Hvor ofte bør vi få testet pennen?

Vanlig tråkkfrekvens: årlig for generell holdning, etter større endringer (ny applikasjon, arkitekturoverhaling), og som kreves av samsvar (PCI-DSS krever årlige pennetester for kortholdermiljøer).

Pennetest vs rødt lag — hva er forskjellen?

Pennetester brukes for å finne så mange sårbarheter som mulig i definerte mål. Røde team-engasjementer simulerer spesifikke angrep fra den virkelige verden ende-til-ende (første tilgang, sidebevegelse, eksfiltrering) for å teste gjenkjennings- og responsevne. Det røde laget er bredere, lengre, ofte mer snikende. Se vår red-teamartikkel .

Er et lite selskap verdt å teste en penn?

Kommer an på hva som står på spill. SMB-er som håndterer kundedata, aksepterer betalinger eller opererer i regulerte bransjer, drar nytte av dette. Rene brosjyrenettsteder uten brukerdata får mindre verdi. Kostnaden varierer fra noen få tusen for begrenset omfang til titusenvis for omfattende.

Kan pennetester finne alle sårbarheter?

Nei. De finner det som kan oppdages i tiden som er tildelt av mennesker med verktøyene de bruker. Tidsbegrensede tester går glipp av ting; grundige nok tester er for dyre til å kjøre ofte. Kombiner med kontinuerlig skanning og bug bounty for lagdelt dekning.

Trenger pennetestere å ødelegge ting?

Noen ganger. Å demonstrere effekt krever ofte faktisk utnyttelse. Anerkjente testere kommuniserer før destruktive handlinger, bruker iscenesettelse når det er mulig, og dokumenterer alt. Omfangsdokumentet bør spesifisere grenser for destruktiv handling på forhånd.

Penetrasjonstesting forklart: Hva pennetestere faktisk gjør

Penetrasjonstesting – forkortet pennetesting – er den autoriserte simuleringen av angrep mot en organisasjons systemer for å finne sårbarheter før motstandere gjør det. Disiplinen har modnet fra smarte individer som bryter inn i nettverk til en strukturert bransje med metodikkrammeverk, sertifiseringer og regulatorisk anerkjennelse. Å forstå hvordan ekte penntesting ser ut, tydeliggjør verdien og grensene.

Hele artikkelen er gitt på engelsk nedenfor.

Penetration testing er den autoriserte praksisen for å forsøke å kompromittere en organisasjons systemer for å identifisere sikkerhetssvakheter. Pennetestere opererer under skriftlig avtale som omfatter hva som er tillatt, hva som er forbudt og hva slags rapportering som følger. Uautorisert testing – selv med gode intensjoner – er kriminell aktivitet i form av datasvindel i de fleste jurisdiksjoner.

Fasene til en penntest

Scoping. Definer hva som er i omfang (spesifikke nettverk, applikasjoner, tidsvinduer), hva som ikke er det (produksjonskritiske systemer, tredjepartsdata), hvilke teknikker som er tillatt (sosialteknikk ja/nei, DoS ja/nei). Dokumentert skriftlig.
Reconnaissance. Informasjonsinnhenting. OSINT, nettverkskartlegging, portskanning, tjenesteidentifikasjon.
Sårbarhetsidentifikasjon. Skanner etter kjente sårbarheter, undersøker tilpasset applikasjonslogikk, identifiserer feilkonfigurasjoner.
Exploitation. kan utnyttes. Ikke bare "dette kan være dårlig", men "dette er nøyaktig hva en angriper ville gjort."
Post-exploitation. Når førstegangstilgang er oppnådd, utforske hva en angriper kan gjøre – sideveis bevegelse, datatilgang, rettighetsopptrapping. Stoppet når testmålene er oppfylt.
Reporting. Detaljerte funn med reproduksjonstrinn, alvorlighetsgrad, utbedringsanbefalinger.
Re-test. Verifikasjon som fikser arbeidet, etter at organisasjonen har hatt tid til å ta tak i funn.

Vanlige testkategorier

Ekstern penetrasjonstest. Angrip organisasjonen fra det offentlige Internett. Hva kan en utenforstående se, skanne, utnytte?
Intern penetrasjonstest. Anta første fotfeste (kompromittert ansatt bærbar datamaskin, ondsinnet insider). Hva kan angriperen nå derfra?
Nettapplikasjonstest. Fokuser på en spesifikk app — SQL-injeksjon, XSS, forretningslogikkfeil, autentiseringssvakheter.
IPMobilapplikasjonstest.XPLZengineering API Reverse-manipulation/APKs. utnyttelse.
API-penetrasjonstest. Fokus på API-laget — autorisasjonsfeil, dataeksponering, bypass av hastighetsgrense.
Cloud-konfigurasjonsvurdering. AWS/Azure/GCP-eksponeringsspesifikke feilkonfigurasjoner, IAM-konfigurasjoner, IMF-spesifikke feilkonfigurasjoner Lambda.
Trådløs vurdering. Wi-Fi-sikkerhetstesting.
Fysisk penetrasjonstest. Prøver å få fysisk tilgang — bakluke, låseplukking, sosial teknikk i resepsjonen.

XPL6Så engineering Phishing-kampanjer, vishing, forsøk på å manipulere ansatte.

Svart boks vs grå boks vs hvit boks

Sort boks. Testeren vet bare hva en ekstern angriper ville. Realistisk, men treg.
Gray box. Begrenset informasjon gitt (kontolegitimasjon, nettverksdiagrammer). Mest vanlig i praksis.
White box. Full tilgang inkludert kildekode, arkitekturdokumentasjon, admin-legitimasjon. Mest grundig; finner problemer som automatiserte verktøy og ekstern testing kan gå glipp av.

Metoderammeverk

OWASP Testveiledning for nettsikkerhet. Omfattende rammeverk for testing av nettapplikasjoner.

PLZ1000XPLZ9. Amerikanske myndigheters teknisk veiledning for sikkerhetstesting.
OSSTMM. Open Source Security Testing Methodology Manual.
PTES. Penetration Testing Execution Standard.
XMITREZ1076XXPLZ107 ATT&CK.

TBranchens verktøy

Reconnaissance,1,6 Shodan, 1,6 Shon, 6 theHarvester, Recon-ng
Web-testing: Burp Suite (industristandard), OWASP ZAP, sqlmap
Exploitation frameworks:-standard, Cobal Strike Empire, Cobal Strike, Empire Sliver
Trådløs: Aircrack-ng, Wifite, hcxdumptool
Passordangrep: Hashcat, John the RipperXPLZ133 system: Kali Linux er standarddistribusjonen som samler mange verktøy

Pen-testing vs sårbarhetsskanning

Ofte forvirret; viktigst annerledes:

Sårbarhetsskanning — automatisert verktøy som viser kjente problemer. Billig, rask, kan kjøres ukentlig. Går glipp av forretningslogiske feil, lenkede sårbarheter, sosiale ingeniør-vektorer.
Penetration test — menneskelig tester med kreative metoder. Dyrt, tidkrevende, oppdager problemer som skannere savner. Vanligvis årlig eller halvårlig.

Modne sikkerhetsprogrammer bruker begge — automatiserte skanninger for løpende dekning, periodiske pennetester for dybde.

Certifications

OSCP (Offensive Security Certified)XPLZertified. Hands-on 24-timers eksamen mot sårbare laboratorier.
OSCE3 — avansert webapp, utnyttelsesutvikler, trådløse sertifiseringer fra Offensive Security.
GPEN, GWAPT, GXPNXPLANS 24GIACX sertifiseringer.
CEH (Certified Ethical Hacker) — entry-level credential, mer teoretisk enn OSCP.
PNPT (Praktisk Network Penetration Security Tester) hands-on — TCM exam.

OSCP er legitimasjonen som oftest kreves av anerkjente pennetestfirmaer.

Det juridiske og etiske laget

Pen-testing uten skriftlig autorisasjon er en forbrytelse i de fleste jurisdiksjoner — US CFAA, lignende lover om databruk ellers, UK Computer Misuse Act. Selv med autorisasjon kan omfangskrypning forårsake juridiske problemer. Den skriftlige autorisasjonen (noen ganger kalt "Get Out of Jail Free Letter") er testernes juridiske beskyttelse.

Anerkjente pennetestfirmaer opprettholder forsikring for hendelser, følger strenge retningslinjer for datahåndtering for alle sensitive data som påtreffes, og har klare eskaleringsveier hvis de støter på faktiske pågående inntrenging av personopplysninger eller organisasjonssensitive4WhXZPL3Z 2XZPL3Z. expect

A penntestrapport inkluderer vanligvis:

Eksekutivt sammendrag for ikke-teknisk lederskap
Alvorlighetsrangerte funn med CVSS-score
Detaljerte reproduksjonstrinn for hvert funn og hvert funn. proof-of-concept bevis
Spesifikke utbedringsanbefalinger
Samlede observasjoner om sikkerhetsstilling

Funnene bør være handlingsdyktige. "Sårbarhet X eksisterer i komponent Y, her er hvordan den ble utnyttet, her er hvordan du fikser den" - ikke "sikkerheten din er dårlig."

Ofte stilte spørsmål

Hvor ofte bør vi få testet pennen?: Vanlig tråkkfrekvens: årlig for generell holdning, etter større endringer (ny applikasjon, arkitekturoverhaling), og som kreves av samsvar (PCI-DSS krever årlige pennetester for kortholdermiljøer).
Pennetest vs rødt lag — hva er forskjellen?: Pennetester brukes for å finne så mange sårbarheter som mulig i definerte mål. Røde team-engasjementer simulerer spesifikke angrep fra den virkelige verden ende-til-ende (første tilgang, sidebevegelse, eksfiltrering) for å teste gjenkjennings- og responsevne. Det røde laget er bredere, lengre, ofte mer snikende. Se vår <a href="/learning/red-team-blue-team">red-teamartikkel</a>.
Er et lite selskap verdt å teste en penn?: Kommer an på hva som står på spill. SMB-er som håndterer kundedata, aksepterer betalinger eller opererer i regulerte bransjer, drar nytte av dette. Rene brosjyrenettsteder uten brukerdata får mindre verdi. Kostnaden varierer fra noen få tusen for begrenset omfang til titusenvis for omfattende.
Kan pennetester finne alle sårbarheter?: Nei. De finner det som kan oppdages i tiden som er tildelt av mennesker med verktøyene de bruker. Tidsbegrensede tester går glipp av ting; grundige nok tester er for dyre til å kjøre ofte. Kombiner med kontinuerlig skanning og bug bounty for lagdelt dekning.
Trenger pennetestere å ødelegge ting?: Noen ganger. Å demonstrere effekt krever ofte faktisk utnyttelse. Anerkjente testere kommuniserer før destruktive handlinger, bruker iscenesettelse når det er mulig, og dokumenterer alt. Omfangsdokumentet bør spesifisere grenser for destruktiv handling på forhånd.