Hvor ofte skal vi få testet pennen?

Fælles kadence: årligt for generel kropsholdning, efter større ændringer (ny applikation, arkitektureftersyn) og som krævet af overholdelse (PCI-DSS kræver årlige pentests for kortholdermiljøer).

Pentest vs rødt hold — hvad er forskellen?

Pentests er beregnet til at finde så mange sårbarheder som muligt i definerede mål. Røde team-engagementer simulerer specifikke angreb fra den virkelige verden end-to-end (indledende adgang, lateral bevægelse, eksfiltration) for at teste detektions- og responsevne. Rødt hold er bredere, længere, ofte mere snigende. Se vores red-teamartikel .

Er en lille virksomhed værd at teste en pen?

Kommer an på hvad der er på spil. SMB'er, der håndterer kundedata, accepterer betalinger eller opererer i regulerede industrier, drager fordel. Rene brochurewebsteder uden brugerdata får mindre værdi. Omkostningerne varierer fra et par tusinde for snævert omfang til titusinder for omfattende.

Kan pentest finde enhver sårbarhed?

Nej. De finder, hvad der kan opdages i den tid, som er tildelt af mennesker med de værktøjer, de bruger. Tidsbegrænsede test går glip af ting; grundige nok tests er for dyre til at køre ofte. Kombiner med kontinuerlig scanning og bug bounty for lagdelt dækning.

Behøver pennetestere at bryde ting?

Undertiden. At demonstrere effekt kræver ofte faktisk udnyttelse. Velrenommerede testere kommunikerer før destruktive handlinger, bruger iscenesættelse, når det er muligt, og dokumenterer alt. Omfangsdokumentet bør angive grænser for destruktiv handling på forhånd.

Penetrationstest forklaret: Hvad penetestere rent faktisk gør

Penetrationstest – forkortet penetest – er den autoriserede simulering af angreb mod en organisations systemer for at finde sårbarheder, før modstandere gør det. Disciplinen er modnet fra kloge individer, der bryder ind i netværk til en struktureret industri med metodiske rammer, certificeringer og regulatorisk anerkendelse. At forstå, hvordan ægte pentest ser ud, tydeliggør dens værdi og grænser.

Hele artiklens krop findes på engelsk nedenfor.

Penetrationstest er den autoriserede praksis med at forsøge at kompromittere en organisations systemer for at identificere sikkerhedssvagheder. Pen-testere arbejder under skriftlig aftale, der omfatter, hvad der er tilladt, hvad der er forbudt, og hvilken form for rapportering der følger. Uautoriseret test – selv med gode hensigter – er kriminel aktivitet i form af computersvindel i de fleste jurisdiktioner.

Faserne af en pen test

Scoping. Definer, hvad der er i omfanget (specifikke netværk, applikationer, tidsvinduer), hvad der ikke er (produktionskritiske systemer, tredjepartsdata), hvilke teknikker der er tilladt (social engineering ja/nej, DoS ja/nej). Dokumenteret skriftligt.
Reconnaissance. Informationsindsamling. OSINT, netværkskortlægning, portscanning, serviceidentifikation.
Sårbarhedsidentifikation. Scanning for kendte sårbarheder, undersøgelse af tilpasset applikationslogik, identifikation af fejlkonfigurationer.
Udnyttelse. kan udnyttes ved at udnytte sårbarheder. Ikke bare "dette kunne være dårligt", men "dette er præcis, hvad en angriber ville gøre."
Post-exploitation. Når først den første adgang er opnået, kan du udforske, hvad en angriber kunne gøre - lateral bevægelse, dataadgang, privilegieeskalering. Stoppet, når testmålene er opfyldt.
Reporting. Detaljerede resultater med reproduktionstrin, alvorlighedsvurderinger, afhjælpningsanbefalinger.
Re-test. Verifikation, der fikser arbejdet, efter at organisationen har haft tid til at løse problemet fund.

Fælles testkategorier

Ekstern penetrationstest. Angreb organisationen fra det offentlige internet. Hvad kan en udenforstående se, scanne, udnytte?
Intern penetrationstest. Antag indledende fodfæste (kompromitteret bærbar medarbejder, ondsindet insider). Hvad kan angriberen nå derfra?
Web-applikationstest. Fokus på en specifik app — SQL-injektion, XSS, forretningslogikfejl, autentificeringssvagheder.
Mobilapplikationstest.XPLZengineering, API-omvendt manipulation/Apk48X-kørsel. udnyttelse.
API penetrationstest. Fokus på API-laget — godkendelsesfejl, dataeksponering, bypass af hastighedsgrænse.
Cloud-konfigurationsvurdering. AWS/Azure/GCP-specifikke fejlkonfigurationer, IAM-specifikke fejlkonfigurationer, IAM Lambda.
Trådløs vurdering. Wi-Fi-sikkerhedstest.
Physical penetration test. Forsøger at få fysisk adgang — tailgating, låseplukning, social engineering i receptionen.

XPL6Så engineeringXPL6XPL6 Phishing-kampagner, vishing, forsøg på at manipulere medarbejdere.

Sort boks vs grå boks vs hvid boks

Sort boks. Testeren ved kun, hvad en ekstern angriber ville. Realistisk, men langsom.
Gray box. Begrænset information angivet (kontooplysninger, netværksdiagrammer). Mest almindeligt i praksis.
White box. Fuld adgang inklusive kildekode, arkitekturdokumentation, admin-legitimationsoplysninger. Mest grundige; finder problemer, automatiserede værktøjer og ekstern test kan gå glip af.

Methodology frameworks

OWASP Web Security Testing Guide. Omfattende rammer for webapplikationstest.

NISTSP1SP19. Den amerikanske regerings tekniske vejledning til sikkerhedstestning.
OSSTMM. Open Source-sikkerhedstestmetodikvejledning.
PTES. Penetration Test Execution Standard.
XMITREZ1076XXPLZ107 ATT&CK.

TTools of the trade

Reconnaissance,1 Massa, Shodan,1,6, 1,6 theHarvester, Recon-ng
Web-test: Burp Suite (industristandard), OWASP ZAP, sqlmap
Exploitation frameworks: Standard Empire, Cobal Strike, Cobal Strike, Empire Sliver
Trådløs: Aircrack-ng, Wifite, hcxdumptool
Adgangskodeangreb: Hashcat, John the RipperXPLZ system: Kali Linux er standarddistributionen, der indeholder mange værktøjer

Pen-test vs sårbarhedsscanning

Ofte forvirret; vigtigt anderledes:

Sårbarhedsscanning — automatiseret værktøj, der viser kendte problemer. Billig, hurtig, kan køres ugentligt. Savner forretningslogiske fejl, lænkede sårbarheder, social-engineering vektorer.
Penetration test — menneskelig tester med kreative metoder. Dyrt, tidskrævende, oplever problemer, scannere savner. Typisk årligt eller halvårligt.

Modne sikkerhedsprogrammer bruger begge — automatiske scanninger til løbende dækning, periodiske pentests for dybde.

Certifications

OSCP (Offensive Security Certified)XPLZ-standarden. Hands-on 24-timers eksamen mod sårbart laboratorium.
OSCE3 — avanceret webapp, udnyttelsesudvikler, trådløse certificeringer fra Offensive Security.
GPEN, GWAPT, GXPNXPLANS 24GIACX certificeringer.
CEH (Certified Ethical Hacker) — entry-level credential, mere teoretisk end OSCP.
PNPT (Praktisk Network Penetration Security Tester) hands-on — TCM exam.

OSCP er den legitimation, der oftest kræves af velrenommerede pennetestfirmaer.

Det juridiske og etiske lag

Pen-test uden skriftlig tilladelse er en forbrydelse i de fleste jurisdiktioner — US CFAA, lignende lov om computermisbrug, andre steder i Storbritannien. Selv med autorisation kan omfangskrybning forårsage juridiske problemer. Den skriftlige autorisation (nogle gange kaldet et "Get Out of Jail Free Letter") er testernes juridiske beskyttelse.

Velansete pennetestfirmaer opretholder forsikring for hændelser, følger strenge datahåndteringspolitikker for alle følsomme data, der stødes på, og har klare eskaleringsstier, hvis de støder på faktisk igangværende indtrængen af personlige data eller organisationsfølsomme 4WhXZPL4WhXZPL3Z. expect

A pentestrapport indeholder typisk:

Eksekutiv oversigt over ikke-teknisk lederskab
Sværhedsrangerede resultater med CVSS-resultater
Detaljerede reproduktionstrin for hver enkelt fund proof-of-concept-bevis
Specifikke afhjælpningsanbefalinger
Samlede observationer om sikkerhedsposition

Resultaterne bør kunne handles. "Sårbarhed X findes i komponent Y, her er, hvordan den blev udnyttet, her er, hvordan du løser den" - ikke "din sikkerhed er dårlig."

Ofte stillede spørgsmål

Hvor ofte skal vi få testet pennen?: Fælles kadence: årligt for generel kropsholdning, efter større ændringer (ny applikation, arkitektureftersyn) og som krævet af overholdelse (PCI-DSS kræver årlige pentests for kortholdermiljøer).
Pentest vs rødt hold — hvad er forskellen?: Pentests er beregnet til at finde så mange sårbarheder som muligt i definerede mål. Røde team-engagementer simulerer specifikke angreb fra den virkelige verden end-to-end (indledende adgang, lateral bevægelse, eksfiltration) for at teste detektions- og responsevne. Rødt hold er bredere, længere, ofte mere snigende. Se vores <a href="/learning/red-team-blue-team">red-teamartikel</a>.
Er en lille virksomhed værd at teste en pen?: Kommer an på hvad der er på spil. SMB'er, der håndterer kundedata, accepterer betalinger eller opererer i regulerede industrier, drager fordel. Rene brochurewebsteder uden brugerdata får mindre værdi. Omkostningerne varierer fra et par tusinde for snævert omfang til titusinder for omfattende.
Kan pentest finde enhver sårbarhed?: Nej. De finder, hvad der kan opdages i den tid, som er tildelt af mennesker med de værktøjer, de bruger. Tidsbegrænsede test går glip af ting; grundige nok tests er for dyre til at køre ofte. Kombiner med kontinuerlig scanning og bug bounty for lagdelt dækning.
Behøver pennetestere at bryde ting?: Undertiden. At demonstrere effekt kræver ofte faktisk udnyttelse. Velrenommerede testere kommunikerer før destruktive handlinger, bruger iscenesættelse, når det er muligt, og dokumenterer alt. Omfangsdokumentet bør angive grænser for destruktiv handling på forhånd.