Det er ikke noe slikt som et helt sikkert system. Penetrasjonstesting, forkortet som pentesting, er en spesialisert testprosedyre som innebærer skanning, evaluering og styrking av alle et informasjonssystems byggesteiner mot potensielle cyberangrep. Selskaper bruker bug bounty-nettsteder for å avdekke sikkerhetsfeil i systemene deres. Cybersikkerhetsspesialister som er eksperter på penetrasjonstesting avdekker og avslører organisatoriske feil på lovlig vis med bug bounty-systemer. Så hvordan fungerer denne prosessen?
Innholdsfortegnelse
1. Passiv informasjonsinnsamling og sporing
I den første fasen av en bug bounty- og penetrasjonstest, må testeren samle informasjon om målsystemet. Fordi det er ganske mange angreps- og testmetoder, må penetrasjonstesteren prioritere basert på informasjonen som samles inn for å finne den mest hensiktsmessige testmetoden.
Dette trinnet innebærer å trekke ut verdifulle detaljer om målsystemets infrastruktur, for eksempel domenenavn, nettverksblokker, rutere og IP-adresser innenfor dets omfang. I tillegg bør all relevant informasjon som kan øke suksessen til angrepet, som ansattes data og telefonnumre, samles inn.
Dataene hentet fra åpne kilder i denne fasen kan overraskende gi kritiske detaljer. For å oppnå dette må den etiske hackeren utnytte ulike kilder, med særlig vekt på målinstitusjonens nettside og sosiale medieplattformer. Ved å omhyggelig samle denne intelligensen, legger testeren grunnlaget for en vellykket bug-bounty-innsats.
Imidlertid pålegger de fleste organisasjoner ulike regler for penetrasjonstesteren under feilpremien. Det er vesentlig fra et juridisk synspunkt å ikke avvike fra disse reglene.
2. Aktiv informasjonsinnsamling og skanning
Penetrasjonstesteren oppdager hvilke aktive og passive enheter som opererer innenfor IP-området, vanligvis gjort ved passiv innsamling under feilen. Ved hjelp av informasjonen som ble innhentet under denne passive innsamlingen, må pentesteren bestemme en vei – de må prioritere og bestemme nøyaktig hvilke tester som trengs.
I løpet av dette stadiet er det uunngåelig at hackeren får informasjon om operativsystemet (OS), åpne porter og tjenester og deres versjonsinformasjon på aktive systemer.
I tillegg, hvis organisasjonen som ber om bug-bounty lovlig tillater penetrasjonstesteren å overvåke nettverkstrafikk, kan kritisk informasjon om systeminfrastrukturen samles inn, i det minste så mye som mulig. De fleste organisasjoner ønsker imidlertid ikke å gi denne tillatelsen. I en slik situasjon må ikke penetrasjonstesteren gå utover reglene.
3. Analyserings- og testetrinn
På dette stadiet prøver penetrasjonstesteren, etter å ha funnet ut hvordan målapplikasjonen vil reagere på ulike inntrengingsforsøk, å etablere aktive forbindelser med systemene den oppdager å være i live og prøver å foreta direkte henvendelser. Med andre ord er dette stadiet der den etiske hackeren samhandler med målsystemet ved å effektivt bruke tjenester som FTP, Netcat og Telnet.
Selv om det mislykkes på dette stadiet, er hovedformålet her å teste dataene som er innhentet i informasjonsinnhentingstrinnene og ta notater om det.
4. Manipulasjons- og utnyttelsesforsøk
Penetrasjonstesteren samler alle dataene samlet i de foregående prosessene for ett mål: å forsøke å få tilgang til målsystemet på samme måte som en ekte, ondsinnet hacker ville gjort. Dette er grunnen til at dette trinnet er så kritisk. For mens de utformer en bug-bounty, bør penetrasjonstestere tenke som fiendtlige hackere.
På dette stadiet prøver pentesteren å infiltrere systemet ved å bruke operativsystemet som kjører på målsystemet, de åpne portene og tjenestene som betjenes på disse portene, og utnyttelsesmetodene som kan brukes i lys av deres versjoner. Siden nettbaserte portaler og applikasjoner består av så mye kode og så mange biblioteker, er det et større overflateareal for en ondsinnet hacker å angripe. I denne forbindelse bør en god penetrasjonstester vurdere alle muligheter og implementere alle mulige angrepsvektorer som er tillatt innenfor reglene.
Det krever seriøs kompetanse og erfaring for å kunne bruke eksisterende utnyttelsesmetoder vellykket og fleksibelt, uten å skade systemet, og uten å sette spor, under prosessen med å overta systemet. Dette stadiet av penetrasjonstesten er derfor det mest kritiske trinnet. For at rettsmedisinske datateam skal gripe inn under et mulig angrep, må nettangriperen følge sporene som er etterlatt.
5. Privilegium heving forsøk
Et system er bare så sterkt som dets svakeste ledd. Hvis en etisk hacker klarer å få tilgang til et system, logger de vanligvis på systemet som en bruker med lav autoritet. På dette stadiet bør penetrasjonstesteren trenge autoritet på administratornivå, og utnytte sårbarheter i operativsystemet eller miljøet.
Deretter bør de ta sikte på å gripe andre enheter i nettverksmiljøet med disse tilleggsprivilegiene de har oppnådd, og til slutt brukerrettighetene på høyeste nivå som domeneadministrator eller databaseadministrator.
6. Rapportering og presentasjon
Når penetrasjonstesten og bug bounty-trinnene er fullført, må penetrasjonstesteren eller feiljegeren presentere sikkerhetssvakhetene de oppdaget i målsystemet, trinnene som ble fulgt, og hvordan de var i stand til å utnytte disse sårbarhetene til organisasjonen med en detaljert rapport . Dette bør inkludere informasjon som skjermbilder, eksempelkoder, angrepsstadier og hva denne sårbarheten kan forårsake.
Sluttrapporten bør også inneholde et løsningsforslag om hvordan man kan tette hvert sikkerhetshull. Følsomheten og uavhengigheten til penetrasjonstester bør forbli et mysterium. Den etiske hackeren bør aldri dele konfidensiell informasjon innhentet på dette stadiet og bør aldri misbruke denne informasjonen ved å gi feilinformasjon, da det generelt er ulovlig.
Hvorfor er penetrasjonstesten viktig?
Det endelige målet med penetrasjonstesting er å avsløre hvor sikker systeminfrastrukturen er fra en angripers perspektiv og å lukke eventuelle sårbarheter. I tillegg til å identifisere svake punkter i en organisasjons sikkerhetsstilling, måler den også relevansen av sikkerhetspolitikken, tester ansattes bevissthet om sikkerhetsproblemer og bestemmer i hvilken grad virksomheten har implementert cybersikkerhetsprinsipper.
Penetrasjonstester blir viktigere. For å analysere sikkerheten i infrastrukturen til bedriftsstrukturer og personlige applikasjoner, er det viktig å få støtte fra sertifiserte etiske penetrasjonstestere.