Netwerk kwetsbaarheid heeft meestal de nasleep die echt onaangenaam en duur zijn. Op tal van, om op zijn minst te zeggen, gelegenheden hebben bedrijven hun lessen op de harde manier geleerd: diensten voor een tijdje, uitgebreide (ook dure) herstelwerkzaamheden, niets zeggen over gederfde winst en andere langetermijneffecten. Bedrijven aan een slimmere kant kregen een verlangen naar gegevensbescherming die bewezen effectief is. Hoe het te bewijzen? Imiteer aanvallen-hoe smeriger (van overal en op verschillende manieren), hoe beter.
Penetration test
Dit is kort hoe penetratietests, afgekort tot pentests, tot leven kwamen.
Doelen in zicht
Laten we snel de meest voorkomende objecten van hacken noemen. Ze zijn:
- Openbaarmaking van informatie in multi-cloudomgevingen, serverzijde met name Verzoekvervalsing.
- Authenticatieprocedures, inclusief procedures binnen lokale netwerken en pogingen tot externe toegang.
- Gemeenschappelijke boodschappers, met name wanneer ze worden gebruikt om gevoelige informatie te delen.
- Verouderde en / of onjuist gepatchte software. Niet-gelicentieerde exemplaren lijken de gemakkelijkste prooi te zijn.
- Ten slotte is het eerder een onderwerp van hacken dan het object. Mensen: met hun foutief of doelgericht gedrag om meer uit het bedrijf te halen (zoals escalatie van persoonlijke privileges) of gewoon om schade te berokkenen.
Verder vasthouden aan militaire bewoordingen: bedreigingen zijn aanwezig en duidelijk. Dus de bekende overlevingsroutines voor een eenheid zijn regelmatige oefeningen.
Word ziek om je genezing te krijgen
Een onverwachte vergelijking: denk aan penetratietest als aan vaccinatie. Wat is die steek eigenlijk? Een kleine dosis van waar het tegen bedoeld is-het echte virus of bacteriën, opgelost ump-duizend keer. In de meeste gevallen zal de injectie je licht ziek maken, maar toch immuun voor die ziekte, in sommige gevallen voor je leven.
Penetratietests (en testers) simuleren het aantal aanvallen gericht op dezelfde entiteit. Veel taken zijn geautomatiseerd, maar sommige, zoals het inbreken in OS, hardware en software van een client, vereisen handmatige betrokkenheid.
Externe aanvallen worden eerst uitgevoerd; de eerste beveiligingslijn wordt getest via Internet. Vervolgens wordt de binnenste perimeter ingevoerd: testers met de toegangsrechten van een gewone werknemer controleren een intern netwerk – meestal via een externe VPN-verbinding. Sommige verboden activiteiten van het personeel van de aangevallen kant worden ook vaak getest; dergelijk gedrag kan zelfs worden geprovoceerd binnen de reeks aanvallen. Aan het einde krijgt de klant een grondig rapport over hoe het bedrijf in het algemeen en in detail wordt beschermd; de meest kritische kwesties worden eerst geplaatst, samen met de verbetersuggesties.
Momenteel vijf penetratietestmethoden zijn in gebruik. De Open Source Security Testing Methodology Manual (OSSTMM) en NIST SP800-115 lijken de meest gebruikte te zijn.
De voorschriften met betrekking tot penetratietests zijn afzonderlijk vermeldenswaard. Entiteiten die betaalkaartgegevens verwerken, zijn verplicht om jaarlijks volledige perimeterpenetratietests uit te voeren, in overeenstemming met PCI DSS-vereiste 11.3. Sommige lokale voorschriften kunnen ook het bestaan van pentests bevorderen.
Daarom hebben pentests bepaalde overeenkomsten met die griep (of wat dan ook) schot. Daarvoor ben je behoorlijk opgewonden, soms gestoord, dan is er een “ouch” – maar in feite doet het veel minder pijn dan verwacht, dan ben je bewezen in goede gezondheid te zijn en vrij om zonder vooroordelen gecontacteerd te worden.
Het echte, hoe virtueel ook, ding
Het is een beetje beangstigend dat een penetratietest absoluut “live” moet worden georkestreerd: de zorgen van klanten over “wat als er iets misgaat” zijn begrijpelijk. Toch is het grootste voordeel en uiteindelijk het gevoel van pentest in zijn realisme. De gegeven klant, de bestaande infrastructuur met zijn heuvels en putten – en uiteindelijk het zeer betrouwbare, dus waardevolle antwoord: is het bedrijf voldoende beschermd of vereist verbetering.
Hieronder vindt u de beschrijving van real pentest uitgevoerd. Natuurlijk zullen er geen echte namen of exacte cijfers zijn, maar voel gewoon de authenticiteit in deze ruime verwijzing:
“Side security expertise is onvermijdelijk omdat het minder bevooroordeeld is; klanten hebben vaak geen competentie om grootschalige tests uit te voeren. Helaas vinden kleine bedrijven penetratietests te ingewikkeld en te duur. Toch hebben we pentest uitgevoerd voor een klein bedrijf.
Ons bekwame team viel de bedrijfsinfrastructuur van de klant aan via alle routes die zowel extern als intern beschikbaar waren. Er waren niet alleen technische hulpmiddelen bij betrokken; Er was ook wat social engineering aanwezig. Het simuleerde zowel massale cyberaanvallen als interne fraudeactiviteiten, maar alles onder controle en zonder gevaarlijke nasleep.
Om een inbraak Black Box model te imiteren, wanneer een aanvaller geen specifieke doelen heeft, werd gebruikt. Voor interne penetratietests werd gekozen voor een extern gebruikersmodel, wanneer een hacker een niet-gecontroleerd werkstation verbindt met een lokaal netwerk, trhu VPN. Er was geen logische toegang tot het Active Directory-domein, noch informatie over de netwerkstructuur en de bescherming ervan Beschikbaar voor die externe gebruiker. Draadloze netwerkbeveiliging werd getest via het Bezoekersmodel, wanneer een echt persoon toegang krijgt tot het kantoor van de klant naast de deur.
Elke test had een inleidende verkenningsfase, waarbij domeinnamen en zones, netwerkadressen en componenten, beschermingsmiddelen, webtoepassingen, accountnamen, software en gebruikte diensten werden verzameld. Ook werden enkele gegevens over het personeel verzameld: tijdens sociale tests voerde het team een pseudo-phishing-uitzending uit en volgde de menselijke reactie. Bovendien werden USB-flashstations met malware-imitatie verspreid over het kantoor van de klant: de verbindingen van schijven met kantoorcomputers werden op afstand opgenomen.
Het probleem van wederzijds vertrouwen was groot tijdens de hele reeks tests. Elke fase of model werd grondig met de klant besproken. Het afzonderlijke memorandum over mogelijke schade of onomkeerbare wijzigingen werd door beide partijen ondertekend; als op een bepaald moment van het testen het risico te hoog leek of de testers succesvol waren in hun penetratie, stopten de operaties onmiddellijk tot verdere goedkeuring.
De pentest conclusie kwam verrassing voor de klant. De externe bescherming was boven voldoende. Terwijl de weerstand van webapplicaties tegen DDos-aanvallen erg laag bleek te zijn. Potentiële fraudeurs hadden dus niet veel rekenkracht nodig om door te komen.
De interne structuur bracht ook enkele belangrijke problemen aan het licht. Maar de belangrijkste zorg was niet technisch. De medewerkers van de klant toonden een gebrek aan zorg en kennis van gegevensbeveiliging. Als een bedrijfsnetwerk er van buitenaf stevig uitziet, is er altijd het risico dat iemand het van binnenuit zal proberen te verwoesten.”
checklist
Overweeg penetratietests voor uw bedrijf, houd er rekening mee:
- Hoe groot is uw omzet?
- Hoeveel van uw bedrijf hangt ervan af?
- Hoeveel kan je verliezen in geval van penetratie?
