การทดสอบการเจาะที่ครอบคลุม การทดสอบการเจาะคืออะไร? การดำเนินการโจมตีบนเว็บแอปพลิเคชัน
การทดสอบการเจาะระบบเป็นการผสมผสานระหว่างวิธีการที่คำนึงถึงปัญหาของระบบต่างๆ และการทดสอบ วิเคราะห์ และมอบแนวทางแก้ไข ขึ้นอยู่กับขั้นตอนที่มีโครงสร้างซึ่งทำการทดสอบการเจาะทีละขั้นตอน ด้านล่างนี้คือการทดสอบการเจาะเจ็ดขั้นตอน:
การวางแผนและการเตรียมการ
การวางแผนและการเตรียมการเริ่มต้นด้วยการกำหนดเป้าหมายและวัตถุประสงค์ของการทดสอบการเจาะระบบ
ลูกค้าและผู้ทดสอบร่วมกันกำหนดเป้าหมายเพื่อให้ทั้งสองฝ่ายมีเป้าหมายและความเข้าใจที่เหมือนกัน วัตถุประสงค์ในการทดสอบการเจาะทั่วไปคือ:
- ระบุช่องโหว่และปรับปรุงความปลอดภัยของระบบทางเทคนิค
- รับรองความปลอดภัยด้านไอทีโดยบุคคลที่สามภายนอก
- ปรับปรุงความปลอดภัยของโครงสร้างพื้นฐานขององค์กร/ทรัพยากรบุคคล
ศึกษา
หน่วยสืบราชการลับรวมถึงการวิเคราะห์ข้อมูลเบื้องต้น หลายครั้งที่ผู้ทดสอบไม่มีข้อมูลมากนักนอกจากข้อมูลเบื้องต้น ซึ่งก็คือที่อยู่ IP หรือบล็อกของที่อยู่ IP ผู้ทดสอบเริ่มต้นด้วยการวิเคราะห์ข้อมูลที่มีอยู่ และหากจำเป็น ก็ขอให้ได้รับจากผู้ใช้ ข้อมูลเพิ่มเติมเช่น คำอธิบายระบบ แผนเครือข่าย ฯลฯ ขั้นตอนนี้เป็นการทดสอบการเจาะระบบแบบพาสซีฟ เป้าหมายเดียวคือการได้รับข้อมูลที่ครบถ้วนและมีรายละเอียดเกี่ยวกับระบบ
กำลังเปิด
ณ จุดนี้ ผู้ทดสอบการเจาะระบบมีแนวโน้มที่จะใช้เครื่องมืออัตโนมัติเพื่อสแกนสินทรัพย์เป้าหมายเพื่อตรวจจับช่องโหว่ เครื่องมือเหล่านี้มักจะมีฐานข้อมูลของตัวเองที่ให้ข้อมูลเกี่ยวกับช่องโหว่ล่าสุด อย่างไรก็ตามผู้ทดสอบตรวจพบ
- การค้นพบเครือข่าย- เช่น การเปิด ระบบเพิ่มเติมเซิร์ฟเวอร์และอุปกรณ์อื่นๆ
- การค้นพบโฮสต์- กำหนด เปิดพอร์ตบนอุปกรณ์เหล่านี้
- บริการสอบปากคำ- สำรวจพอร์ตเพื่อค้นหาบริการจริงที่ทำงานอยู่
ข้อมูลและการวิเคราะห์ความเสี่ยง
ในขั้นตอนนี้ ผู้ทดสอบจะวิเคราะห์และประเมินข้อมูลที่รวบรวมก่อนขั้นตอนการทดสอบเพื่อเจาะระบบแบบไดนามิก เนื่องจากระบบจำนวนมากและขนาดของโครงสร้างพื้นฐาน จึงใช้เวลานาน เมื่อวิเคราะห์ผู้ทดสอบจะพิจารณาองค์ประกอบต่อไปนี้:
- วัตถุประสงค์เฉพาะของการทดสอบการเจาะ
- ความเสี่ยงที่อาจเกิดขึ้นกับระบบ
- เวลาโดยประมาณที่ต้องใช้ในการประเมินข้อบกพร่องด้านความปลอดภัยที่อาจเกิดขึ้นสำหรับการทดสอบการเจาะระบบที่ใช้งานอยู่ในภายหลัง
อย่างไรก็ตาม จากรายการระบบที่ระบุ ผู้ทดสอบสามารถเลือกทดสอบเฉพาะระบบที่มีช่องโหว่ที่อาจเกิดขึ้นได้
ความพยายามในการบุกรุก
นี่เป็นขั้นตอนที่สำคัญที่สุดและต้องทำด้วยความระมัดระวัง ขั้นตอนนี้เกี่ยวข้องกับขอบเขตที่ช่องโหว่ที่อาจเกิดขึ้นซึ่งค้นพบในระหว่างขั้นตอนการค้นพบที่ก่อให้เกิดความเสี่ยงที่แท้จริง ขั้นตอนนี้ควรดำเนินการเมื่อจำเป็นต้องตรวจสอบช่องโหว่ที่อาจเกิดขึ้น สำหรับระบบที่มีข้อกำหนดด้านความสมบูรณ์ที่สูงมาก จะต้องพิจารณาจุดอ่อนและความเสี่ยงที่อาจเกิดขึ้นอย่างรอบคอบก่อนดำเนินการตามขั้นตอนการทำความสะอาดที่สำคัญ
การวิเคราะห์ขั้นสุดท้าย
ขั้นตอนนี้จะพิจารณาขั้นตอนทั้งหมดที่ดำเนินการ (ตามที่กล่าวไว้ข้างต้น) จนถึงเวลานี้ก่อน และการประเมินช่องโหว่ที่ปรากฏในรูปแบบของความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ ผู้ทดสอบแนะนำให้ขจัดช่องโหว่และความเสี่ยง ก่อนอื่น ผู้ทดสอบจะต้องมั่นใจในความโปร่งใสของการทดสอบและช่องโหว่ที่ค้นพบ
จัดทำรายงาน
การเตรียมรายงานควรเริ่มต้นด้วยขั้นตอนการทดสอบทั่วไป จากนั้นจึงวิเคราะห์จุดอ่อนและความเสี่ยง ควรจัดลำดับความสำคัญของความเสี่ยงสูงและช่องโหว่ที่สำคัญ ตามด้วยลำดับที่ต่ำกว่า
อย่างไรก็ตาม เมื่อจัดทำเอกสารรายงานขั้นสุดท้าย ควรพิจารณาประเด็นต่อไปนี้:
- ภาพรวมทั่วไปของการทดสอบการเจาะ
- รายละเอียดข้อมูลเกี่ยวกับแต่ละขั้นตอนและข้อมูลที่รวบรวมระหว่างการทดสอบปากกา
- ข้อมูลโดยละเอียดเกี่ยวกับช่องโหว่และความเสี่ยงที่ตรวจพบทั้งหมด
- ชิ้นส่วนสำหรับทำความสะอาดและยึดระบบ
- ข้อเสนอเพื่อความมั่นคงในอนาคต
เจ้าของธุรกิจ ผู้เชี่ยวชาญด้านไอที และผู้ใช้คอมพิวเตอร์ทั่วไปทุกคนเคยเผชิญกับภัยคุกคามทางไซเบอร์อย่างน้อยหนึ่งครั้ง ใน โลกสมัยใหม่พวกมันมีพลังเพิ่มมากขึ้นและสามารถก่อให้เกิดความเสียหายอย่างใหญ่หลวงไม่เพียงต่อธุรกิจเท่านั้น แต่ยังรวมถึงรัฐด้วย
แฮกเกอร์มีสองประเภท:
หมวกสีขาว- ทำงานเพื่อความปลอดภัย ต่อต้านการบุกรุกที่ผิดกฎหมาย
แฮกเกอร์ดำ (หมวกดำ)- ฝ่าฝืนกฎหมาย ขโมยข้อมูลส่วนบุคคล บัญชีธนาคารว่างเปล่า
ทีมงานของเราจะทำหน้าที่ดำเนินการทดสอบเพื่อค้นหาช่องโหว่ในเครือข่ายสำนักงานของบริษัทของคุณ บนเว็บไซต์และแอปพลิเคชันของคุณ และยังมีส่วนช่วยอีกด้วย วิศวกรรมสังคมเราจะสามารถระบุแผนกที่ได้รับการคุ้มครองต่ำที่สุดในบริษัทของคุณและให้คำแนะนำเกี่ยวกับวิธีการเสริมสร้างการป้องกันให้แข็งแกร่งขึ้น
มีอะไรรวมอยู่ในการทดสอบ Pentesting (การทดสอบความปลอดภัย)?
การทดสอบความปลอดภัยของบริษัทอาจรวมถึง:- การวิเคราะห์เครือข่ายภายนอกและปริมณฑล
- Pentest (การทดสอบการเจาะ)
- การทดสอบเครือข่ายภายใน
- ค้นหาช่องโหว่และการแสวงหาผลประโยชน์
- วิศวกรรมสังคม
- ทดสอบเว็บไซต์ของบริษัท
- การทดสอบ แอปพลิเคชันมือถือบริษัท
- รายงานการทดสอบและคำแนะนำ
รายการการทดสอบที่แน่นอนจะพิจารณาในขั้นตอนการเจรจา หลังจากศึกษาความต้องการของลูกค้าแล้ว
ค่าใช้จ่ายในการทดสอบการเจาะ
การทดสอบเครือข่ายองค์กรภายนอก
ราคาตามคำขอ
การทดสอบการเจาะ (เพนเทสต์)
ราคาตามคำขอ
ทดสอบแอปพลิเคชันบนเว็บและมือถือ
ราคาตามคำขอ
วิศวกรรมสังคม
ราคาตามคำขอ
การทดสอบความปลอดภัยแบบครบวงจร
ราคาตามคำขอ
การสืบสวนอาชญากรรมทางไซเบอร์
ราคาตามคำขอ
สำคัญ
“น่าเสียดายที่บริษัทส่วนใหญ่มักเริ่มคิดถึงเรื่องนี้ ความปลอดภัยของข้อมูลเมื่อพวกเขาได้รับความทุกข์ทรมานแล้ว แฮกเกอร์ไม่สนใจขนาดของบริษัทของคุณและการหมุนเวียนของบริษัท พวกเขาสนใจจำนวนบริษัทที่ถูกแฮ็ก”
ปกป้องบริษัทของคุณจากภัยคุกคามทางไซเบอร์!
แล้วเพนเทสต์คืออะไร?
การทดสอบคือการค้นหา และการทดสอบการเจาะระบบเป็นหนึ่งในการค้นหาเชิงลึกและมีประสิทธิภาพมากที่สุดสำหรับจำนวนจุดและพื้นที่สูงสุดที่มีระดับช่องโหว่ที่แตกต่างกันสำหรับการเจาะทรัพยากรและผู้ใช้ของบุคคลที่สาม การบุกรุกดังกล่าวสามารถกระทำได้ทั้งโดยมุ่งร้ายหรือโดยอ้อมเพื่อป้อนหรือรับข้อมูลบางอย่าง
เทคนิคนี้สามารถดำเนินการแยกกันและรวมอยู่ในระบบการทดสอบปกติหรือแบบครั้งเดียวเพื่อสร้างมาตรการป้องกันที่มีประสิทธิภาพต่อการโจมตีและการบุกรุกของบุคคลที่สามในขอบเขตที่กว้างที่สุด
สาเหตุของช่องโหว่ของระบบ
การสูญเสียความปลอดภัยสามารถเกิดขึ้นได้ในขั้นตอนต่าง ๆ ของการทำงานของระบบใด ๆ แต่ในกรณีใด ๆ ขึ้นอยู่กับอิทธิพลของปัจจัยต่าง ๆ เช่น:
- ข้อผิดพลาดในการออกแบบ
- กระบวนการกำหนดค่าที่ไม่ถูกต้องเมื่อเลือกการกำหนดค่าการทำงานต่ำของการรวมกันของซอฟต์แวร์และอุปกรณ์ที่เกี่ยวข้องกับระบบ
- ข้อบกพร่องด้านความปลอดภัยในระบบเอาต์พุตเครือข่าย ยิ่งระดับความปลอดภัยสูงเท่าไร การเชื่อมต่อเครือข่ายยิ่งโอกาสที่จะเกิดผลกระทบด้านลบและความเป็นไปได้ที่จะแทรกซึมอิทธิพลที่เป็นอันตรายเข้าสู่ระบบก็จะยิ่งน้อยลงเท่านั้น
- ปัจจัยด้านมนุษย์ ซึ่งแสดงออกมาในกรณีที่เกิดข้อผิดพลาดที่เป็นอันตรายหรือไม่ได้ตั้งใจในการออกแบบ การใช้งาน หรือการบำรุงรักษาเครือข่ายระหว่างการทำงานส่วนตัวหรือเป็นทีม
- องค์ประกอบการสื่อสาร แสดงในการถ่ายโอนข้อมูลที่เป็นความลับโดยไม่มีการป้องกัน
- ความซับซ้อนของระบบสูงเกินสมควร การควบคุมระดับความปลอดภัยทำได้ง่ายกว่าการติดตามช่องทางการรั่วไหลของข้อมูลจากข้อมูลเสมอ สิ่งที่ทำได้ง่ายกว่าในระบบที่เรียบง่ายและใช้งานได้ดีกว่าในระบบที่ซับซ้อน
- ขาดความรู้ ขาดการฝึกอบรมวิชาชีพในระดับที่เพียงพอในประเด็นด้านความปลอดภัยในหมู่ผู้เชี่ยวชาญที่เกี่ยวข้องโดยตรงหรือโดยอ้อมกับการใช้ระบบ
การทดสอบแตกต่างจากการประเมินช่องโหว่
แม้จะมีจุดประสงค์ในการใช้งานที่คล้ายคลึงกันก็ตาม กล่าวคือ การค้นหาและการจัดระเบียบผลิตภัณฑ์ซอฟต์แวร์ที่ปลอดภัยที่สุด พวกเขาทำงานแตกต่างกัน
การทดสอบการเจาะจะดำเนินการผ่านการตรวจสอบจริง ดำเนินการทั้งด้วยตนเองและใช้ระบบและเครื่องมือที่มีความเชี่ยวชาญสูงบางอย่าง สิ่งที่ทำได้ผ่านการจำลองอิทธิพลที่เป็นอันตราย ช่วยให้สามารถระบุจุดอ่อนได้
การกำหนดระดับของช่องโหว่นั้นมาจากการตรวจสอบขั้นตอนการทำงานอย่างรอบคอบเพื่อระบุช่องว่างที่เป็นไปได้ที่ข้อมูลสามารถหลบหนีได้ในระหว่างการโจมตีบางประเภท สิ่งนี้จะช่วยค้นหาพื้นที่ที่เสี่ยงต่ออิทธิพลของแฮ็กเกอร์ ซึ่งจะกำหนดระดับความปลอดภัยโดยรวมของระบบที่อยู่ระหว่างการทดสอบ ในระหว่างการดำเนินการ จะมีการระบุ "จุดอ่อน" ที่ระบุ แก้ไข และกำจัด
ดังนั้นการกำหนดระดับของช่องโหว่จึงเป็นขั้นตอนการทำงานที่กำหนดไว้ และการทดสอบการเจาะทำงาน “ตามสถานการณ์” ด้วย เป้าหมายร่วมกันมีอิทธิพลต่อระบบอย่างรุนแรงที่สุดเท่าที่จะเป็นไปได้เพื่อระบุช่องว่างในการป้องกัน
มันมีไว้เพื่ออะไร
ช่วยให้คุณค้นหาและแก้ไขช่องว่างในระบบความปลอดภัยของโปรแกรมที่คุณใช้อยู่ นี่เป็นงานเชิงรุกเพื่อป้องกันความเป็นไปได้ที่จะแทรกซึมอิทธิพลเชิงลบของบุคคลที่สาม โดยไม่คำนึงถึงเป้าหมายและระดับของการนำไปปฏิบัติ สิ่งนี้จะช่วยสร้างระบบการป้องกันที่มีความสามารถสูงสุดต่อภัยคุกคามที่คาดหวังจากภายนอก ไม่ใช่แค่ที่มีอยู่เท่านั้น
การตรวจสอบดังกล่าวช่วยให้:
- ค้นหาจุดอ่อน/จุดอ่อนในระบบก่อนที่จะเผชิญกับอิทธิพลด้านลบจากภายนอก และทำให้ข้อมูลรั่วไหล นี่เป็นทางเลือกที่ดี อัปเดตบ่อยครั้งระบบ เนื่องจากอย่างหลังส่งผลกระทบต่อความเข้ากันได้และความเร็วของการทำงานของระบบที่ทำการดีบั๊กก่อนหน้านี้โดยไม่คำนึงถึงสิ่งเหล่านั้น เป็นการดีกว่าที่จะควบคุมการอัปเดตมากกว่าดำเนินการโดยไม่มีการควบคุม
- ประเมินเครื่องมือรักษาความปลอดภัยที่นำไปใช้งาน ช่วยให้นักพัฒนาได้รับการประเมินความสามารถของตนตามความเป็นจริง รวมถึงระดับการปฏิบัติตามมาตรฐานความปลอดภัยในปัจจุบัน นอกจากนี้ การทดสอบการเจาะระบบยังช่วยให้คุณระบุความเสี่ยงทางธุรกิจ รวมถึงส่วนประกอบอื่นๆ ของการป้องกัน ซึ่งอาจลดลงในระหว่างการแลกเปลี่ยนระหว่างการใช้ส่วนประกอบซอฟต์แวร์ที่ได้รับอนุญาตและที่เปิดใช้งานใหม่ร่วมกัน ทำให้สามารถจัดโครงสร้างและจัดลำดับความสำคัญ ลดและขจัดระดับความเสี่ยงที่ตรวจพบและผลกระทบด้านลบของภัยคุกคามที่เป็นไปได้
- ระบุความเสี่ยงเพื่อปรับปรุงมาตรฐานความปลอดภัยที่มีอยู่
กระบวนการติดตามตรวจสอบ
การทดสอบการเจาะในปัจจุบันสามารถทำได้โดยใช้เทคนิคมากมาย แต่เทคนิคหลักและเป็นที่ต้องการมากที่สุดคือ:
การทดสอบด้วยตนเองดำเนินการตามอัลกอริทึมต่อไปนี้
- การวางแผนหรือการรวบรวมข้อมูลอย่างระมัดระวังโดยคำนึงถึงความต้องการ ขอบเขตการใช้งาน วัตถุประสงค์ของการติดตามที่กำลังจะเกิดขึ้น โดยคำนึงถึงระดับการป้องกันที่มีอยู่ อาจมีการระบุพื้นที่เฉพาะสำหรับการติดตามระดับการป้องกัน ประเภทของผลกระทบที่ต้องการ/ตามแผน และข้อกำหนดอื่นๆ สำหรับการติดตามในอนาคตที่นี่
- การจัดการข่าวกรองมุ่งเป้าไปที่การค้นหาและสะสมข้อมูลที่ได้รับในระบบและกลไกการป้องกันแบบรวมของบุคคลที่สามที่จำเป็นสำหรับการกำหนดเป้าหมายและการโจมตีที่จัดเป็นพิเศษในบล็อกที่ระบุหรือทั้งระบบ เป้าหมาย: ได้รับการทดสอบที่มีประสิทธิภาพสูงสุด ดังนั้นจึงมีสองประเภท: แบบพาสซีฟและแบบแอคทีฟ โดยแบบแรกจะดำเนินการโดยไม่มีอิทธิพลเชิงรุกต่อระบบ และแบบที่สองตรงกันข้ามโดยสิ้นเชิง
- การวิเคราะห์ผลลัพธ์ที่ระบุ ขั้นตอนนี้ช่วยให้คุณสามารถระบุจุดอ่อนที่สุดที่จะใช้สำหรับการเจาะเข้าสู่ระบบเชิงรุกเพิ่มเติม
- การใช้ผลลัพธ์ที่ได้รับ ตามตำแหน่งที่ระบุของ "การเจาะระบบอย่างง่าย" ของระบบป้องกัน การโจมตีที่เตรียมไว้จะดำเนินการกับซอฟต์แวร์ทั้งในรูปแบบของการโจมตีภายนอกและภายใน อิทธิพลภายนอกเป็นภัยคุกคามต่อระบบจากภายนอก โดยที่ภัยคุกคามภายนอกโดยตรงที่ส่งผลต่อระบบและความพยายามพิเศษในการเข้าถึงข้อมูลของระบบที่ได้รับการป้องกันจะถูกจำลอง การโจมตีภายในแสดงถึงระยะที่สองของผลกระทบ ซึ่งเริ่มต้นหลังจากการเจาะเข้าสู่ระบบจากภายนอกได้สำเร็จ ช่วงของเป้าหมายสำหรับอิทธิพลเพิ่มเติมนั้นกว้างและหลากหลาย สิ่งสำคัญคือการประนีประนอมของระบบที่พวกเขาเจาะเข้าไป
- ผลลัพธ์ของการดำเนินการทำให้สามารถระบุวัตถุประสงค์ของภัยคุกคามที่ระบุแต่ละรายการและกำหนดศักยภาพสำหรับกระบวนการธุรกิจภายในของระบบโดยรวมและส่วนประกอบแต่ละส่วนโดยเฉพาะ
- ข้อสรุปคือกลุ่มเอกสารประกอบของงานที่ดำเนินการและผลลัพธ์ที่ได้รับ อธิบายภัยคุกคามที่อาจเกิดขึ้นและขอบเขตของผลกระทบเชิงลบเมื่อบรรลุเป้าหมายผลกระทบ
- การปฏิบัติจริงของการเริ่มต้น การใช้งาน และการบำรุงรักษาเพิ่มเติม
- ความสะดวกในการสแกน
- ระดับของระบบอัตโนมัติเมื่อระบุช่องโหว่
- ระดับความพร้อมของการทดสอบพื้นที่ที่ค้นพบก่อนหน้านี้ซึ่งอ่อนแอต่อการโจมตีจากภายนอก
- ระดับของความสามารถในการสร้างเอกสารการรายงานที่มีรายละเอียดและเรียบง่ายเกี่ยวกับงานที่ทำและผลลัพธ์ที่ได้รับ
- สังคมหรือมนุษย์ ซึ่งผู้คนเชื่อมต่อกันซึ่งสามารถรับข้อมูลที่จำเป็นจากระยะไกลหรือในท้องถิ่นและประมวลผลได้อย่างชัดเจน
- แอปพลิเคชันซอฟต์แวร์ที่ใช้ในการระบุข้อบกพร่องด้านความปลอดภัย มีการใช้ตัวเลือกต่างๆ สำหรับข้อเสนอทางเว็บและบริการพิเศษของบริการที่ใช้หรือแหล่งข้อมูลบุคคลที่สามในเวลาเดียวกัน
- ทรัพยากรเครือข่ายที่ช่วยให้คุณระบุความเป็นไปได้ของการเข้าถึงหรือการเจาะของแฮ็กเกอร์โดยไม่ได้รับอนุญาตโดยผู้ใช้ที่ไม่ได้รับอนุญาต
- ส่วนลูกค้าใช้ในการทำงาน การใช้งานพิเศษติดตั้งบนเว็บไซต์หรือแอปพลิเคชันของลูกค้า
- การเข้าถึงระยะไกลดำเนินการโดยการทดสอบ VPN หรือวัตถุที่คล้ายกันที่ช่วยให้สามารถเข้าถึงระบบนี้ได้อย่างเหมาะสม
- การเชื่อมต่อไร้สาย มีวัตถุประสงค์เพื่อทดสอบแอปพลิเคชัน บริการ และเครื่องมือไร้สาย
- สีขาว โดยที่ผู้ทดสอบสามารถเข้าถึงข้อมูลเกี่ยวกับฟังก์ชันและเครื่องมือของระบบที่กำลังทดสอบได้ อะไรทำให้งานของเขามีประสิทธิภาพและประสิทธิผลมากที่สุดเท่าที่จะเป็นไปได้ เนื่องจากการครอบครองข้อมูลดังกล่าวช่วยให้คุณเข้าใจความซับซ้อนและคุณลักษณะของระบบที่อยู่ระหว่างการทดสอบ และทำการทดสอบด้วยการจุ่มสูงสุด
- สีดำให้การเข้าถึงข้อมูลพื้นฐานหรือระดับสูงเกี่ยวกับระบบ ผู้ทดสอบรู้สึกเหมือนแฮ็กเกอร์มากกว่าพนักงานที่ทำงานจากภายในระบบ ความเข้มของแรงงานระดับสูง วิธีนี้ต้องใช้เวลาและความรู้อย่างถี่ถ้วนตลอดจนประสบการณ์ในการดำเนินการ ดังนั้นจึงมีความเป็นไปได้สูงที่จะพลาดหรือการทดสอบไม่สมบูรณ์
- การเข้าถึงข้อมูลระบบเป็นสีเทาหรือจำกัดเพียงพอที่จะสร้างการโจมตีภายนอกจำลอง
- ระยะเวลาสั้น ๆ โดยมีต้นทุนเริ่มต้นสูงในขั้นตอนนี้
- การจำกัดจำนวนการทดสอบต่อหน่วยเวลา
- ความเป็นไปได้ที่จะเกิดความล้มเหลวในการเจาะในส่วนของระบบ
- ข้อมูลที่ได้รับมีช่องโหว่ในระดับสูง
การทดสอบด้วยเครื่องมืออัตโนมัติไม่เพียงแต่มีประสิทธิภาพ แต่ยังมีประโยชน์มากเมื่อใช้เครื่องมือพิเศษสูงอีกด้วย สะดวกในการใช้งาน ใช้เวลาน้อยที่สุด และประสิทธิผลช่วยให้คุณสร้างข้อสรุปที่ "ชัดเจน" เกี่ยวกับงานที่ทำเสร็จได้
รายการเครื่องมือยอดนิยม ได้แก่ Nessus, Matesploit, Nmap, OpenSSL, Wireshark, w3af คอลเลกชันระบบ Linux นำเสนอสิ่งที่น่าสนใจและใช้งานได้มากมาย
สำหรับงานให้เลือกเครื่องมือที่ตรงตามความต้องการ เช่น
เป็นการผสมผสานวิธีการข้างต้นเข้าด้วยกัน นี่เป็นวิธีทดสอบการเจาะที่เหมาะสมที่สุด เนื่องจากสามารถรวมข้อดีของทั้งสองวิธีเข้าด้วยกัน และทำให้รวดเร็วและมีรายละเอียดมากที่สุด
ประเภทของการทดสอบการเจาะ
การแบ่งส่วนจะขึ้นอยู่กับเครื่องมือที่ใช้และการตรวจสอบวัตถุ:
การจำแนกประเภทของวิธีการติดตามยังคำนึงถึงประเภทของแนวทางในการดำเนินการด้วย อะไรช่วยให้คุณเน้นได้:
ขีดจำกัดการทดสอบการเจาะ
มีข้อจำกัดมากมายเกี่ยวกับช่วงของอิทธิพลดังกล่าว แต่ข้อจำกัดหลักๆ ได้แก่:
บทสรุป
แฮกเกอร์ยุคใหม่พร้อมชุดโปรแกรมและการอัปเดตอย่างต่อเนื่อง เครื่องมือที่มีประสิทธิภาพเพื่อทำการโจมตีอย่างมีประสิทธิภาพ ดังนั้นพวกเขาจึงมักจะเข้าสู่ระบบที่สนใจโดยมีจุดประสงค์โดยตรงที่จะประนีประนอมเครือข่ายหรือใช้ประโยชน์จากทรัพยากรของมัน การตรวจสอบการบุกรุกในกรณีนี้จะมีประสิทธิภาพสูงสุดในฐานะเครื่องมือในการตรวจจับช่องโหว่ในระบบรักษาความปลอดภัย และช่วยให้คุณสามารถลดโอกาสที่จะเกิดภัยคุกคามภายนอกต่อซอฟต์แวร์โดยรวมได้
ในช่วงสองสามปีที่ผ่านมามีเหตุการณ์มากมายที่เพิ่มความสนใจของสาธารณชนในหัวข้อการโจมตีของแฮ็กเกอร์อย่างมาก เรื่องอื้อฉาวที่เกี่ยวข้องกับการแฮ็กระบบของพรรคประชาธิปัตย์สหรัฐ, การปิดการใช้งานระบบโครงสร้างพื้นฐานด้านพลังงานของกระทรวงการคลังและกระทรวงการคลังของยูเครน, ไวรัสแรนซัมแวร์ที่ไม่เพียงเข้ารหัสไฟล์เท่านั้น แต่ยังบล็อกการทำงานของอุปกรณ์อุตสาหกรรมและการแพทย์ด้วย ,MIRAL บอตเน็ตยักษ์จาก อุปกรณ์ในครัวเรือนซึ่งทำให้ครึ่งหนึ่งของสหรัฐอเมริกาและไลบีเรียขาดการสื่อสาร ผู้โจมตีรุมทึ้งธนาคารราวกับหมาป่าแกะที่ไร้ทางสู้... แม้แต่ SWIFT ก็ยังถูกโจมตี! แฮกเกอร์จากคอภาพยนตร์ได้กลายเป็นส่วนหนึ่งของความเป็นจริงของผู้คนหลายพันล้านคน
เป็นเรื่องปกติที่ธุรกิจในปัจจุบันจะลงทุนทรัพยากรเพื่อการรักษาความปลอดภัยในทางปฏิบัติเป็นหลัก ซึ่งต่างจากการปฏิบัติตามข้อกำหนดด้านกฎระเบียบอย่างเป็นทางการโดยใช้วิธีการเพียงเล็กน้อย และเป็นเรื่องปกติสำหรับเขาที่ต้องการตรวจสอบว่าระบบรักษาความปลอดภัยที่สร้างขึ้นสามารถป้องกันฉลามออนไลน์ได้อย่างมีประสิทธิภาพเพียงใด
ครั้งนี้เราตัดสินใจที่จะมุ่งเน้นไปที่แง่มุมเชิงปฏิบัติของการรักษาความปลอดภัยข้อมูล (IS) ที่เกี่ยวข้องกับการโจมตีทางคอมพิวเตอร์และการป้องกันโดยตรงต่อการโจมตีเหล่านั้น สำหรับการแฮ็กที่ดำเนินการโดย "หมวกขาว" เช่น ผู้เชี่ยวชาญที่เลียนแบบการกระทำของผู้โจมตีอย่างถูกกฎหมายจะใช้คำว่า "การทดสอบการเจาะ" (เพนเทสต์) คำนี้ซ่อนการวิจัยด้านความปลอดภัยไว้หลายด้าน และแต่ละหัวข้อก็มีผู้เชี่ยวชาญเป็นของตัวเอง ในบทความนี้ เราจะมาทำความเข้าใจว่าเพนเทสต์คืออะไร เหตุใดจึงจำเป็น และเส้นแบ่งระหว่างการโจมตีของแฮ็กเกอร์และการทดสอบการเจาะระบบอยู่ตรงไหน
Pentest ถือเป็นการตรวจสอบความปลอดภัยของข้อมูลประเภทหนึ่ง และนี่คือความแตกต่างที่สำคัญจากการแฮ็กจริง แฮกเกอร์กำลังมองหาเส้นทางที่สั้นที่สุดในการควบคุมระบบของเหยื่อ หากพบหลุมที่เส้นรอบวง ผู้โจมตีจะมุ่งเน้นไปที่การรวบรวมและพัฒนาการโจมตีจากภายใน และเพนเทสเตอร์ที่ได้รับคำสั่งให้ทำการทดสอบเครือข่ายภายนอกจะต้องตรวจสอบโฮสต์แล้วโฮสต์เล่าอย่างละเอียดถี่ถ้วน แม้ว่าจะพบรูทั้งหมดแล้วก็ตาม หากโฮสต์เป็นประเภทเดียวกัน (เช่น เวิร์กสเตชันที่เหมือนกัน 1,000 เครื่อง) แน่นอนว่าผู้วิจัยสามารถสร้างตัวอย่างการควบคุมได้ แต่เป็นที่ยอมรับไม่ได้ที่จะข้ามระบบที่แตกต่างกันโดยพื้นฐาน นี่อาจเป็นวิธีที่ง่ายที่สุดสำหรับลูกค้าในการระบุเพนเทสต์คุณภาพต่ำ
Pentest ไม่ได้แทนที่การตรวจสอบความปลอดภัยของข้อมูลอย่างเต็มรูปแบบ โดดเด่นด้วยมุมมองที่แคบของระบบที่กำลังศึกษาอยู่ Pentest เกี่ยวข้องกับผลที่ตามมา ไม่ใช่สาเหตุของข้อบกพร่องด้านความปลอดภัยของข้อมูล ทำไมต้องดำเนินการเลย? เมื่ออุตสาหกรรมผลิตอุปกรณ์ทางทหารรูปแบบใหม่ วิศวกรจะคำนวณคุณสมบัติของชุดเกราะและคุณลักษณะของอาวุธอย่างรอบคอบ แต่ในระหว่างการยอมรับทางทหาร อุปกรณ์ดังกล่าวยังคงถูกขนออกไปที่สนามฝึก ยิงใส่ ระเบิด ฯลฯ การทดลองเป็นเกณฑ์ของความจริง Pentest ช่วยให้เราเข้าใจว่ากระบวนการรักษาความปลอดภัยข้อมูลของเราถูกสร้างขึ้นตามที่เราคิดหรือไม่ ระบบรักษาความปลอดภัยของเราเชื่อถือได้หรือไม่ การกำหนดค่าบนเซิร์ฟเวอร์นั้นถูกต้องหรือไม่ เราเข้าใจเส้นทางที่แฮ็กเกอร์ตัวจริงจะใช้หรือไม่ ดังนั้น เราจึงอาจรู้สึกว่าการทดสอบ Pentesting เป็นสิ่งจำเป็นสำหรับบริษัทที่ลงทุนมหาศาลในด้านความปลอดภัยของข้อมูลแล้ว ในทางทฤษฎีสิ่งนี้เป็นจริง แต่ในทางปฏิบัติมักจะแตกต่างออกไปมาก
ฉันคิดสูตร Pentest ขึ้นมาดังนี้:
การวิจัยเป็นส่วนที่ชัดเจนที่สุดของเพนเทสต์ เช่นเดียวกับในภาพยนตร์: คนแปลกหน้าสวมเสื้อฮู้ดทำลายระบบป้องกันไอทีในเวลากลางคืน ในความเป็นจริงทุกอย่างมักจะค่อนข้างธรรมดากว่า แต่ ภาพนี้อนุญาตให้ผู้ทดสอบไม่ปฏิบัติตามระเบียบการแต่งกายของบริษัท
โดยปกติแล้วการรายงานไม่ใช่ส่วนโปรดของผู้ทดสอบการเจาะระบบ แต่มีความสำคัญอย่างยิ่ง ลูกค้าของงานจะต้องได้รับคำอธิบายโดยละเอียดเกี่ยวกับความพยายามในการเจาะที่ประสบความสำเร็จและไม่สำเร็จทั้งหมด คำอธิบายที่ชัดเจนเกี่ยวกับช่องโหว่ และที่สำคัญมากคือคำแนะนำในการกำจัดช่องโหว่เหล่านั้น ในส่วนสุดท้าย มีเหตุผลที่จะต้องให้ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลเฉพาะทางเข้ามามีส่วนร่วม เนื่องจากการรู้วิธีทำลายข้อมูลไม่ได้หมายความว่าจะต้องรู้วิธีแก้ไขอย่างถูกต้องและปลอดภัยในความเป็นจริงของโครงสร้างพื้นฐานด้านไอทีขององค์กรเลย
และองค์ประกอบสุดท้ายที่มักจะจัด Pentest ทั้งหมดก็คือการแสดง การตรวจสอบดังกล่าวถือเป็นลำดับความสำคัญที่เหนือกว่าการตรวจสอบอื่นๆ ในแง่ของความชัดเจน โดยเฉพาะสำหรับผู้ที่ไม่ใช่มืออาชีพ นี้ วิธีที่ดีที่สุดแสดงให้เห็นถึงข้อบกพร่องด้านความปลอดภัยของข้อมูลแก่ฝ่ายบริหารของ บริษัท ในรูปแบบที่ผู้ที่ไม่ใช่ผู้เชี่ยวชาญสามารถเข้าถึงได้ บทสรุปผู้บริหารโดยย่อ (สองสามหน้า) พร้อมสแกนหนังสือเดินทางของ CEO หน้าชื่อเรื่องรายงานที่เป็นความลับและฐานลูกค้าสามารถก่อให้เกิดประโยชน์ต่อความปลอดภัยของข้อมูลของบริษัทได้มากกว่ารายงานความยาว 200 หน้าทั้งหมดที่ตามมา นี่คือเหตุผลว่าทำไมบริษัทที่ไม่เคยเกี่ยวข้องกับความปลอดภัยของข้อมูลมาก่อนจึงมักสั่งเพนเทสต์ และธุรกิจและมักจะเป็นฝ่ายไอทีไม่เข้าใจถึงความร้ายแรงของความเสี่ยงที่มีอยู่
พารามิเตอร์การทดสอบ
Pentest สามารถจำแนกได้มากที่สุด วิธีทางที่แตกต่าง. เราจะเน้นเฉพาะสิ่งที่มีคุณค่าในทางปฏิบัติเท่านั้นเมื่อกำหนดค่าเพนเทสต์สำหรับตัวคุณเอง
เป้าหมายของการโจมตีที่ลูกค้ากำหนดอาจแตกต่างกันอย่างมากในแต่ละเพนเทสต์ “เพียงแค่แฮ็กเรา” มักจะหมายถึงการยึดการควบคุมโครงสร้างพื้นฐานด้านไอที (สิทธิ์ของผู้ดูแลระบบโดเมน อุปกรณ์เครือข่าย) การประนีประนอมของระบบธุรกิจและข้อมูลที่เป็นความลับ และมีเพนเทสต์ที่กำหนดเป้าหมายอย่างหวุดหวิด ตัวอย่างเช่น ส่วนหนึ่งของการรับรองข้อกำหนดด้านความปลอดภัยของข้อมูลการ์ด PCI DSS วัตถุประสงค์ของ Pentest ประจำปีคือ เพื่อลดทอนข้อมูลของการ์ด ที่นี่ในวันแรกของการทำงาน เครือข่ายของธนาคารอาจถูกยึดอย่างสมบูรณ์ แต่หากป้อมปราการสุดท้ายที่มีข้อมูลลับไม่ตก องค์กรก็จะผ่านการทดสอบได้สำเร็จ
แบบจำลองความรู้เกี่ยวกับระบบจะกำหนดตำแหน่งเริ่มต้นของเครื่องทดสอบการเจาะ จาก ข้อมูลที่สมบูรณ์เกี่ยวกับระบบ ( กล่องสีขาว) จนขาดหมด (กล่องดำ) บ่อยครั้งที่มีตัวเลือกตรงกลาง (กล่องสีเทา) เช่น เพนเทสเตอร์เลียนแบบการกระทำของผู้ใช้ที่ไม่มีสิทธิ์ซึ่งมีข้อมูลบางอย่างเกี่ยวกับระบบ ซึ่งอาจเป็นเสมียนธรรมดา บริษัทหุ้นส่วน ลูกค้าที่สามารถเข้าถึงได้ พื้นที่ส่วนบุคคลและอื่น ๆ กล่องสีขาวเป็นของการตรวจสอบมากกว่าแบบเพนเทสต์แบบคลาสสิก ใช้เมื่อต้องการศึกษาความปลอดภัยในพื้นที่แคบโดยละเอียด ตัวอย่างเช่น กำลังทดสอบพอร์ทัลลูกค้าใหม่ ผู้วิจัยจะได้รับข้อมูลทั้งหมดเกี่ยวกับระบบ ซึ่งมักจะเป็นซอร์สโค้ด ซึ่งจะช่วยศึกษาระบบอย่างละเอียด แต่แทบจะไม่จำลองการโจมตีจริงเลย ลูกค้าที่อยู่ในช่วงทดสอบ Black Box ต้องการรับการจำลองการโจมตีโดยแฮ็กเกอร์ที่ไม่มีข้อมูลวงในเกี่ยวกับระบบ
โมเดลความรู้มีความคาบเกี่ยวอย่างมากกับแนวคิดของโมเดลผู้บุกรุก ใครกำลังโจมตีเรา: แฮกเกอร์ภายนอก, คนวงใน, ผู้ดูแลระบบ? การแบ่งส่วนนี้เป็นไปตามอำเภอใจมาก ประนีประนอม เวิร์กสเตชันจากมุมมองทางเทคนิค ผู้ใช้ทั่วไปหรือผู้รับเหมาจะเปลี่ยนแฮ็กเกอร์ภายนอกให้กลายเป็นผู้บุกรุกภายในทันที
ระดับการรับรู้ของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลจะกำหนดว่าใครจะรู้เกี่ยวกับงานที่กำลังดำเนินการและในรายละเอียดใดบ้าง บ่อยครั้ง นอกเหนือจากอุปกรณ์แล้ว บุคลากรยังถูกทดสอบด้วย ดังนั้นงานจึงได้รับการประสานงานโดยฝ่ายรักษาความปลอดภัยข้อมูลหรือผู้อำนวยการฝ่ายไอที และผู้ดูแลระบบเชื่อว่าพวกเขากำลังต่อสู้กับแฮกเกอร์ตัวจริง หากแน่นอน พวกเขาสังเกตเห็นการโจมตีด้วยซ้ำ แบบฝึกหัดทางไซเบอร์ดังกล่าวทำให้สามารถประเมินได้ไม่เพียงแต่การมีอยู่ของช่องโหว่ในระบบเท่านั้น แต่ยังรวมถึงความสมบูรณ์ของกระบวนการรักษาความปลอดภัยข้อมูล ระดับของการโต้ตอบระหว่างแผนกต่างๆ เป็นต้น สิ่งที่ตรงกันข้ามคือการเลียนแบบการกระทำของผู้โจมตีเพื่อฝึกระบบการป้องกัน ในกรณีนี้ เพนเทสเตอร์ทำงานในพื้นที่ขนาดเล็ก และผู้ดูแลระบบจะบันทึกปฏิกิริยาของเครื่องมือรักษาความปลอดภัยและระบบไอที ปรับการตั้งค่า เตรียมกฎสำหรับ SIEM ฯลฯ ตัวอย่างเช่น สถานการณ์จะถูกจำลองเมื่อแฮ็กเกอร์ได้เจาะกลุ่มปิดไปแล้ว เขาจะเพิ่มสิทธิพิเศษของเขาในระบบได้อย่างไร? Pentester ทำงานทีละตัวกับเวกเตอร์การโจมตีทั้งหมดที่เขารู้จัก เพื่อให้มั่นใจว่าระบบรักษาความปลอดภัยจะได้รับการฝึกอบรมที่สมบูรณ์แบบที่สุด
ประเภทของการโจมตี
มีประเภทการโจมตีหลายประเภทพอๆ กับเพนเทสเตอร์ ด้านล่างนี้ฉันจะแบ่งประเภทของการโจมตีพื้นฐานที่เราใช้ แน่นอนว่าเพนเทสต์ที่สมบูรณ์ที่สุดคือการโจมตีในทุกทิศทางที่เป็นไปได้ แต่ข้อจำกัดด้านงบประมาณ เวลา ขอบเขต และงานที่อยู่ระหว่างการทดสอบบังคับให้คุณเลือก
Pentest โครงสร้างพื้นฐานภายนอก - การวิเคราะห์ขอบเขตเครือข่ายจากอินเทอร์เน็ต Pentester พยายามประนีประนอมบริการเครือข่ายที่มีอยู่ และหากเป็นไปได้ ก็อาจพัฒนาการโจมตีภายในเครือข่าย หลายคนเชื่อว่านี่เป็นการเลียนแบบการโจมตีจริงที่มุ่งเจาะเครือข่ายของบริษัทจากภายนอก ในความเป็นจริง ผู้โจมตีในปัจจุบันสามารถเอาชนะขอบเขตเครือข่ายได้ใน 80–90% ของกรณีทั้งหมดโดยใช้วิธีวิศวกรรมสังคม ไม่จำเป็นต้องเจาะเข้าไปในกำแพงป้อมปราการหากมีอุโมงค์มหัศจรรย์อยู่ข้างใต้ อย่างไรก็ตาม ก็มักจะมีรูอยู่ที่นี่เช่นกัน ตัวอย่างเช่น เมื่อเร็ว ๆ นี้เราได้ดำเนินงานให้กับโรงงานเครื่องบินขนาดใหญ่ ซึ่งในระหว่างนั้นแม้จะอยู่ในขั้นตอนการวิเคราะห์อัตโนมัติ เครื่องสแกนก็สามารถเดารหัสผ่านของระบบได้ รีโมทเอพีซีเอส. ความประมาทเลินเล่อของผู้รับเหมาที่ลืมปิดการเข้าถึงระยะไกลทำให้แฮกเกอร์สามารถเพิ่มแรงกดดันในท่อส่งของเหลวทางเทคนิคตามลำดับความสำคัญ ทั้งหมดนี้มีความหมายตามตัวอักษรและเป็นรูปเป็นร่าง
Pentest ก็เหมือนกับการตรวจสุขภาพโดยทันตแพทย์ ควรทำอย่างสม่ำเสมอเพื่อป้องกันปัญหาในระยะแรกๆ จะดีกว่า
เงาไอที
การรุกล้ำมักเกิดขึ้นโดยใช้ระบบที่อยู่นอกเรดาร์ของไอที เซิร์ฟเวอร์ทั้งหมดในบริเวณรอบนอกได้รับการอัปเดตแล้ว แต่พวกเขาลืมเกี่ยวกับระบบโทรศัพท์ IP หรือระบบกล้องวงจรปิดไปแล้ว และแฮกเกอร์ก็อยู่ข้างในแล้ว สำหรับโครงสร้างพื้นฐานดังกล่าวที่ไม่อยู่ในสายตาของผู้ดูแลระบบ มีคำศัพท์พิเศษ - Shadow IT Gartner ประมาณการว่าภายในปี 2020 การแฮ็กมากถึงหนึ่งในสามจะเกี่ยวข้องกับ Shadow IT ในความเห็นของเรา นี่เป็นการประมาณการที่สมจริงอย่างยิ่ง
ตัวอย่างเช่น วันหนึ่ง Pentester ของเราพบระบบคอลเซ็นเตอร์ที่ไม่ได้รับการอัปเดตในบริเวณที่มีการป้องกันอย่างสมบูรณ์แบบของธนาคาร ซึ่งทำให้ระบบ AS ของธนาคารหลักทั้งหมดถูกบุกรุกอย่างสมบูรณ์ภายใน 2 วัน ปรากฎว่าไม่ใช่แผนกไอทีที่รับผิดชอบพวกเขา แต่เป็นผู้ดำเนินการโทรศัพท์ ในอีกกรณีหนึ่ง จุดเริ่มต้นสำหรับการเพนเทสต์คือเครือข่ายพนักงานต้อนรับ ซึ่งแยกออกจากเครือข่ายโดยสิ้นเชิง ลองนึกภาพความประหลาดใจของลูกค้าเมื่อสองสามวันต่อมา Pentester รายงานว่าเครือข่ายถูกยึดอย่างสมบูรณ์ เขาจัดการแฮ็กเครื่องพิมพ์ที่ไม่ได้รับการอัปเดต อัปโหลดเชลล์เข้าไปและเข้าถึง VLAN การจัดการเครื่องพิมพ์ หลังจากประนีประนอมพวกเขาทั้งหมดแล้ว Pentester ก็สามารถเข้าถึงส่วนสำนักงานทั้งหมดของบริษัทได้
Pentest โครงสร้างพื้นฐานภายในจำลองการกระทำของคนในหรือโหนดที่ติดไวรัสภายในเครือข่าย เครือข่ายจะต้องถูกสร้างขึ้นในลักษณะที่การประนีประนอมของเวิร์กสเตชันหรือเซิร์ฟเวอร์แต่ละเครื่องไม่นำไปสู่การพังทลายของการป้องกันโดยสมบูรณ์ ในความเป็นจริง มากกว่าครึ่งหนึ่งของกรณีในทางปฏิบัติของเรา ไม่เกินหนึ่งวันทำการที่ผ่านจากสิทธิ์ "การเข้าถึงเครือข่าย" ไปยัง "ผู้ดูแลระบบโดเมน"
เครือข่ายของบริษัทอาจมีขนาดใหญ่มาก ดังนั้นในบางกรณี ลูกค้าควรกำหนดเป้าหมายการโจมตีสำหรับเพนเทสเตอร์อย่างชัดเจน ตัวอย่างเช่น การเข้าถึง SAP และเอกสารทางการเงินที่ระบุว่า "เป็นความลับ" สิ่งนี้จะช่วยให้ Pentester ใช้เวลาได้อย่างมีประสิทธิภาพมากขึ้นและจำลองการโจมตีของแฮ็กเกอร์แบบกำหนดเองได้จริง
ทรัพยากรบนเว็บเป็นตัวแทนของโลกที่แยกจากมุมมองของการบุกรุก ด้วยเทคโนโลยีที่แตกต่างกันมากมายและการโจมตีเฉพาะ เป็นที่ชัดเจนว่าเว็บสามารถเข้าใจได้ว่าเป็นสิ่งใดก็ตามที่สามารถเข้าถึงเครือข่ายได้ ในที่นี้เราหมายถึงเว็บไซต์ พอร์ทัล และ API เฉพาะต่างๆ ที่เข้าถึงได้จากเครือข่าย การปฏิบัติแสดงให้เห็นว่าโดยเฉลี่ยแล้ว สำหรับบริษัท การวิเคราะห์ขอบเขตเครือข่ายทั้งหมดจะใช้เวลาน้อยกว่าเว็บไซต์เดียว โดยเฉพาะอย่างยิ่งหากมีองค์ประกอบเชิงโต้ตอบ บัญชีส่วนบุคคล ฯลฯ พื้นที่นี้กำลังประสบกับความเจริญอย่างแท้จริง โดยมีสาเหตุหลักมาจากการพัฒนาธุรกิจอิเล็กทรอนิกส์โดยธนาคารและการเข้าสู่ร้านค้าปลีกจำนวนมากบนอินเทอร์เน็ต
ผลลัพธ์หลักของการโจมตีทรัพยากรบนเว็บมักจะเป็นการประนีประนอมข้อมูลจาก DBMS และความเป็นไปได้ของการโจมตีไคลเอนต์ (เช่น พบ XSS ประเภทต่างๆ บนเว็บไซต์ของธนาคารทุก ๆ วินาที) บ่อยครั้งการประนีประนอมเว็บเซิร์ฟเวอร์ทำให้คุณสามารถเจาะเครือข่ายของบริษัทได้ แต่บ่อยครั้งหากข้อมูลที่คุณกำลังมองหาถูกบุกรุกอยู่แล้ว ผู้โจมตีอาจไม่จำเป็น
เมื่อวิเคราะห์เว็บ สิ่งสำคัญคือต้องตรวจสอบไม่เพียงแต่ส่วนทางเทคนิคเท่านั้น แต่ยังรวมถึงตรรกะของการดำเนินงานและการใช้งานฟังก์ชั่นทางธุรกิจด้วย บางครั้งคุณยังสามารถได้รับส่วนลด 99% ในร้านค้าออนไลน์หรือใช้ของผู้อื่น คะแนนโบนัสโดยปรับเปลี่ยนบรรทัดคำขอไปยังเซิร์ฟเวอร์ในแถบที่อยู่เล็กน้อย
การโจมตีบนเว็บสามารถดำเนินการภายในเครือข่ายได้ เนื่องจากมีความปลอดภัย ทรัพยากรภายในมักจะไม่คิด แต่ในความเป็นจริงแฮกเกอร์ส่วนใหญ่โจมตีโครงสร้างพื้นฐานก่อน เนื่องจากนี่เป็นเส้นทางที่สั้นที่สุดไปยังผู้ดูแลระบบโดเมน พวกเขาเข้าเว็บเมื่อไม่มีอะไรทำงานหรือเมื่อจำเป็นต้องเข้าสู่กลุ่มเครือข่ายที่แยกออกจากกัน
ความสนใจที่เพิ่มขึ้นในการทดสอบความต้านทาน DDoS นั้นเห็นได้ชัดเจนเป็นพิเศษในช่วงสองสามปีที่ผ่านมา ข้อมูลเกี่ยวกับการโจมตีครั้งใหญ่ปรากฏในสื่ออยู่ตลอดเวลา แต่เรื่องนี้ไม่ได้จำกัดอยู่แค่เพียงเท่านั้น ในส่วนของการค้าปลีกออนไลน์ ในช่วงที่มียอดขายสูงสุด (ก่อนวันหยุด) การโจมตีจะเกิดขึ้นเกือบต่อเนื่อง จะทำอย่างไรกับการโจมตีแบบดั้งเดิมที่มุ่งเป้าไปที่ช่องทางการสื่อสารหรือทรัพยากรเซิร์ฟเวอร์โดยการส่งปริมาณข้อมูลจำนวนมากโดยทั่วไปนั้นชัดเจน การศึกษาความต้านทานของทรัพยากรต่อการโจมตีระดับแอปพลิเคชันเป็นเรื่องที่น่าสนใจมากกว่า แม้แต่ไคลเอนต์รายเดียวที่สร้างคำขอเฉพาะไปยังเว็บไซต์จำนวนค่อนข้างน้อยก็สามารถขัดข้องได้ ตัวอย่างเช่น ข้อความค้นหาเฉพาะในช่องค้นหาไซต์สามารถทำลายส่วนหลังได้อย่างสมบูรณ์
วิศวกรรมสังคม เช่น การใช้ความตั้งใจของมนุษย์ ความประมาท หรือการขาดการฝึกอบรมในการแฮ็ก กลายเป็นวิธีที่นิยมที่สุดในการเจาะเครือข่ายของบริษัทในปัจจุบัน
นอกจากนี้ยังมีความเห็นว่าไม่มีประโยชน์สำหรับเศษนี้ คำนี้รวมเอาเทคนิคจำนวนมาก รวมถึงการส่งข้อความหลอกลวงทางไปรษณีย์ โทรศัพท์ และการสื่อสารส่วนตัวเพื่อเข้าถึงสถานที่หรือระบบ การกระจายแฟลชไดรฟ์พร้อมไฟล์แนบที่เป็นอันตรายใกล้สำนักงานของบริษัทเหยื่อ และอื่นๆ อีกมากมาย
การโจมตี Wi-Fi มีสาเหตุมาจากการเจาะระบบภายในอย่างผิดพลาด หากสมาร์ทโฟนของคุณไม่รับสัญญาณ Wi-Fi ของบริษัทนอกทางเข้า ก็ไม่ได้รับประกันว่าผู้โจมตีจะไม่สามารถเข้าถึงได้ เสาอากาศแบบกำหนดทิศทางจากอีเบย์ซึ่งมีราคา 100 ดอลลาร์ช่วยให้เราทำงานจากระยะไกลกว่าหนึ่งกิโลเมตรจากจุดเข้าใช้งานได้ ในการกักขัง Wi-Fi ไม่ถือเป็นจุดเจาะเข้าไปในเครือข่ายเสมอไป มักใช้เพื่อโจมตีผู้ใช้บ่อยขึ้น ตัวอย่างเช่น เพนเทสเตอร์จะจอดที่ทางเข้าขององค์กรก่อนเริ่มวันทำงานและปรับใช้เครือข่ายที่มีชื่อเดียวกัน (SSID) เป็น Wi-Fi ขององค์กร อุปกรณ์ในกระเป๋าและกระเป๋าของพนักงานพยายามเข้าร่วมเครือข่ายที่คุ้นเคย และส่ง... การเข้าสู่ระบบโดเมนและรหัสผ่านสำหรับการตรวจสอบสิทธิ์ Pentester จะใช้การรั่วไหลเหล่านี้เพื่อเข้าถึงอีเมลของผู้ใช้ เซิร์ฟเวอร์ VPN ฯลฯ
การวิเคราะห์แอปพลิเคชันมือถือนั้นง่ายขึ้นสำหรับผู้โจมตีโดยสามารถดาวน์โหลดได้อย่างง่ายดายจากร้านค้าและตรวจสอบรายละเอียดในแซนด์บ็อกซ์และกู้คืนซอร์สโค้ด สำหรับแหล่งข้อมูลบนเว็บทั่วไปใคร ๆ ก็สามารถฝันถึงความหรูหราเช่นนี้ได้ นี่คือสาเหตุที่เวกเตอร์การโจมตีนี้ได้รับความนิยมมากในปัจจุบัน ลูกค้ามือถือปัจจุบันนี้พบเห็นได้ทั่วไปไม่เฉพาะในธนาคารและการค้าปลีกเท่านั้น พวกมันถูกปล่อยไปทั่วสถานที่ และความปลอดภัยคือสิ่งสุดท้ายที่พวกเขานึกถึง
ตามอัตภาพ การศึกษาแอปพลิเคชันบนมือถือสามารถแบ่งออกเป็น 3 องค์ประกอบ ได้แก่ การวิเคราะห์ซอร์สโค้ดที่กู้คืนสำหรับช่องโหว่ด้านความปลอดภัย การศึกษาแอปพลิเคชันใน Sandbox และการวิเคราะห์วิธีการโต้ตอบระหว่างแอปพลิเคชันและเซิร์ฟเวอร์ (เนื้อหาแพ็คเกจ, API , ช่องโหว่ของเซิร์ฟเวอร์เอง) เมื่อเร็ว ๆ นี้ เรามีกรณีที่ API ฝั่งเซิร์ฟเวอร์ของแอปพลิเคชันธนาคารบนมือถือทำงานในลักษณะที่สามารถสร้างแพ็กเก็ตที่ทำให้เกิดการโอนเงินจำนวนหนึ่งจากบัญชีธนาคารใด ๆ ไปยังบัญชีอื่น ๆ ได้ และนี่ไม่ใช่การวิจัยก่อนการเปิดตัวแอปพลิเคชัน - มีการใช้งานจริงมาเป็นเวลานาน แผนการฉ้อโกงจำนวนมากในปัจจุบันยังถูกนำมาใช้โดยใช้แอปพลิเคชันมือถือ เนื่องจากการต่อสู้กับการฉ้อโกงถูกลืมบ่อยกว่าความปลอดภัยของข้อมูล
การพิจารณาวิเคราะห์ซอร์สโค้ดในฐานะเพนเทสต์นั้นไม่ถูกต้องทั้งหมด โดยเฉพาะอย่างยิ่งหากลูกค้าส่งซอร์สโค้ดเพื่อการวิจัยในรูปแบบเปิด นี่เป็นการตรวจสอบความปลอดภัยของแอปพลิเคชันกล่องขาวมากกว่า อย่างไรก็ตาม งานนี้มักจะดำเนินการร่วมกับ Pentesting เพื่อให้แน่ใจว่าการตรวจจับช่องโหว่ในระดับที่สูงขึ้น ดังนั้นจึงคุ้มค่าที่จะกล่าวถึงที่นี่ Pentest ช่วยให้คุณสามารถยืนยันหรือลบล้างข้อบกพร่องที่พบในระหว่างการวิเคราะห์โค้ด (ท้ายที่สุดแล้ว ในโครงสร้างพื้นฐานเฉพาะ ไม่ใช่ปัญหาด้านความปลอดภัยทั้งหมดที่สามารถนำไปใช้ได้จริง) สิ่งนี้จะช่วยลดจำนวนผลบวกลวงที่เกิดจากการวิเคราะห์โค้ดโรคระบาดได้อย่างมาก โดยเฉพาะผลบวกแบบอัตโนมัติ ในเวลาเดียวกัน จากการวิเคราะห์โค้ด มักพบรูที่ Pentester ไม่สามารถคาดเดาได้
จากประสบการณ์ของเรา การวิเคราะห์โค้ดของแอปพลิเคชันบนมือถือและบริการบนเว็บมักได้รับคำสั่งบ่อยที่สุด เนื่องจากเป็นแอปพลิเคชันที่เสี่ยงต่อการถูกโจมตีมากที่สุด
Pentest ก็เหมือนกับการตรวจสุขภาพโดยทันตแพทย์ ควรทำอย่างสม่ำเสมอเพื่อป้องกันปัญหาในระยะแรกๆ จะดีกว่า
ข้อจำกัดของ Pentest
ข้อจำกัดหลักที่แยกแยะเพนเทสต์จากการโจมตีจริง ซึ่งทำให้ยากสำหรับหมวกขาว คือประมวลกฎหมายอาญาและจริยธรรม ตัวอย่างเช่น Pentester ส่วนใหญ่มักจะไม่สามารถโจมตีระบบของคู่ค้าของลูกค้า คอมพิวเตอร์ที่บ้านของพนักงาน หรือโครงสร้างพื้นฐานของผู้ให้บริการโทรคมนาคม เขาไม่ได้ใช้การข่มขู่ การคุกคาม การแบล็กเมล์ การติดสินบน และวิธีการอื่น ๆ ที่มีประสิทธิภาพมากของอาชญากรในวิศวกรรมสังคม สิ่งที่น่าเชื่อยิ่งกว่านั้นคือผลลัพธ์ของการเจาะทะลุที่ประสบความสำเร็จภายในกรอบของเพนเทสต์ที่ "บริสุทธิ์" หากเพนเทอร์ของคุณฝ่าฝืนกฎหมายซึ่งเป็นส่วนหนึ่งของงานของเขา ลองคิดสิบครั้งว่าคุณควรอนุญาตให้บุคคลดังกล่าวอยู่ใกล้ระบบกุญแจของคุณหรือไม่
ในที่สุด
Pentest เช่นเดียวกับการตรวจสุขภาพ ได้รับการแนะนำตามมาตรฐานส่วนใหญ่ให้ดำเนินการอย่างน้อยปีละครั้ง ในเวลาเดียวกัน เป็นความคิดที่ดีที่จะเปลี่ยนผู้เชี่ยวชาญที่ปฏิบัติงานเป็นระยะๆ เพื่อหลีกเลี่ยงไม่ให้ภาพเบลอและประเมินความปลอดภัยจากมุมที่ต่างกัน ท้ายที่สุดแล้ว ผู้เชี่ยวชาญหรือทีมจะพัฒนาความเชี่ยวชาญเฉพาะทางในระดับหนึ่งหรืออย่างอื่น
การทดสอบ Pentest เป็นเวลา ค่าใช้จ่าย และความเครียดสำหรับผู้เชี่ยวชาญด้านความปลอดภัย แต่เป็นการยากที่จะหาวิธีประเมินความปลอดภัยของโครงสร้างพื้นฐานด้านไอทีที่เป็นภาพและสมจริงมากขึ้น ไม่ว่าในกรณีใด ผู้เชี่ยวชาญตามสัญญาจะหาช่องโหว่ได้ดีกว่าแฮ็กเกอร์ ท้ายที่สุดสิ่งแรกมักจะสิ้นสุดสำหรับบริการรักษาความปลอดภัยข้อมูลด้วยการจัดสรรเงินทุนเพิ่มเติมเพื่อความปลอดภัยและอย่างที่สอง - การค้นหางานใหม่
การทดสอบการเจาะข้อมูลเป็นวิธีการประเมินความปลอดภัยของโครงสร้างพื้นฐานด้านไอทีของบริษัทผ่านการสร้างแบบจำลองการโจมตีที่ได้รับอนุญาตโดยผู้บุกรุก
ค้นหาค่าใช้จ่ายในการทดสอบ
×
กรอกแบบฟอร์มข้อเสนอแนะ คุณจะได้รับแบบสอบถามเพื่อกำหนดต้นทุนการบริการ
การเก็บรักษาข้อมูลที่เป็นความลับและชื่อเสียงของบริษัทขึ้นอยู่กับความน่าเชื่อถือของโครงสร้างพื้นฐานด้านไอทีที่ได้รับการปกป้องจากผู้โจมตี ดังนั้นจึงเป็นเรื่องสำคัญมากที่จะต้องตรวจสอบความปลอดภัยในทางปฏิบัติ บ่อยครั้ง แม้แต่ชุดเครื่องมือรักษาความปลอดภัยที่เหมาะสมที่สุดก็อาจมีการตั้งค่าที่ไม่ถูกต้อง ซึ่งนำไปสู่ช่องโหว่และเพิ่มโอกาสที่ภัยคุกคามจะถูกนำไปใช้
งานทดสอบการเจาะมีวัตถุประสงค์เพื่อ:
ได้รับการประเมินระดับความปลอดภัยในปัจจุบันอย่างครอบคลุมและเป็นอิสระ
ได้รับการประเมินความตระหนักรู้ของพนักงานเกี่ยวกับปัญหาด้านความปลอดภัยของข้อมูลโดยอิสระ
ในระหว่างการทำงาน จะมีการดำเนินการวิเคราะห์และทดสอบความปลอดภัยทั้งภายนอกและภายในโดยใช้วิธีวิศวกรรมสังคม
ปัญหาได้รับการแก้ไขเมื่อทำการวิเคราะห์ความปลอดภัย:
- การระบุช่องโหว่ด้านความปลอดภัยของข้อมูลและวิธีการแสวงหาผลประโยชน์
- ตรวจสอบความเป็นไปได้ของการเจาะจากเครือข่ายภายนอกเข้าสู่เครือข่ายคอมพิวเตอร์ในพื้นที่
- การพัฒนาคำแนะนำเพื่อปรับปรุงระดับความปลอดภัยโดยการกำจัดช่องโหว่ที่ระบุ
หากการกระทำ (เช่น การใช้ประโยชน์จากช่องโหว่บางอย่าง) อาจนำไปสู่ความล้มเหลวในการดำเนินงานของทรัพยากรที่กำลังศึกษาอยู่ งานดังกล่าวจะดำเนินการหลังจากได้รับอนุมัติเพิ่มเติมเท่านั้น หากจำเป็น ขึ้นอยู่กับสถานการณ์การทำงานที่เลือก หลังจากการทดสอบแล้ว งานจะดำเนินการเพื่อขจัดผลกระทบด้านลบต่อทรัพยากร
หากในระหว่างการวิเคราะห์ความปลอดภัย มีการตัดสินใจเกี่ยวกับความจำเป็นในการกำจัดช่องโหว่ที่ระบุโดยทันที ให้ดำเนินการต่อไปนี้:
- การบันทึกผลลัพธ์ของการแสวงหาผลประโยชน์จากช่องโหว่ (ในรูปแบบของภาพหน้าจอ การบันทึกการดำเนินการของผู้เชี่ยวชาญ บันทึกการทำงานของระบบ ฯลฯ)
- กำหนดความจำเป็นและตกลงแนวทางในการกำจัดจุดอ่อน
- ขจัดจุดอ่อน
ขั้นตอนของการทดสอบ
เมื่อดำเนินการวิเคราะห์ความปลอดภัย เครื่องสแกนช่องโหว่สากลจะถูกใช้เพื่อตรวจจับช่องโหว่ในแอปพลิเคชัน ระบบปฏิบัติการ และโครงสร้างพื้นฐานเครือข่าย รวมถึงซอฟต์แวร์เฉพาะทาง งานทดสอบการเจาะจะดำเนินการในสามขั้นตอนและรวมถึงขั้นตอนต่อไปนี้:
ขั้นที่ 1 – การวิเคราะห์ความปลอดภัยภายนอก:
- จัดทำแผนดำเนินการวิเคราะห์ความปลอดภัยภายนอกและตกลงกับคณะทำงาน
ขั้นตอนที่ 2 – การวิเคราะห์ความปลอดภัยภายใน:
งานนี้ดำเนินการที่ไซต์ของลูกค้า
- จัดทำแผนการวิเคราะห์ความปลอดภัยภายในและตกลงกับคณะทำงาน
- การวิเคราะห์ผล การจัดทำรายงาน และการอนุมัติของคณะทำงาน
ขั้นที่ 3 – การทดสอบโดยใช้วิธีวิศวกรรมสังคม:
งานนี้ดำเนินการจากระยะไกลโดยใช้เครือข่ายข้อมูลภายนอก (อินเทอร์เน็ต)
- จัดทำแผนการทดสอบโดยใช้วิธีวิศวกรรมสังคมและตกลงกับคณะทำงาน
- การวิเคราะห์ผล การจัดทำรายงาน และการอนุมัติของคณะทำงาน
ดำเนินการวิเคราะห์ความปลอดภัยภายนอก
วัตถุประสงค์ของการทำงานในขั้นตอนนี้คือเพื่อทดสอบความสามารถของผู้โจมตีในการเข้าถึงทรัพยากรและข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต
การวิเคราะห์ความปลอดภัยดำเนินการโดยใช้โมเดล "กล่องดำ" (ขาดการเข้าถึงที่ได้รับอนุญาต ข้อมูลการกำหนดค่าเริ่มต้น และมาตรการรักษาความปลอดภัยข้อมูลที่ใช้)
ในฐานะที่เป็นส่วนหนึ่งของการวิเคราะห์ความปลอดภัยภายนอก งานประเภทต่อไปนี้จะถูกดำเนินการ:
- การรวบรวมข้อมูลที่เปิดเผยต่อสาธารณะเกี่ยวกับทรัพยากรภายนอกที่สามารถเข้าถึงได้จากเครือข่ายข้อมูลภายนอก
- ค้นหาช่องโหว่ของทรัพยากรและส่วนประกอบโครงสร้างพื้นฐานโดยใช้เครื่องสแกนความปลอดภัยและซอฟต์แวร์พิเศษ
- การเขียนสคริปต์ข้ามไซต์
- การปลอมแปลงคำขอข้ามไซต์
- เปิดการเปลี่ยนเส้นทาง
- การจัดการข้อผิดพลาดที่ไม่ถูกต้องซึ่งให้ข้อมูลเพิ่มเติมเกี่ยวกับระบบที่กำลังทดสอบ
ดำเนินการวิเคราะห์ความปลอดภัยภายใน
วัตถุประสงค์ของการทำงานในขั้นตอนนี้คือเพื่อทดสอบความสามารถของผู้โจมตีในการดำเนินการเข้าถึงทรัพยากรและข้อมูลที่เป็นความลับโดยไม่ได้รับอนุญาต (ต่อไปนี้จะเรียกว่า ASD)
การวิเคราะห์ความปลอดภัยดำเนินการโดยใช้โมเดล "กล่องสีเทา" (ให้การเข้าถึงระบบที่ได้รับอนุญาต)
ในส่วนของการวิเคราะห์ความปลอดภัยภายใน จะมีการดำเนินการประเภทต่อไปนี้:
- การรวบรวมข้อมูลบนโครงสร้างพื้นฐาน (บริการเครือข่าย ระบบปฏิบัติการ และแอพพลิเคชั่นซอฟต์แวร์ของทรัพยากรภายนอก) การระบุช่องโหว่โดยใช้ซอฟต์แวร์พิเศษและ เครื่องสแกนสากลความปลอดภัย
- ค้นหาช่องโหว่ของทรัพยากรของลูกค้าและส่วนประกอบโครงสร้างพื้นฐานโดยใช้เครื่องสแกนความปลอดภัยและซอฟต์แวร์พิเศษ
- การใช้ประโยชน์จากช่องโหว่ที่ระบุโดยใช้ซอฟต์แวร์พิเศษและด้วยตนเองเพื่อตรวจสอบความเกี่ยวข้องของช่องโหว่ที่ระบุและความเป็นไปได้ในการรับเอกสารการออกแบบสำหรับส่วนประกอบผลิตภัณฑ์ซอฟต์แวร์และข้อมูลที่เป็นความลับ
ในกระบวนการค้นหาช่องโหว่ จะมีการตรวจสอบช่องโหว่ประเภทหลักๆ ต่อไปนี้ เหนือสิ่งอื่นใด:
- การฉีดชิ้นส่วนโค้ด (เช่น การฉีด คำสั่ง SQLการนำคำสั่งระบบปฏิบัติการไปใช้
- ใช้การรับรองความถูกต้องและขั้นตอนการจัดการเซสชันอย่างไม่ปลอดภัย
- การเขียนสคริปต์ข้ามไซต์
- ข้อผิดพลาดในการควบคุมการเข้าถึง (เช่น ลิงก์โดยตรงไปยังออบเจ็กต์ที่มีข้อมูลที่เป็นความลับ ช่องโหว่ในการเข้าถึงไดเรกทอรี)
- การกำหนดค่าซอฟต์แวร์ที่ไม่ปลอดภัย (เช่น การเปิดใช้งานรายการไดเร็กทอรี)
- การเปิดเผยข้อมูลที่เป็นความลับ (เช่น การให้ข้อมูลส่วนบุคคลของผู้ใช้รายอื่นแก่ผู้ใช้)
- ข้อผิดพลาดที่จำกัดการเข้าถึงฟังก์ชันบางอย่างของผู้ใช้
- การปลอมแปลงคำขอข้ามไซต์
- การจัดการข้อผิดพลาดที่ไม่ถูกต้องซึ่งให้ข้อมูลเพิ่มเติมเกี่ยวกับระบบที่กำลังทดสอบ
- การใช้ระบบปฏิบัติการและซอฟต์แวร์ที่มีช่องโหว่ที่ทราบ
- เปิดการเปลี่ยนเส้นทาง
- การประมวลผลเอนทิตี XML ภายนอก
- การจัดการข้อผิดพลาดที่ไม่ถูกต้องซึ่งให้ข้อมูลเพิ่มเติมเกี่ยวกับระบบที่กำลังทดสอบ
- การใช้งาน รหัสผ่านง่ายๆระหว่างการตรวจสอบสิทธิ์
ดำเนินการทดสอบโดยใช้วิธีวิศวกรรมสังคม
วัตถุประสงค์ของการทำงานในขั้นตอนนี้คือเพื่อประเมินความตระหนักของพนักงานลูกค้าในประเด็นด้านความปลอดภัยของข้อมูล
ส่วนหนึ่งของการทดสอบวิศวกรรมสังคม การโจมตีจะดำเนินการกับพนักงานของลูกค้าในสถานการณ์ต่อไปนี้:
- ฟิชชิ่ง - การโจมตีเกิดขึ้น อีเมล. ตัวอย่างการโจมตี: พนักงานได้รับลิงก์ในนามของบริษัทซึ่งมี “บริการใหม่และมีประโยชน์มาก” สำหรับงานของเขา จดหมายประกอบด้วยคำอธิบายของบริการและวิธีที่จะช่วยพนักงานคนใดคนหนึ่งในการทำงานของพวกเขา นอกจากนี้จดหมายยังขอให้คุณตรวจสอบฟังก์ชันการทำงานและว่าทุกอย่างทำงานถูกต้องหรือไม่ งานนี้มีวัตถุประสงค์เพื่อให้พนักงานไปที่บริการนี้และพยายามลงทะเบียนโดยใช้ข้อมูลรับรองโดเมน
- ม้าโทรจัน - การโจมตีดำเนินการทางอีเมล ตัวอย่างการโจมตี: พนักงานถูกส่งไป ไฟล์ปฏิบัติการในขณะที่เนื้อหาของจดหมายอาจแตกต่างกันขึ้นอยู่กับตำแหน่งของพนักงาน: สัญญาสำหรับผู้จัดการ, รายการข้อผิดพลาดสำหรับโปรแกรมเมอร์ ฯลฯ งานนี้มีวัตถุประสงค์เพื่อให้แน่ใจว่าพนักงานเปิดตัวโปรแกรมบน คอมพิวเตอร์ท้องถิ่นและเพื่อบันทึกข้อเท็จจริงของการเปิดตัวโปรแกรมดังกล่าว
- การโจมตีทางโทรศัพท์ - การโจมตีจะดำเนินการผ่าน สายเข้า. งานนี้มุ่งเป้าไปที่การได้รับความไว้วางใจจากพนักงานโดยสร้างเรื่องปกที่น่าเชื่อถือ จากนั้นจึงค้นหาข้อมูลที่เป็นความลับหรือข้อมูลประจำตัวของพนักงาน ตัวอย่างของคำอธิบาย: “พนักงานด้านเทคนิคคนใหม่ support ทำหน้าที่แรกในการปรับใช้บริการและจำเป็นต้องตรวจสอบว่าทำงานได้อย่างถูกต้องหรือไม่ ขอความช่วยเหลือจากพนักงาน: เข้าสู่ระบบโดยอิสระหรือบอกชื่อผู้ใช้และรหัสผ่านของคุณให้เขาทราบ”
การวิเคราะห์ผลลัพธ์
ผลลัพธ์ของงานเป็นรายงานที่มีข้อมูลดังต่อไปนี้
เครื่องมือพื้นฐานที่ใช้ในการตรวจสอบความปลอดภัยของระบบคือเครื่องมือสำหรับการรวบรวมข้อมูลระบบและการทดสอบการเจาะระบบโดยอัตโนมัติ เราเสนอให้พิจารณาหลักการทำงานของเครื่องมือดังกล่าวโดยใช้ตัวอย่างผลิตภัณฑ์ Rapid7 Metasploit จาก Rapid7 ซึ่งเป็นหนึ่งในผู้ผลิตชั้นนำด้านโซลูชันการวิเคราะห์สำหรับความปลอดภัยของข้อมูล ซึ่งได้รับการจัดอันดับอย่างสูงจากบริษัทวิจัยและที่ปรึกษาที่มีอิทธิพล รวมถึง Gartner และ Forrester
การแนะนำ
การทดสอบการเจาะระบบ (เพนเทสต์) เป็นหนึ่งในวิธีที่มีประสิทธิภาพที่สุดในการประเมินคุณภาพของระบบรักษาความปลอดภัย ดำเนินการโดยมีวัตถุประสงค์เพื่อระบุช่องโหว่ในโครงสร้างพื้นฐานด้านไอที แสดงให้เห็นถึงความเป็นไปได้ในการใช้ประโยชน์จากช่องโหว่และเตรียมคำแนะนำเพื่อกำจัดช่องโหว่เหล่านั้น ขั้นตอนการทดสอบดำเนินการตามความคิดริเริ่มของเจ้าของ ระบบข้อมูลและมีวัตถุประสงค์เพื่อป้องกันเหตุการณ์ด้านความปลอดภัยของข้อมูล ซึ่งมักมาพร้อมกับการสูญเสียทางการเงินและชื่อเสียง คำอธิบายที่ไม่พึงประสงค์กับลูกค้าและตัวแทนขององค์กรพันธมิตร ตลอดจนผลที่ไม่พึงประสงค์อื่น ๆ
ใน สหพันธรัฐรัสเซียปัจจัยสำคัญที่กำหนดความจำเป็นในการดำเนินการทดสอบการเจาะคือข้อกำหนดด้านกฎระเบียบ ฝ่ายหลังพิจารณาการตรวจสอบประสิทธิภาพของระบบการป้องกันเป็นมาตรการที่สำคัญอย่างยิ่ง และข้อกำหนดที่เกี่ยวข้องจะรวมอยู่ในเอกสารด้านกฎระเบียบและระเบียบวิธี ก่อนอื่นในเรื่องนี้ควรกล่าวถึงเอกสารกำกับดูแลที่ครอบคลุมระบบข้อมูลจำนวนมาก - คำสั่งของ FSTEC ของรัสเซียหมายเลข 17 และ 21
เอกสารเหล่านี้กำหนดมาตรการป้องกันในรูปแบบของ "การทดสอบระบบความปลอดภัยของข้อมูลโดยพยายามเข้าถึงระบบข้อมูลโดยไม่ได้รับอนุญาต (มีอิทธิพล) โดยเลี่ยงผ่านระบบความปลอดภัยของข้อมูล" ในขั้นตอนการรับรอง การรับรองระบบสารสนเทศที่เกี่ยวข้องกับการตรวจสอบประสิทธิภาพของระบบรักษาความปลอดภัยยังเป็นที่ต้องการของระบบข้อมูลที่ประมวลผลความลับของรัฐด้วย
ในระดับสากล ขอแนะนำให้สังเกตมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน PCI DSS (มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน) การปฏิบัติตามข้อกำหนดของมาตรฐาน PCI DSS เป็นสิ่งจำเป็นสำหรับทุกองค์กรที่เกี่ยวข้องกับการประมวลผลบัตรชำระเงิน Visa และ MasterCard: ร้านค้า ศูนย์ประมวลผล ผู้รับบัตร ผู้ออกและผู้ให้บริการ ตลอดจนองค์กรอื่น ๆ ทั้งหมดที่จัดเก็บ ดำเนินการ หรือส่งผู้ถือ การ์ดข้อมูลและข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน ข้อกำหนดของมาตรฐานกำหนดให้มีการวิเคราะห์ช่องโหว่และการทดสอบการเจาะระบบทั้งภายในและภายนอกเครือข่ายระบบสารสนเทศ การทดสอบการเจาะทั้งภายนอกและภายในควรดำเนินการอย่างน้อยปีละครั้ง และหลังจากการปรับเปลี่ยนหรืออัปเกรดโครงสร้างพื้นฐาน/แอปพลิเคชันที่สำคัญใดๆ
การทดสอบการเจาะระบบ (เพนเทสต์) สามารถทำได้โดยเป็นส่วนหนึ่งของการฝึกอบรมขั้นสูงสำหรับผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลและการได้รับทักษะการปฏิบัติโดยนักเรียนที่กำลังศึกษาในสาขาเฉพาะทางที่เกี่ยวข้องกับความปลอดภัยของข้อมูล รวมถึงการทดสอบโดยผู้พัฒนาเครื่องมือรักษาความปลอดภัยข้อมูลของผลิตภัณฑ์ของตนเอง
แน่นอนว่าสำหรับวัตถุประสงค์ทั้งหมดเหล่านี้ สิ่งที่เป็นที่ต้องการมากที่สุดคือโซลูชันการจัดการภัยคุกคามแบบผสานรวมที่ครอบคลุมความปลอดภัยของเครือข่าย ความปลอดภัยของแอปพลิเคชันบนเว็บ ความปลอดภัยของฐานข้อมูล และกลยุทธ์การทดสอบการเจาะระบบ และมีฟังก์ชันการทำงานเพียงพอที่จะปฏิบัติตามข้อกำหนดของกฎระเบียบในประเทศและระหว่างประเทศ และใช้ในกระบวนการเรียนรู้ โซลูชันดังกล่าว ได้แก่ Rapid7 Metasploit ที่ผลิตโดย Rapid7 ซึ่งก่อตั้งขึ้นในปี 2543 และเป็นหนึ่งในผู้ผลิตผลิตภัณฑ์ชั้นนำสำหรับการวิเคราะห์และจัดระเบียบระบบรักษาความปลอดภัยข้อมูลในสภาพแวดล้อมไอที ข้อได้เปรียบที่สำคัญ ซอฟต์แวร์ Rapid7 ช่วยให้มองเห็นสถานะการรักษาความปลอดภัยของสินทรัพย์และผู้ใช้ในทุกสภาพแวดล้อม รวมถึงระบบเสมือนและมือถือ ตลอดจนระบบคลาวด์สาธารณะและส่วนตัว
ในการประเมินโซลูชัน Rapid7 Metasploit คุณสามารถใช้โซลูชันจากผู้ผลิตรายเดียวกัน - เครื่องเสมือน Metasploitable ที่มีช่องโหว่สำหรับการสาธิตที่ติดตั้งไว้ อูบุนตู ลินุกซ์. เครื่องเสมือนเข้ากันได้กับ VMWare, VirtualBox และแพลตฟอร์มการจำลองเสมือนทั่วไปอื่น ๆ
ความช่วยเหลือที่สำคัญคือ Rapid7 Metasploit เข้ากันได้กับเครื่องสแกนช่องโหว่ Rapid7 Nexpose สามารถเริ่มการเปิดตัวได้ และใช้ผลลัพธ์ของอย่างหลังด้วย
มาดูขั้นตอนทั่วไปสำหรับการทำงานกับ Rapid7 Metasploit
วิธีทำงานกับ Rapid7 Metasploit
ใน ปริทัศน์การทำงานกับ Rapid7 Metasploit ประกอบด้วยขั้นตอนต่อไปนี้:
- การสร้างโครงการ โปรเจ็กต์ประกอบด้วยพื้นที่ทำงานที่ใช้ในการสร้างการทดสอบการเจาะและการกำหนดค่าของงานที่จะดำเนินการ การทดสอบการเจาะแต่ละครั้งจะดำเนินการจากโครงการของตัวเอง
- การรวบรวมข้อมูล ในขั้นตอนนี้ Rapid7 Metasploit จะรวบรวมข้อมูลเกี่ยวกับเครือข่ายเป้าหมาย: ติดตั้งแล้ว ระบบปฏิบัติการ, เปิดพอร์ต, รันโฮสต์และกระบวนการ เครื่องสแกนช่องโหว่ Rapid7 Nexpose ยังสามารถใช้ได้ในขั้นตอนนี้ ในระหว่างการสแกน ข้อมูลที่ได้รับทั้งหมดจะถูกบันทึกลงในโปรเจ็กต์โดยอัตโนมัติ
- การใช้ช่องโหว่ การโจมตีสามารถทำได้ด้วยตนเองหรือใช้ฐานข้อมูลการหาประโยชน์ ซึ่งใช้ข้อมูลเครือข่ายที่ได้รับในขั้นตอนที่ 2
- การดำเนินการกับระบบที่ถูกบุกรุก หลังจากเข้าถึงแล้ว จะมีการใช้เพย์โหลดการหาประโยชน์ โดยเริ่มเซสชันโต้ตอบเพื่อรวบรวมข้อมูลเพิ่มเติม และยังสามารถใช้โมดูลหลังการหาประโยชน์เพื่อรวบรวมรหัสผ่านที่จัดเก็บไว้ในระบบปฏิบัติการและแอปพลิเคชัน ภาพหน้าจอ รูปภาพจาก กล้องเว็บ บันทึกการกดแป้น สะสม ไฟล์การกำหนดค่า, การเปิดตัวแอพพลิเคชั่น เป็นต้น
การเปรียบเทียบรุ่น Rapid7 Metasploit
Rapid7 Metasploit มีให้เลือกหลายรุ่น โดยจะแตกต่างกันไปตามขอบเขตของฟังก์ชันที่มีให้และประเภทของใบอนุญาตในการใช้งาน รุ่นผลิตภัณฑ์ต่อไปนี้มีอยู่ในปัจจุบัน:
- กรอบ
- ชุมชน
- ด่วน
ตารางแสดงข้อมูลเกี่ยวกับฟังก์ชันเป้าหมายที่ใช้งานในผลิตภัณฑ์แต่ละรุ่น เพื่อความสะดวกในการใช้สีต่างๆ ฟังก์ชั่นเป้าหมายจะแบ่งออกเป็นกลุ่มตามวัตถุประสงค์หลัก:
- รวบรวมข้อมูลเกี่ยวกับคุณลักษณะส่วนประกอบและช่องโหว่ของเครือข่าย
- การทดสอบการเจาะ
- ดำเนินการฟิชชิ่ง
- การทดสอบแอปพลิเคชันเว็บ
- การสร้างรายงาน
- ควบคุม.
ตารางที่ 1. การเปรียบเทียบรุ่น Rapid7 Metasploit
ลักษณะเฉพาะ | มือโปร | ด่วน | ชุมชน |
การนำเข้าข้อมูลการสแกน (นำเข้าข้อมูลการสแกน) |
✔ | ✔ | ✔ |
การสแกนด้วยการตรวจจับ (สแกนการค้นพบ) |
✔ | ✔ | ✔ |
บูรณาการกับระบบการจัดการช่องโหว่ของ Nexpose (บูรณาการการสแกน Nexpose) |
✔ | ✔ | ✔ |
ส่งออกข้อมูล (การส่งออกข้อมูล) |
✔ | ✔ | ✔ |
เปิดตัวช่องโหว่ด้วยตนเอง (การแสวงหาผลประโยชน์ด้วยตนเอง) |
✔ | ✔ | ✔ |
เว็บอินเตอร์เฟส (เว็บอินเตอร์เฟส) |
✔ | ✔ | ✔ |
การจัดการเซสชัน (การจัดการเซสชั่น) |
✔ | ✔ | ✔ |
การจัดการข้อมูลรับรอง (การจัดการข้อมูลรับรอง) |
✔ | ✔ | ✔ |
ทะลุผ่านจุดแข็ง (เดือยพร็อกซี) |
✔ | ✔ | ✔ |
โมดูลที่ดำเนินการหลังจากการประนีประนอม (โมดูลหลังการแสวงหาผลประโยชน์) |
✔ | ✔ | ✔ |
การล้างเซสชัน (ทำความสะอาดเซสชั่น) |
✔ | ✔ | ✔ |
วิธีการคัดเลือก (กำลังดุร้าย) |
✔ | ✔ | |
การรวบรวมหลักฐาน (การรวบรวมหลักฐาน) |
✔ | ✔ | |
เข้าสู่ระบบการตรวจสอบ (รายงานการตรวจสอบ) |
✔ | ✔ | |
การรายงานกิจกรรม (รายงานกิจกรรม) |
✔ | ✔ | |
การรายงานโฮสต์ที่ถูกบุกรุกและมีช่องโหว่ (รายงานโฮสต์ที่ถูกบุกรุกและมีความเสี่ยง) |
✔ | ✔ | |
การรายงานข้อมูลรับรอง (รายงานข้อมูลรับรอง) |
✔ | ✔ | |
รายงานผลการดำเนินงานด้านการบริการ (รายงานการบริการ) |
✔ | ✔ | |
การใช้ข้อมูลรับรองซ้ำ (นำข้อมูลประจำตัวไปใช้ซ้ำ) |
✔ | ✔ | |
ความพยายามที่จะเลี่ยงผ่านโปรแกรมป้องกันไวรัส (การหลบเลี่ยงไวรัส) |
✔ | ✔ | |
พยายามเลี่ยงระบบตรวจจับและป้องกันการบุกรุก (การหลีกเลี่ยง IPS/IDS) |
✔ | ✔ | |
กำลังเริ่มเซสชันใหม่ (การเรียกใช้เซสชั่นใหม่) |
✔ | ✔ | |
กระบวนการทางเทคโนโลยีของการประนีประนอม (เวิร์กโฟลว์การแสวงหาผลประโยชน์) |
✔ | ✔ | |
การเล่นภารกิจ (เล่นซ้ำงาน) |
✔ | ✔ | |
การติดฉลากข้อมูล (ข้อมูลการแท็ก) |
✔ | ||
การรายงานการปฏิบัติตามข้อกำหนด PCI DSS (รายงาน PCI) |
✔ | ||
การรายงานการปฏิบัติตามข้อกำหนด FISMA (รายงาน FISMA) |
✔ | ||
"Master" สำหรับการทดสอบการเจาะที่รวดเร็ว (ตัวช่วยสร้าง PenTest ด่วน) |
✔ | ||
"ตัวช่วยสร้าง" สำหรับการตรวจสอบช่องโหว่ (ตัวช่วยสร้างการตรวจสอบช่องโหว่) |
✔ | ||
บูรณาการกับระบบสแกนคุณภาพรหัสโซนาร์ (การบูรณาการโครงการ Sonar) |
✔ | ||
"ปรมาจารย์" สำหรับฟิชชิ่ง (ตัวช่วยสร้างฟิชชิ่ง) |
✔ | ||
การวิเคราะห์ทางสังคมวิทยา (วิศวกรรมสังคม) |
✔ | ||
"ตัวช่วยสร้าง" สำหรับการทดสอบแอปพลิเคชันเว็บ (ตัวช่วยสร้างการทดสอบ Web App) |
✔ | ||
การทดสอบแอปพลิเคชันเว็บ (การทดสอบแอปพลิเคชันเว็บ) |
✔ | ||
การเจาะผ่านจุดแข็งโดยใช้ VPN tunneling (การหมุน VPN) |
✔ | ||
เครื่องกำเนิดเพย์โหลด (เครื่องกำเนิดเพย์โหลด) |
✔ | ||
มาโครดำเนินการหลังจากการประนีประนอม (มาโครหลังการแสวงหาผลประโยชน์) |
✔ | ||
เซสชันถาวร (เซสชันถาวร) |
✔ | ||
โมดูลเมตา (เมตาโมดูล) |
✔ | ||
การทำงานเป็นทีม (การทำงานร่วมกันเป็นทีม) |
✔ | ||
ห่วงโซ่งาน (สายโซ่งาน) |
✔ | ||
สำรองและเรียกคืน (สำรองและเรียกคืน) |
✔ | ||
การรายงานที่กำหนดเอง (การรายงานที่กำหนดเอง) |
✔ | ||
การรายงานทางสังคมวิทยา (รายงานวิศวกรรมสังคม) |
✔ | ||
การรายงานการประเมินแอปพลิเคชันเว็บ (รายงานการประเมินแอปพลิเคชันเว็บ) |
✔ |
Metasploit Framework edition มีความโดดเด่นเนื่องจากทำหน้าที่เป็นพื้นฐานสำหรับการสร้างผลิตภัณฑ์เชิงพาณิชย์ เป็นโครงการโอเพ่นซอร์สที่ให้การเข้าถึงฐานข้อมูลการหาประโยชน์สำหรับแอปพลิเคชัน ระบบปฏิบัติการ และแพลตฟอร์มต่างๆ การควบคุมดำเนินการผ่านอินเทอร์เฟซ บรรทัดคำสั่ง. ผู้ใช้ Metasploit Framework สามารถสร้างและเพิ่มช่องโหว่ใหม่ลงในฐานข้อมูล หรือใช้ที่มีอยู่เป็นเครื่องมือเพิ่มเติมเมื่อทำการทดสอบการเจาะระบบ
รุ่นที่เหลือเป็นรุ่นเชิงพาณิชย์ พวกเขาใช้การจัดการเพิ่มเติมผ่านทางเว็บอินเตอร์เฟส และฟังก์ชั่นบางอย่างจะถูกเพิ่ม ขึ้นอยู่กับรุ่น พวกนี้ซะส่วนใหญ่ ฟังก์ชั่นเพิ่มเติมมีวัตถุประสงค์เพื่อทำให้งานทดสอบทั่วไปเป็นอัตโนมัติ: การวิเคราะห์ช่องโหว่, เทคนิคทางสังคม, การสร้างเพย์โหลด, การโจมตีแบบเดรัจฉาน
ข้อสรุป
Rapid7 Metasploit มีหลากหลาย ฟังก์ชั่น. โซลูชันสามารถทำงานได้ทั้งผ่านทางเว็บอินเตอร์เฟสหรืออินเทอร์เฟซบรรทัดคำสั่ง - ตัวเลือกจะถูกกำหนดตามคำขอของผู้ใช้ อย่างไรก็ตาม ชุดฟังก์ชันทั้งหมดจะใช้งานได้เฉพาะเมื่อทำงานโดยใช้เว็บอินเตอร์เฟสเท่านั้น Rapid7 Metasploit รองรับระบบปฏิบัติการ ครอบครัววินโดวส์และลินุกซ์
คุณสมบัติที่โดดเด่นอีกสองสามประการของ Rapid7 Metasploit:
- ความเป็นไปได้ในการเลือกรุ่นที่ตรงกับความต้องการของแต่ละกรณี
- ความสามารถในการใช้ผลการวิเคราะห์ช่องโหว่จากโซลูชันของบุคคลที่สาม
- ความเป็นไปได้ของการฝึกอบรมเกี่ยวกับระบบที่มีช่องโหว่ที่ออกแบบมาเป็นพิเศษ
- การรวมผลิตภัณฑ์ (ใน Framework edition) กับการแจกจ่าย Linux:
- กาลี ลินุกซ์
- Backtrack linux (ยกเลิก)
- เพนทู
- แบล็คอาร์ค
- กล่องแบ็คบ็อกซ์
Rapid7 Metasploit มีข้อจำกัดระดับการปฏิบัติงานหลายประการที่ควรค่าแก่การพิจารณา:
- การติดตั้งและการทำงานที่ถูกต้องในภายหลังของผลิตภัณฑ์สามารถทำได้หลังจากปิดการใช้งานไฟร์วอลล์และโปรแกรมป้องกันไวรัสเท่านั้น
- ขอแนะนำให้ติดตั้ง Rapid7 Nexpose และ Metasploit บนเครื่องมือที่แยกจากกัน เทคโนโลยีคอมพิวเตอร์. ในกรณีนี้ สามารถติดตั้ง Rapid7 Metasploit ในเครื่องเสมือนได้
- ขาดการแปลเอกสารการปฏิบัติงานเป็นภาษารัสเซียอย่างสมบูรณ์ พร้อมคู่มือการใช้งาน ภาษาอังกฤษสามารถพบได้บนเว็บไซต์ของผู้ผลิตในส่วน Metasploit