיסקו המספקת שירותי בדיקת חדירה, הערכת פגיעות ושירותי בדיקת תאימות לפרוטוקולים.
ממוקם בטקסס, ScienceSoft מציע הערכות פגיעות, בדיקות עטים, בדיקות תאימות ושירותי ביקורת תשתית.
Raxis, הממוקמת באטלנטה, ג'ורג'יה, מציעה שירותים יקרי ערך מבדיקת עטים ובדיקת קוד אבטחה לאימוני תגובת אירועים, הערכות פגיעות והכשרה מונעת בהנדסה חברתית.
להפיק את המקסימום מבדיקת החדירה
למרות שהוא עדיין חדש יחסית, בדיקות בעט מציעות תובנות ייחודיות לגבי פעולתו של מוח ההאקר כשהם תוקפים. זהו מידע בעל ערך שאפילו אנשי המקצוע המיומנים ביותר בתחום אבטחת הסייבר אינם יכולים לספק עבודה על פני השטח.
בדיקת עט יכולה להיות הדרך היחידה להימנע מלהיות ממוקדים על ידי האקרים עם כובעים שחורים ולסבול מהתוצאות.
אשראי תמונה: לא מתים.
פריצה אתית היא דרך להילחם בסיכוני האבטחה הכרוכים בפשיעה ברשת. האם פריצה אתית היא חוקית? למה אנחנו בכלל צריכים את זה?
- בִּטָחוֹן
- אבטחה מקוונת
אנינה היא כותבת טכנולוגיות פרילנסריות ואבטחת אינטרנט ב- MakeUseOf. היא התחילה לכתוב באבטחת סייבר לפני 3 שנים בתקווה להפוך אותה לנגישה יותר לאדם הממוצע. נלהב ללמוד דברים חדשים וחנון ענק של אסטרונומיה.
הירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
צעד אחד נוסף !!!
אנא אשר את כתובת הדוא"ל שלך בדוא"ל ששלחנו לך זה עתה.