TM_221

10 6|2|2023 #221 Προκειμένου να διασφαλιστεί πλήρως η προστασία μιας υποδομής IT, δεν χρησι- μοποιούνται μόνο εργαλεία, αλλά εφαρ- μόζονται και ειδικές τεχνικές δοκιμών, όπως το penetration testing . Όπως εξηγεί η Orthology , τ ο penetration testing ή pen test είναι η προσομοίωση κυβερνοεπίθεσης σε ένα υπολογιστικό σύστημα, προκειμένου να εντοπιστούν πιθανές ευπάθειες του συστήματος και να αξιολογηθεί η κατάσταση κυβερνοα- σφάλειάς του. Το penetration testing μπορεί να εφαρ- μοστεί για τον έλεγχο ασφαλείας λογισμι- κών, εφαρμογών, υπολογιστών, server και άλλων στοιχείων μιας IT υποδομής, από εξειδικευμένους επαγγελματίες IT και, πιο συγκεκριμένα, από τους λεγόμε- νους ethical hackers. Σε αντίθεση με τους κακόβουλους hackers, οι ethical hackers ανήκουν σε εξουσιοδοτημένες ομάδες IT και προσλαμβάνονται από επιχειρήσεις ακριβώς για να προσπαθήσουν να «κρα- κάρουν» το υπολογιστικό σύστημα, να εντοπίσουν τις ευπάθειες και, έπειτα, να φροντίσουν για την κάλυψή τους. Τα είδη penetration testing διακρί- νονται αναλόγως του τι πληροφορίες παρέχονται στον ethical hacker όσον αφορά στο δίκτυο και τη θέσης του σε σχέση με αυτό, δηλαδή του εάν θα προ- σπαθήσει να «επιτεθεί» μέσα από το δί- κτυο ή εκτός αυτού. Open-box pen test: Στο open-box test, ο hacker λαμβάνει ορισμένες πληροφο- ρίες για το σύστημα της ασφαλείας της επιχείρησης, πριν πραγματοποιήσει το penetration testing. Closed-box pen test: Αντιθέτως, στο closed-box test, δε λαμβάνει καμία πλη- ροφορία παρά μόνο γνωρίζει ποια επι- χείρηση είναι ο στόχος του. Covert pen test: Προχωρώντας ένα βήμα παραπέρα, το covert pen test λαμ- βάνει χώρα όταν ούτε ο hacker ενημε- ρώνεται για την κατάσταση ασφαλείας της υποδομής IT, αλλά ούτε η εσωτερι- κή ομάδα IT ή λοιποί υπάλληλοι πλη- ροφορούνται για το ότι πρόκειται να υλοποιηθεί penetration testing. Έτσι, η δοκιμή περιλαμβάνει και την εκτίμηση ευπαθειών αλλά και την αξιολόγηση της ετοιμότητας του τμήματος IT σε περι- στατικά κυβερνοαπειλών. Internal pen test: Ερχόμενοι σε μία δι- αφορετικού είδους διάκριση, ο hacker που πραγματοποιεί internal pen test προσπαθεί να εκμεταλλευτεί ευπάθει- ες του δικτύου υπολογιστών δρώντας «εσωτερικά», δηλαδή ως εξουσιοδοτη- μένος χρήστης αυτού. External pen test: Από την άλλη, στο external pen test, ο hacker δρα «εξω- τερικά», δηλαδή σαν κακόβουλος χρή- στης που ακόμη δεν έχει αποκτήσει πρόσβαση στο δίκτυο και προσπαθεί να εισχωρήσει σε αυτό. Εδώ, συνήθως δοκιμάζεται και η αντοχή εξωτερικών ή συγκεντρωτικών συσκευών IT, όπως οι servers ή το cloud. Τα 6 Στάδια του Penetration Testing: Σχεδιασμός: Πριν το penetration testing, οι υπάλληλοι IT και η επιχείρηση θα πρέπει να συμφωνήσουν πάνω στο σκοπό του testing, τις πληροφορίες σχε- τικά με την ασφάλεια του δικτύου που πρόκειται να δοθούν και την έκταση των ενεργειών που θα πραγματοποιηθούν. Στη βάση αυτή, οι υπάλληλοι IT μπορούν να ξεκινήσουν να σχεδιάζουν το πλά- νο δράσης και τα εναλλακτικά σενάρια penetration testing. Αναγνώριση στόχων: Εφόσον έχει προηγηθεί η συμφωνία με την επιχεί- ρηση και ο σχεδιασμός του πλάνου penetration testing, εκείνοι που θα το πραγματοποιήσουν οφείλουν πρώτα να ταυτοποιήσουν τους «στόχους» του testing. Στόχοι μπορεί να είναι οι υπολο- γιστές, οι servers, το intranet, το cloud ή οποιοδήποτε άλλο στοιχείο της υποδο- μής IT της επιχείρησης. Επομένως, στο στάδιο της αναγνώρισης οι υπάλληλοι IT στοιχεία, όπως είναι οι διευθύνσεις IP, η τυχόν προστασία των συσκευών με VPN ή firewall ή η σύνδεσή τους με άλλες συ- σκευές του δικτύου. Απόκτηση πρόσβασης: Μετά τα παρα- πάνω, οι ειδικοί IT που πραγματοποιούν το penetration testing μπορούν να ξεκι- νήσουν τις προσπάθειες για απόκτηση πρόσβασης στο δίκτυο της επιχείρη- σης. Ως πύλες εισόδου για την πρόσβα- ση χρησιμοποιούνται είτε ευπάθειες που έχουν ανιχνευθεί ενδεχομένως και στο vulnerability scan είτε οι λεγόμενες backdoors. Ανάλυση και αναφορά: Καθ’ όλη τη δι- αδικασία απόκτησης πρόσβασης, ένας επαγγελματίας θα πρέπει να σημειώνει κάθε ενέργεια που πραγματοποίησε στο penetration testing, καθώς και τα σημεία που λειτούργησαν ως πύλες εισόδου. Με αυτόν τον τρόπο, αξιολογούνται οι ευ- αλωτότητες του δικτύου και, μετέπειτα, τα μέτρα προστασίας που είτε έχουν ήδη ληφθεί είτε πρόκειται να ληφθούν. Αποκατάσταση συστήματος και εφαρμογή λύσεων: Απαραίτητο στά- διο μετά την υλοποίηση του penetration testing αποτελεί η αποκατάσταση του συστήματος. Οι επαγγελματίες IT που προέβησαν σε penetration testing χρη- σιμοποιούν μεθόδους που μπορούν να ιχνηλατηθούν από κυβερνοεπιτιθε- μένους και να χρησιμοποιηθούν από αυτούς για την απόκτηση μη εξουσιο- δοτημένης πρόσβασης στο δίκτυο. Για αυτό, τα κενά ή «ίχνη» που έχουν δημι- ουργηθεί καλύπτονται αμέσως μετά το testing. Παράλληλα με την αποκατάστα- ση, εφαρμόζονται και οι επιπλέον λύσεις κυβερνοασφάλειας που τυχόν κρίθηκαν αναγκαίες κατά το penetration testing. Επαναδοκιμή: Τέλος, μετά την αποκα- τάσταση και ενίσχυση της ασφάλειας του δικτύου της επιχείρησης, οι επαγγελ- ματίες IT επαναδοκιμάζουν penetration testing. Έτσι, εκτιμάται κατά πόσο έγιναν ορθά η αποκατάσταση και η εφαρμογή των νέων λύσεων κυβερνοασφάλειας και επιβεβαιώνεται ότι δεν υπάρχουν ευαλωτότητες που δεν ανιχνεύθηκαν την πρώτη φορά. Με την επαναδοκιμή, λοιπόν, ολοκληρώνεται η διαδικασία του penetration testing. Η Orthology εξηγεί το Penetration Testing