Kiberbiztonsági higiénia penteszteléssel

A kiberbiztonsági kitettség napjaink egyik legnagyobb gazdasági fenyegetésének tekinthető, ezért az erre fordított globális kiadások 2021-re várhatóan meghaladják majd az 1 billió dollárt. Mára nyilvánvalóvá vált, hogy egy vállalati kibertámadás néhány óra alatt az egész cég működését veszélybe sodorhatja. Az elmúlt évek példáin keresztül láthatjuk ( Yahoo, eBay, Adobe), hogy a legnagyobbak sincsenek biztonságban, bárki bármikor a kiberbűnözők célkeresztjébe kerülhet. De meghackelhetjük-e saját magunkat, hogy megelőzzük a károkozást? A pentesztelés erre ad választ.

 

Hacker gyere be 

 

Leegyszerűsítve: egy kibertámadást hasonlítsunk össze egy sima ingatlanba történő betöréssel, amely során egy bűnöző feltöri a bejárati ajtónk zárját, amin keresztül aztán belép a házba, így elkerülve a riasztást. Miután bejutott, megkeresi a széfet, felnyitja, megszerzi az ékszereket, és anélkül viszi el őket, hogy bárki elkapná, hiszen nem keltett feltűnést.

 

A kibertérben is hasonló a folyamat, csak a módszerek mások. Amennyiben a betolakodó egy rosszindulatú hacker, a legnagyobb különbség a bejutási csatornákban és azok számában mutatkozik meg. Ha figyelembe vesszük az IT security eszközöket, alkalmazásokat, mint az antivírusok, tűzfalak, alkalmazás-tűzfalak beállításait, ez több ezer paramétert jelent. Hatványozottan igaz és növeli a bonyolultságot, ha cloud vagy heterogén környezetről van szó, így végig vezetve látható, hogy a sebezhetőségi kitettség esélye az összetettebb környezetekben nagyobb.

 

Nyitva hagyott ajtók és etikus hackerek

 

Ma már az egyenlőségnek új szabálya van - mindenkit feltörnek, azaz ha nyitva marad egy ajtó, azon valaki bemegy. Ez 2020-ra és a jövőre nézve is igaz. A nyilvános weboldalakat és alkalmazásokat már a publikálásukkor feltörik. Ugyanez vonatkozik a belső kontrollokra is. Feltételezzük, hogy a szervezet legalább egy pontja sérülékeny, támadható. Egy rosszindulatú behatoló minden hibásan konfigurált eszközhöz megkísérel hozzáférni, elegendő egy sérülékenység és biztos az elérés a kritikus adatokhoz és szolgáltatásokhoz. Ezért inkább azt a kérdést kell feltennünk magunknak, hogy hogyan tudunk önellenőrzést tartani. Meghackelhetnek bármikor váratlanul, vagy megpróbálunk rá felkészülni valahogyan?

 

Ki is vehetné fel a kesztyűt egy mindig előttünk járó kiberbűnözővel? Egyértelműen egy ugyanolyan naprakész tudással és eszköztárral bíró hacker, aki ráadásul a mi oldalunkon áll. Az etikus hacker az, aki nem ellenünk, hanem értünk, a mi felhatalmazásunkból hatol be a rendszereinkbe és keresi a kiskapukat, biztonsági réseket.

 

A hétköznapi tevékenységinket igyekszünk kontrol alatt tartani, beléptető rendszereket, riasztót, nyomkövető appokat használunk nap mint nap. De vajon azt is pontosan tudjuk, kik járnak az IT rendszerinkben? Miért ne ellenőrizhetnénk le a stabil üzletmenethez szükséges IT biztonsági alkalmazásokat és felkészültségünket is akár minden nap? Ehhez nem kell a teljes IT security büdzsét pentesztelésre fordítanunk, elég, ha kialakítunk egy fenntartható kiberbiztonsági higiéniát.

 

Behatolás ellenőrzött körülmények között – pentesztelés

 

Az informatikai hálózat olyan, mint egy élő organizmus - felhasználók hozzáadása és eltávolítása, új és állandóan frissülő rendszerek, migrálás a felhőbe – folytonos és végtelen változás jellemzi. Hogyan lehet egy változó környezetben lemérni valamit? Ki kell dolgozni egy önellenőrzési módszert. Nevezzük ezt a korábban már említett kiberbiztonsági higiéniának, aminek a fenntartására folyamatosan törekednünk kell. Ennek egyik hatásos módja egy automatizált pentesztelő rendszer alkalmazása.

 

Egy penteszter a hálózaton barangoló betörő szerepében teszteli, hogy minden ellenőrzésünk, biztonsági mechanizmusunk és rendszerünk működik-e, és az esetleges sérülékenységek mekkora kitettséget eredményeznek. A számunkra rejtett rendszerhibákat patchekből, rejtett vagy rossz konfigurációkból eredő sérülékenységeket egy etikus hacker számára legtöbbször rutinfeladat feltárni, ezt kell tudnia egy pentesztelő rendszernek is.

Hackermódszerek: A Windows Circular Nested Active Directory (AD) csoportbeállításban gyakran a jogosultságokat „rosszul” konfigurálják annak érdekében, hogy egy rendes felhasználó a tervezettnél magasabb jogosultságot érhessen el, amivel később hozzá lehet férni akár adminisztrátori jogosultsággal is az üzletileg kritikus rendszerekhez. Ez csak egy átlagos hacker trükk. Ki lehet biztos benne, hogy nincs ilyesmi a saját hálózatában?

 

Csak egy folyamatos ellenőrző megoldás bevezetése teszi lehetővé a fenti kérdés naprakész megválaszolását. Jogos a felvetés, hogy akkor minden cég szerződtessen egy etikus hackert? Egy ilyen összetett tesztelés pedig nem túl költséges és erőforrás igényes? Mint minden alkalmazás vagy szolgáltatás kiválasztásánál, elsődlegesen a legfontosabb követelményeket kell meghatároznunk.

 

Penteszter választó- automatizálás és validálás

 

Tekintsünk át néhány fontos szempontot, amit a PCYSYS ajánl a megfelelő megoldás kiválasztásához:

 

  • Automatizáljunk: Számos biztonsági ellenőrző megoldás biztosítja a „playbook” megközelítést a kockázat jóváhagyáshoz, ismételten tesztelve egy ismert támadási vektort. A könnyű használatra vonatkozó különféle igények ellenére ezek megtervezést, karbantartást és folyamatos frissítést igényelnek. Az ideális eszköznek „egykattintásos validáló” megközelítéssel kell rendelkeznie.
  • Legyen agentless: Az információbiztonság egyik sarokköve a munkaállomások kezelése, minden agent alapú rendszer telepítést, dokumentációt és frissítést igényel, ami önmagában is gyengeséget és lassúságot eredményez. Az ideális pentesztelő eszköznek agentlessnek kell lennie.
  • MITTRE ATT&CK ™: Kulcsfontosságú, hogy minden kiberbiztonsági validációs rendszer lépést tartson az ellenfelek technikájával, annak rohamosan fejlődő képességeivel, másként nem biztosítható a releváns ellenőrzés. Elengedhetetlen az ismert és létező fenyegetések gyors validálása és lefedése, annak megértése, hogy mit is kell, hogy ellenőrizzen egy pentesztelő rendszer. Valamint alap elvárás az is, hogy az erre épülő kibervédelmi iparral képes legyen lépést tartani az automatizált pentesztelő megoldásunk.

 

Az alkalmazásba zárt etikus hacker - PenTera

 

Korábbi cikkünkben már bővebben kifejtettük, hogyan lehet egyetlen rendszerbe gyúrva a fenti szempontoknak megfelelő megoldást kialakítani. A kiberbiztonsági kockázat validáció korába értünk, jobb, ha ezt egy automatizált, könnyen menedzselhető rendszerre bízva tesszük, fals riasztások nélkül, egy modern platformon.

 

Ha csak évente egyszer tesztelnél, mert az infrastruktúrád nem indokolja másképp, akkor bízd ránk a feladatot és válaszd teljes körű pentesztelési szolgáltatásunkat sokkal kedvezőbb feltételekkel. A filter:max-on keresztül te is megtapasztalhatod a PenTera minden jóságát és előnyét, ráadásul szakértő kezekben tudhatod az egész folyamatot.

 

Hackerekkel ritkán találkozhatsz, de a PenTera-t már most is megismerheted, a helyedben mindenképpen kérnénk egy  demót az alábbi gombra kattintva.