Der er ikke sådan noget som et helt sikkert system. Penetrationstest, forkortet som pentesting, er en specialiseret testprocedure, der indebærer scanning, evaluering og styrkelse af alle et informationssystems byggesten mod potentielle cyberangreb. Virksomheder bruger bug-bounty-websteder til at afdække sikkerhedsfejl i deres systemer. Cybersikkerhedsspecialister, der er eksperter i penetrationstest, afslører og afslører organisatoriske fejl på lovlig vis med bug bounty-systemer. Så hvordan fungerer denne proces?
Indholdsfortegnelse
1. Passiv informationsindsamling og sporing
I den første fase af en bug bounty- og penetrationstest skal testeren indsamle information om målsystemet. Fordi der er ret mange angrebs- og testmetoder, skal penetrationstesteren prioritere ud fra den indsamlede information for at bestemme den mest passende testmetode.
Dette trin involverer udtrækning af værdifulde detaljer om målsystemets infrastruktur, såsom domænenavne, netværksblokke, routere og IP-adresser inden for dets omfang. Derudover bør alle relevante oplysninger, der kan forbedre angrebets succes, såsom medarbejderdata og telefonnumre, indsamles.
Data opnået fra åbne kilder i denne fase kan overraskende give kritiske detaljer. For at opnå dette skal den etiske hacker udnytte forskellige kilder, med særlig vægt på målinstitutionens hjemmeside og sociale medieplatforme. Ved omhyggeligt at indsamle denne intelligens lægger testeren grundlaget for en vellykket bug bounty-indsats.
De fleste organisationer pålægger dog forskellige regler for penetrationstesteren under bug bounty. Det er væsentligt fra et juridisk synspunkt ikke at afvige fra disse regler.
2. Aktiv informationsindsamling og -scanning
Penetrationstesteren registrerer, hvilke aktive og passive enheder, der fungerer inden for IP-området, typisk udført ved passiv indsamling under bug bounty. Ved hjælp af den information, der er opnået under denne passive indsamling, skal pentesteren bestemme en sti – de skal prioritere og bestemme præcis, hvilke tests der er nødvendige.
I løbet af denne fase er det uundgåeligt, at hackeren får information om operativsystemet (OS), åbne porte og tjenester og deres versionsoplysninger på live-systemer.
Derudover, hvis organisationen, der anmoder om bug-bounty, lovligt tillader penetrationstesteren at overvåge netværkstrafikken, kan kritisk information om systeminfrastrukturen indsamles, i det mindste så meget som muligt. De fleste organisationer ønsker dog ikke at give denne tilladelse. I en sådan situation må penetrationstesteren ikke gå ud over reglerne.
3. Analyse- og testtrin
På dette stadium forsøger penetrationstesteren, efter at have fundet ud af, hvordan målapplikationen vil reagere på forskellige indtrængensforsøg, at etablere aktive forbindelser med de systemer, den registrerer at være i live, og forsøger at foretage direkte forespørgsler. Med andre ord er dette stadiet, hvor den etiske hacker interagerer med målsystemet ved effektivt at bruge tjenester som FTP, Netcat og Telnet.
Selvom det mislykkes på dette stadium, er hovedformålet her at teste de data, der er opnået i informationsindsamlingstrinene og tage noter om dem.
4. Manipulation og udnyttelsesforsøg
Penetrationstesteren samler alle de data, der er indsamlet i de foregående processer til ét formål: at forsøge at få adgang til målsystemet på samme måde, som en ægte, ondsindet hacker ville. Det er derfor, dette trin er så kritisk. For mens de designer en bug-bounty, bør penetrationstestere tænke som fjendtlige hackere.
På dette trin forsøger pentesteren at infiltrere systemet ved at bruge operativsystemet, der kører på målsystemet, de åbne porte og tjenesterne, der tjener på disse porte, og de udnyttelsesmetoder, der kan anvendes i lyset af deres versioner. Da webbaserede portaler og applikationer består af så meget kode og så mange biblioteker, er der et større areal for en ondsindet hacker at angribe. I denne henseende bør en god penetrationstester overveje alle muligheder og implementere alle mulige angrebsvektorer, der er tilladt inden for reglerne.
Det kræver seriøs ekspertise og erfaring at kunne anvende de eksisterende udnyttelsesmetoder succesfuldt og fleksibelt, uden at beskadige systemet og uden at efterlade spor, under overtagelsesprocessen. Dette trin af penetrationstesten er derfor det mest kritiske trin. For at kriminaltekniske datahold kan gribe ind under et muligt angreb, skal cyberangriberen følge de efterladte spor.
5. Privilegiumforøgelsesforsøg
Et system er kun så stærkt som dets svageste led. Hvis en etisk hacker formår at få adgang til et system, logger de normalt på systemet som en lavautoriseret bruger. På dette stadium skal penetrationstesteren have behov for autoritet på administratorniveau, der udnytter sårbarheder i operativsystemet eller miljøet.
Derefter bør de sigte mod at beslaglægge andre enheder i netværksmiljøet med disse yderligere privilegier, de har opnået, og i sidste ende de højeste brugerrettigheder såsom domæneadministrator eller databaseadministrator.
6. Rapportering og præsentation
Når penetrationstesten og bug bounty-trinene er gennemført, skal penetrationstesteren eller fejljægeren præsentere de sikkerhedssårbarheder, de opdagede i målsystemet, de fulgte trin, og hvordan de var i stand til at udnytte disse sårbarheder til organisationen med en detaljeret rapport . Dette bør omfatte oplysninger såsom skærmbilleder, eksempelkoder, angrebsstadier og hvad denne sårbarhed kan forårsage.
Den endelige rapport bør også indeholde et løsningsforslag om, hvordan man lukker hvert sikkerhedshul. Følsomheden og uafhængigheden af penetrationstests bør forblive et mysterium. Den etiske hacker bør aldrig dele fortrolige oplysninger, der er opnået på dette trin, og bør aldrig misbruge disse oplysninger ved at give misinformation, da det generelt er ulovligt.
Hvorfor er penetrationstesten vigtig?
Det ultimative mål med penetrationstest er at afsløre, hvor sikker systeminfrastrukturen er set fra en angribers perspektiv og at lukke eventuelle sårbarheder. Ud over at identificere svage punkter i en organisations sikkerhedsposition, måler den også relevansen af dens sikkerhedspolitik, tester medarbejdernes bevidsthed om sikkerhedsproblemer og bestemmer, i hvilket omfang virksomheden har implementeret cybersikkerhedsprincipper.
Penetrationstest bliver vigtigere. For at analysere sikkerheden i infrastrukturen af virksomhedsstrukturer og personlige applikationer er det vigtigt at få støtte fra certificerede etiske penetrationstestere.
