• Reklama
  • Zakładki
  • Kastomizacja
  • Newsletter
BrandsIT
POWIADOMIENIA Pokaż więcej
Najnowsze
44565530 44375676 BZxBZ
PKP Intercity od 1 marca obniża ceny biletów średnio od 11 do 15 proc.
Pieniądze Polska
44565467 41354574 BZxBZ
Unimot trzykrotnie zwiększył możliwości produkcji paneli fotowoltaicznych
Czysta energia Pieniądze Polska
44565437 39095385 BZxBZ
Deloitte: ponad 90 proc. dyrektorów z Europy Środkowej przewiduje wzrost kosztów zatrudnienia
Pieniądze Polska
44564234 44564227 BZxBZ
Naukowcy z PG szukają sposobów na zużyte łopaty turbin wiatrowych
Eco Polska Technologia
44563972 43967553 BZxBZ
Bartkiewicz: RPP nie podwyższy stóp procentowych
Ekonomia Pieniądze Podatki i koszty Polska
  • Biznes
  • Pieniądze
  • Rynki
  • Polityka
  • Technologia
  • Eco
  • Work&Life
  • MAGAZYN
  • Opinie
Czytasz: Pentesty. Robić, automatyzować, czy się nie przejmować?
Aa
BrandsITBrandsIT
  • Technologia
  • Biznes
  • Branża IT
  • Świat
  • Pieniądze
    • Inwestycje
    • Kryptowaluty
    • NFT
    • Praca
  • Polityka
    • Polska
    • Europa
    • Świat
  • Technologia
    • Startup
    • Cyberbezpieczeństwo
    • Rozwiązania
    • Gaming
    • Tech Biznes
  • Eco
    • Czysta energia
    • Pogoda i nauka
    • Pojazdy elektryczne
    • Polityka klimatyczna
  • Work&Life
    • W pracy
    • Miasto
    • Nauka
    • Rozrywka
    • Moda
  • Biznes
    • Branża IT
    • Branża deweloperska
    • Branża przemysłowa
    • Branża transportowa
    • Podatki i koszty
Follow US
  • Redakcja
  • Regulamin
  • Polityka prywatności
  • Polityka plików cookies
  • Oświadczenie o prywatności
© 2017-2022 BrandsIT. Brands Stream Sp. z o.o. All Rights Reserved.
BrandsIT > Marzec2022 > Pentesty. Robić, automatyzować, czy się nie przejmować?
Marzec2022

Pentesty. Robić, automatyzować, czy się nie przejmować?

Przemysław Kucharzewski 11 miesięcy temu 8 min czytania
Udostępnij
8 min czytania
Cyberbezpieczeństwo, zpentesty
Udostępnij

Stwierdzenie, że zapobiegać jest lepiej niż leczyć odnosi się także do zdrowia infrastruktury informatycznej Twojego przedsiębiorstwa, a więc do cyberbezpieczeństwa. Takie podejście pozwala na odpowiednią prewencję przed możliwymi atakami z wykorzystaniem istniejących luk przez hakerów, dokonujących ukierunkowanych ataków na dane przedsiębiorstwo. Cyberprzestępcy mają na celu kradzież danych, sprzedaż ich konkurencji, działają na zlecenie konkurencji lub ich celem jest unieruchomienie infrastruktury informatycznej albo podważenie wiarygodności i zrujnowanie wizerunku firmy. Ponadto, trzeba pamiętać, że w Internecie mamy ogrom wirusów komputerowych i złośliwego oprogramowania, które mogą zaszkodzić każdej organizacji korzystającej z Internetu.

Testy penetracyjne, exploity i skanery podatności

Jednym z procesów umożliwiających wykrywanie owych podatności jest test penetracyjny – polega on na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.

Sprawdzanie odporności aplikacji, systemów, serwerów i serwisów może odbywać się przez pentesterów, czyli inaczej mówiąc „etycznych hakerów” w sposób niezautomatyzowany, ale warto pamiętać, że informacje o lukach, nowe „backdoory”, kolejne aktualizacje oprogramowania pojawiają się każdego dnia i ochrona tego typu powinna stanowić proces ciagły.

Warto w tym miejscu wyjaśnić pojęcie „exploit”. Jest to fragment kodu, cały program albo rodzaj ataku, który opiera się na wykorzystaniu błędu w obszarze bezpieczeństwa systemu operacyjnego albo określonego oprogramowania. Składnik infrastruktury (serwery, komputery, urządzenia sieciowe, systemy) może zostać zainfekowany w czasie „okna podatności”, czyli od wykorzystania exploita po raz pierwszy do dnia jego usunięcia, czyli zaimplementowania tzw. łatki bezpieczeństwa (np. uaktualnienia oprogramowania). Ponieważ coraz więcej organizacji i firm zajmuje się wyszukaniem tego typu dziur w oprogramowaniu organizacje urządzają programy „bug bounty” (za odnalezienie podatności lub luk i ich opisanie przekazywane są nagrody pieniężne) lub poszukują brokerów podatności, którzy oferują znaczne sumy pieniędzy za wykrycie konkretnych luk w infrastrukturze i oprogramowaniu.

Drugą stroną medalu są narzędzia stanowiące swoiste platformy do wykorzystania eksploitów w trakcie nielegalnego pozyskiwania informacji i przełamywania zabezpieczeń przez specjalistów i hakerów. Przykładem tego typu narzędzia jest chociażby popularny medialnie system Pegasus.

Skanery podatności to specjalistyczne narzędzia, które pozwalają na sprawdzanie sieci i serwerów w poszukiwaniu ukrytych luk i dziur w zabezpieczeniach. Zadaniem skanerów podatności jest monitorowanie wszystkiego, co dzieje się w infrastrukturze i wykrywanie podejrzanych aktywności. Dzięki takiemu podejściu chroni się firmę czy organizację przed włamaniem.

Hackerzy też skanują

Musimy zdawać sobie sprawę, że hackerzy również uzbrojeni są w podobne narzędzia – tylko, że ich celem nie jest wykrywanie luk, po to, żeby je „łatać” i eliminować, ale po to, aby je wykorzystywać do wrogich ataków i przejęć danych wrażliwych.

Dodatkową kategorię, aczkolwiek nieliczną w zakresie bezpieczeństwa informatycznego w firmach są hybrydowe skanery bezpieczeństwa. Narzędzia te łączą w sobie zalety automatycznych testów bezpieczeństwa z pracą zespołu pentesterów, którzy weryfikują efekty pracy narzędzia pod kątem tzw. false positive, a więc zgłoszeń niebędących zagrożeniem dla organizacji, ale mogących odwrócić uwagę specjalistów od faktycznych zagrożeń dla infrastruktury.

Następna generacja: hybrydowy skaner podatności

Działanie hybrydowego skanera podatności przedstawione zostanie w oparciu o rozwiązanie ReconMore. Bazą rozpoczęcia współpracy jest ustalenie zakresu działania narzędzia: domen, zasobów sieciowych i inne elementy infrastruktury, które mają podlegać skanowaniu. Na podstawie informacji pochodzących z zewnętrznych serwisów, stron dostawców certyfikatów, analizy archiwów, wyodrębniania danych z sieci i wykorzystania technik w obszarze DNS prowadzony jest rekonesans infrastruktury wskazanej przez Klienta, która znajduje się za domeną. W oparciu o dane wykryte w pierwszym etapie – wszelkich zasobów, subdomen, wyszukiwanie są miejsca potencjalnie podatne na eksploitacje. Rezultatem drugiego etapu jest przekazanie wykrytych miejsc ekspozycji na eksploitację przez cyberprzestępców. Etap eksploitacji polega na analizie wykrytych nowych podatności w różnych aspektach bezpieczeństwa. Efekty tych prac przekazywane są do zespołu pentersterów w celu przeprowadzenia retestów wybranych obszarów. Ostatni etap to weryfikacja przez zespół pentesterski. Usunięcie z raportu zgłoszeń false positive, priorytetyzacja, a także przekazanie raportu nowych podatności wraz z dowodem ich występowania i przykładami ich eksploitacji do użytkownika końcowego narzędzia. Pentesterzy przygotowują rekomendacje usunięcia podatności i wspierają w procesie eliminacji podatności. Pomimo tych złożonych działań równoległych sam skaner programowy pracuje dalej, tak aby ochrona infrastruktury odbywała się w sposób ciągły.

Tradycyjne skanowanie podatności oparte jest zazwyczaj o narzędzia, które nie tylko wymagają skompilowanego procesu wdrożenia i konfiguracji, ale również mogą w znaczy stopniu obciążać infrastrukturę, która podlega skanowaniu. Dodatkowo, jeśli w organizacji wykorzystywany jest skaner bez wsparcia zespołu pentesterów, to pomimo inwestycji w tego typu narzędzie nadal niezbędny jest zespół specjalistów, który będzie analizował efekty pracy oprogramowania pod kątem ważności poszczególnych efektów skanowania i potencjalnych zgłoszenia typu tzw. false positive.

Skaner jak odkrywca

Jakiego typu podatności pojawiają się najczęściej? Typowe, takie jak SQL injection w kontekście stron internetowych, czy aplikacji webowych. Często efekty pracy skanera skupiają się wokół skutków błędów ludzkich, np.: pozostawienia zasobów w tzw. głębokim ukryciu, zapominaniu o tymczasowych subdomenach, które były wykorzystywane tylko przez chwilę, a obecnie mogą stanowić źródło danych umożliwiających włamanie się do infrastruktury i nielegalne pozyskanie danych np.: pliki logów z wrażliwymi danymi, czy danych kont użytkowników serwisów umożliwiających dostęp chociażby do sklepu internetowego firmy. Często pojawiają się porzucone kopie („dump”-y) baz danych, z których sprawny cyberprzestępca jest w stanie pozyskać wrażliwe danych. Dodatkowo, jeśli chodzi o firmy z branży IT, szczególnie softwarehouse-y to poprzez zaniedbanie stosowania odpowiednich procedur dotyczących zapisu i dbania o własne kody źródłowe, wymiana tychże kodów pomiędzy pracownikami w sposób nieodpowiedzialny owocuje możliwością przejęcia dorobku zespołów developerskich o ile nie całej firmy.

Ludzki wymiar

Dlaczego warto szukać rozwiązań hybrydowych? Dlatego, że tego typu usługi umożliwiają traktowanie testów penetracyjnych i implementacji skutków ich realizacji jako „black box”, a więc dostajemy w efekcie końcowym pracy hybrydowego skanera bezpieczeństwa wyselekcjonowane informacje dotyczące najgroźniejszych podatności wraz z propozycją rozwiązania zagadnienia przygotowaną przez doświadczonych specjalistów, bez potrzeby ich zatrudniania we własnej organizacji.

W efekcie końcowym mamy więc w ramach subskrypcji do dyspozycji nie tylko samo oprogramowanie, które w sposób ciągły sprawdza stan naszej infrastruktury pod kątem odporności na ataki cyberprzestępców, ale również kompetencje pentesterów czuwających nad efektywnym wykorzystaniem skutków działania tego oprogramowania.

Czy skanery podatności to konieczność? Pytanie retoryczne – tak, dla każdej organizacji pracującej na swojej infrastrukturze lub oferującej swoje systemy swoim klientom – to w tej chwili konieczność. Bądźmy czujni i zapewnijmy sobie bezpieczeństwo. Skaner podatności stał się niezbędnym elementem ekosystemu bezpieczeństwa.

Autor Przemysław Kucharzewski
Przez ponad 20 lat pracy w branży IT zdobył doświadczenie w budowaniu kanałów sprzedaży, szczególnie w dystrybucji. Pasjonat bezpieczeństwa IT.
Skomentuj Skomentuj

Dodaj komentarz Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

- Reklama -

© 2017-2023 BrandsIT. Brands Stream Sp. z o.o. All Rights Reserved.

  • Redakcja
  • Regulamin
  • Polityka prywatności
  • Polityka plików cookies
  • Oświadczenie o prywatności
Zarządzaj swoją prywatnością
We use technologies like cookies to store and/or access device information. We do this to improve browsing experience and to show personalized ads. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Funkcjonalne Zawsze aktywne
Przechowywanie lub dostęp do danych technicznych jest ściśle konieczny do uzasadnionego celu umożliwienia korzystania z konkretnej usługi wyraźnie żądanej przez subskrybenta lub użytkownika, lub wyłącznie w celu przeprowadzenia transmisji komunikatu przez sieć łączności elektronicznej.
Preferencje
Przechowywanie lub dostęp techniczny jest niezbędny do uzasadnionego celu przechowywania preferencji, o które nie prosi subskrybent lub użytkownik.
Statystyka
Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do celów statystycznych. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketing
Przechowywanie lub dostęp techniczny jest wymagany do tworzenia profili użytkowników w celu wysyłania reklam lub śledzenia użytkownika na stronie internetowej lub na kilku stronach internetowych w podobnych celach marketingowych.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Zarządzaj opcjami
{title} {title} {title}

Removed from reading list

Undo