Penetračné testovanie je kľúčovým spôsobom, ako udržať vaše informácie v bezpečí, no mnohí z nás o tom robia niekoľko nesprávnych predpokladov.
Zraniteľnosti vo vašich počítačových systémoch nemusia byť nevyhnutne problematické, kým ich votrelci neobjavia a nevyužijú. Ak pestujete kultúru identifikácie medzier pred aktérmi hrozieb, môžete ich vyriešiť, takže nepredstavujú žiadnu významnú škodu. Toto je príležitosť, ktorú vám ponúka penetračné testovanie.
Okolo penetračného testovania však existuje viac ako niekoľko mýtov, ktoré vám môžu brániť v podnikaní krokov na zlepšenie vašej bezpečnosti.
1. Penetračné testovanie je len pre organizácie
Existuje názor, že penetračné testovanie je aktivita pre organizácie, nie jednotlivcov. Pochopenie cieľa pentestu je kľúčom k objasneniu tohto problému. Konečnou hrou testu je zabezpečenie dát. Organizácie nie sú jediné, ktoré majú citlivé údaje. Bežní ľudia majú tiež citlivé údaje, ako sú bankové informácie, údaje o kreditných kartách, lekárske záznamy atď.
Ak ako osoba neidentifikujete zraniteľné miesta vo svojom systéme alebo účte, aktéri hrozieb ich zneužijú na prístup k vašim údajom a použijú ich proti vám. Mohli by to použiť ako návnadu na ransomvérové útoky, kde požadujú, aby ste zaplatili paušálnu sumu pred obnovením prístupu k vám.
2. Penetračné testovanie je prísne proaktívne opatrenie
Myšlienka objavovania hrozieb v systéme pred narušiteľmi naznačuje, že penetračné testovanie je proaktívne bezpečnostné opatrenie, ale nie vždy to tak je. Niekedy môže byť reaktívna, najmä keď vyšetrujete kybernetický útok.
Po útoku môžete vykonať pentest, aby ste získali prehľad o povahe útoku, aby ste ho mohli správne riešiť. Zistením, ako k incidentu došlo, použité techniky a cielené údaje, môžete zabrániť tomu, aby sa opakoval tak, že zaplníte medzery.
3. Penetračné testovanie je iný názov pre skenovanie zraniteľností
Keďže penetračné testovanie aj skenovanie zraniteľnosti sú o identifikácii vektorov hrozieb, ľudia ich často používajú zameniteľne a myslia si, že sú rovnaké.
Skenovanie zraniteľnosti je automatizovaný proces identifikácia zistených zraniteľností v systéme. Uvediete zoznam možných chýb a prehľadáte svoj systém, aby ste zistili ich prítomnosť a vplyv na váš systém. Na druhej strane, penetračné testovanie je o vrhaní vašich útočných sietí na celý váš systém rovnakým spôsobom, ako by to robili kyberzločinci, dúfajúc, že identifikujú slabé odkazy. Na rozdiel od skenovania zraniteľností nemáte vopred určený zoznam hrozieb, na ktoré by ste si mali dávať pozor, ale vyskúšajte všetko možné.
4. Penetračné testovanie môže byť plne automatizované
Automatizované penetračné testovanie vyzerá teoreticky dobre, ale v skutočnosti je pritiahnuté za vlasy. Keď automatizujete pentest, vykonávate skenovanie zraniteľností. Systém nemusí mať kapacitu na vyriešenie problémov.
Penetračné testovanie si vyžaduje ľudský vstup. Musíte vymyslieť možné spôsoby, ako identifikovať hrozby, aj keď to vyzerá, že na povrchu žiadne neexistujú. Svoje znalosti o etickom hackovaní musíte otestovať pomocou všetkých dostupných techník, aby ste sa dostali do najbezpečnejších oblastí vašej siete tak, ako by to urobil hacker. A keď identifikujete slabé miesta, hľadáte spôsoby, ako ich riešiť, takže už neexistujú.
5. Penetračné testovanie je príliš drahé
Vykonávanie penetračných testov si vyžaduje ľudské aj technické zdroje. Každý, kto robí test, musí byť veľmi zručný a takéto zručnosti nie sú lacné. Musia mať aj potrebné nástroje. Aj keď tieto zdroje nemusia byť ľahko dostupné, stoja za hodnotu, ktorú ponúkajú pri predchádzaní hrozbám.
Náklady na investíciu do penetračného testovania nie sú nič v porovnaní s finančnými škodami spôsobenými kybernetickými útokmi. Niektoré dátové súbory sú na nezaplatenie. Keď ich aktéri hrozieb odhalia, dôsledky sú mimo finančného merania. Môžu zničiť vašu reputáciu za hranicu vykúpenia.
Ak sa hackeri snažia od vás počas útoku vymámiť peniaze, požadujú veľké sumy, ktoré sú zvyčajne vyššie ako váš pentest rozpočet.
6. Penetračné testovanie môžu vykonávať iba outsideri
Existuje dlhodobý mýtus, že penetračné testovanie je najúčinnejšie, keď ho vykonávajú externé strany ako interné strany. Je to preto, že externí pracovníci budú objektívnejší, pretože nemajú žiadnu súvislosť so systémom.
Zatiaľ čo objektívnosť je kľúčom k platnosti testu, príslušnosť k systému neznamená, že je to úplne neobjektívne. Penetračný test pozostáva zo štandardných postupov a výkonnostných metrík. Ak tester postupuje podľa pokynov, výsledky sú platné.
Navyše znalosť systému môže byť výhodou, pretože ste zasvätení do kmeňových znalostí, ktoré vám pomôžu lepšie sa v systéme orientovať. Dôraz by sa nemal klásť na získanie externého alebo interného testera, ale na takého, ktorý má schopnosti robiť dobrú prácu.
7. Penetračné testovanie by sa malo robiť raz za čas
Niektorí ľudia by radšej raz za čas vykonali penetračné testovanie, pretože veria, že dopad ich testu je dlhodobý. Vzhľadom na nestálosť kyberpriestoru je to kontraproduktívne.
Kyberzločinci nepretržite pracujú na hľadaní zraniteľných miest v systémoch. Dlhé intervaly medzi vašimi pentestami im poskytujú dostatok času na preskúmanie nových medzier, ktoré možno nepoznáte.
Nemusíte vykonávať penetračný test každý druhý deň. Správnou rovnováhou by bolo robiť to pravidelne v priebehu niekoľkých mesiacov. To je adekvátne, najmä ak máte na zemi iné bezpečnostné opatrenia, ktoré vás informujú o vektoroch hrozieb, aj keď ich aktívne nehľadáte.
8. Penetračné testovanie je o hľadaní technických slabín
Existuje mylná predstava, že penetračné testovanie sa zameriava na technické zraniteľnosti v systémoch. Je to pochopiteľné, pretože koncové body, cez ktoré votrelci získavajú prístup k systémom, sú technické, no sú v nich aj niektoré netechnické prvky.
Vezmite si napríklad sociálne inžinierstvo. Kyberzločinec by mohol používať techniky sociálneho inžinierstva aby vás nalákal na odhalenie vašich prihlasovacích údajov a iných citlivých informácií o vašom účte alebo systéme. Dôkladný pentest preskúma aj netechnické oblasti, aby ste určili, aká je pravdepodobnosť, že sa stanete ich obeťou.
9. Všetky penetračné testy sú rovnaké
Ľudia majú tendenciu dospieť k záveru, že všetky penetračné testy sú rovnaké, najmä ak berú do úvahy náklady. Niekto by sa mohol rozhodnúť ísť pre lacnejšieho poskytovateľa testovania, aby ušetril náklady, pričom veria, že ich služba je rovnako dobrá ako drahšia, ale to nie je pravda.
Ako pri väčšine služieb má penetračné testovanie rôzne stupne. Môžete mať rozsiahly test, ktorý pokrýva všetky oblasti vašej siete, a nerozsiahly test, ktorý zachytáva niekoľko oblastí vašej siete. Najlepšie je zamerať sa na hodnotu, ktorú získate z testu, a nie na náklady.
10. Čistý test znamená, že je všetko v poriadku
Mať čistý výsledok testu je dobré znamenie, ale nemalo by vás to uspokojiť s vašou kybernetickou bezpečnosťou. Pokiaľ je váš systém funkčný, je zraniteľný voči novým hrozbám. Čistý výsledok by vás mal motivovať zdvojnásobiť svoju bezpečnosť. Pravidelne vykonávajte penetračný test, aby ste vyriešili vznikajúce hrozby a udržali systém bez hrozieb.
Získajte úplnú viditeľnosť siete pomocou penetračného testovania
Penetračné testovanie vám poskytuje jedinečný prehľad o vašej sieti. Ako vlastník alebo správca siete vidíte svoju sieť odlišne od toho, ako sa na ňu pozerá narušiteľ, takže vám unikajú niektoré informácie, do ktorých môžu byť zasvätení. S testom si však môžete pozrieť svoju sieť z pohľadu hackera, čo vám poskytne úplnú viditeľnosť všetkých aspektov vrátane vektorov hrozieb, ktoré by sa normálne nachádzali vo vašich slepých uhloch.
