Kiberbiztonsági higiénia penteszteléssel

A kiberbiztonsági kitettség napjaink egyik legnagyobb gazdasági fenyegetésének tekinthető, ezért az erre fordított globális kiadások 2021-re várhatóan meghaladják majd az 1 billió dollárt. Mára nyilvánvalóvá vált, hogy egy vállalati kibertámadás néhány óra alatt az egész cég működését veszélybe sodorhatja. Az elmúlt évek példáin keresztül láthatjuk ( Yahoo, eBay, Adobe), hogy a legnagyobbak sincsenek biztonságban, bárki bármikor a kiberbűnözők célkeresztjébe kerülhet. De meghackelhetjük-e saját magunkat, hogy megelőzzük a károkozást? A pentesztelés erre ad választ.

 

Hacker gyere be 

 

Leegyszerűsítve: egy kibertámadást hasonlítsunk össze egy sima ingatlanba történő betöréssel, amely során egy bűnöző feltöri a bejárati ajtónk zárját, amin keresztül aztán belép a házba, így elkerülve a riasztást. Miután bejutott, megkeresi a széfet, felnyitja, megszerzi az ékszereket, és anélkül viszi el őket, hogy bárki elkapná, hiszen nem keltett feltűnést.

 

A kibertérben is hasonló a folyamat, csak a módszerek mások. Amennyiben a betolakodó egy rosszindulatú hacker, a legnagyobb különbség a bejutási csatornákban és azok számában mutatkozik meg. Ha figyelembe vesszük az IT security eszközöket, alkalmazásokat, mint az antivírusok, tűzfalak, alkalmazás-tűzfalak beállításait, ez több ezer paramétert jelent. Hatványozottan igaz és növeli a bonyolultságot, ha cloud vagy heterogén környezetről van szó, így végig vezetve látható, hogy a sebezhetőségi kitettség esélye az összetettebb környezetekben nagyobb.

 

Nyitva hagyott ajtók és etikus hackerek

 

Ma már az egyenlőségnek új szabálya van - mindenkit feltörnek, azaz ha nyitva marad egy ajtó, azon valaki bemegy. Ez 2020-ra és a jövőre nézve is igaz. A nyilvános weboldalakat és alkalmazásokat már a publikálásukkor feltörik. Ugyanez vonatkozik a belső kontrollokra is. Feltételezzük, hogy a szervezet legalább egy pontja sérülékeny, támadható. Egy rosszindulatú behatoló minden hibásan konfigurált eszközhöz megkísérel hozzáférni, elegendő egy sérülékenység és biztos az elérés a kritikus adatokhoz és szolgáltatásokhoz. Ezért inkább azt a kérdést kell feltennünk magunknak, hogy hogyan tudunk önellenőrzést tartani. Meghackelhetnek bármikor váratlanul, vagy megpróbálunk rá felkészülni valahogyan?

 

Ki is vehetné fel a kesztyűt egy mindig előttünk járó kiberbűnözővel? Egyértelműen egy ugyanolyan naprakész tudással és eszköztárral bíró hacker, aki ráadásul a mi oldalunkon áll. Az etikus hacker az, aki nem ellenünk, hanem értünk, a mi felhatalmazásunkból hatol be a rendszereinkbe és keresi a kiskapukat, biztonsági réseket.

 

A hétköznapi tevékenységinket igyekszünk kontrol alatt tartani, beléptető rendszereket, riasztót, nyomkövető appokat használunk nap mint nap. De vajon azt is pontosan tudjuk, kik járnak az IT rendszerinkben? Miért ne ellenőrizhetnénk le a stabil üzletmenethez szükséges IT biztonsági alkalmazásokat és felkészültségünket is akár minden nap? Ehhez nem kell a teljes IT security büdzsét pentesztelésre fordítanunk, elég, ha kialakítunk egy fenntartható kiberbiztonsági higiéniát.

 

Behatolás ellenőrzött körülmények között – pentesztelés

 

Az informatikai hálózat olyan, mint egy élő organizmus - felhasználók hozzáadása és eltávolítása, új és állandóan frissülő rendszerek, migrálás a felhőbe – folytonos és végtelen változás jellemzi. Hogyan lehet egy változó környezetben lemérni valamit? Ki kell dolgozni egy önellenőrzési módszert. Nevezzük ezt a korábban már említett kiberbiztonsági higiéniának, aminek a fenntartására folyamatosan törekednünk kell. Ennek egyik hatásos módja egy automatizált pentesztelő rendszer alkalmazása.

 

Egy penteszter a hálózaton barangoló betörő szerepében teszteli, hogy minden ellenőrzésünk, biztonsági mechanizmusunk és rendszerünk működik-e, és az esetleges sérülékenységek mekkora kitettséget eredményeznek. A számunkra rejtett rendszerhibákat patchekből, rejtett vagy rossz konfigurációkból eredő sérülékenységeket egy etikus hacker számára legtöbbször rutinfeladat feltárni, ezt kell tudnia egy pentesztelő rendszernek is.

Hackermódszerek: A Windows Circular Nested Active Directory (AD) csoportbeállításban gyakran a jogosultságokat „rosszul” konfigurálják annak érdekében, hogy egy rendes felhasználó a tervezettnél magasabb jogosultságot érhessen el, amivel később hozzá lehet férni akár adminisztrátori jogosultsággal is az üzletileg kritikus rendszerekhez. Ez csak egy átlagos hacker trükk. Ki lehet biztos benne, hogy nincs ilyesmi a saját hálózatában?

 

Csak egy folyamatos ellenőrző megoldás bevezetése teszi lehetővé a fenti kérdés naprakész megválaszolását. Jogos a felvetés, hogy akkor minden cég szerződtessen egy etikus hackert? Egy ilyen összetett tesztelés pedig nem túl költséges és erőforrás igényes? Mint minden alkalmazás vagy szolgáltatás kiválasztásánál, elsődlegesen a legfontosabb követelményeket kell meghatároznunk.

 

Penteszter választó- automatizálás és validálás

 

Tekintsünk át néhány fontos szempontot, amit a PCYSYS ajánl a megfelelő megoldás kiválasztásához:

 

  • Automatizáljunk: Számos biztonsági ellenőrző megoldás biztosítja a „playbook” megközelítést a kockázat jóváhagyáshoz, ismételten tesztelve egy ismert támadási vektort. A könnyű használatra vonatkozó különféle igények ellenére ezek megtervezést, karbantartást és folyamatos frissítést igényelnek. Az ideális eszköznek „egykattintásos validáló” megközelítéssel kell rendelkeznie.
  • Legyen agentless: Az információbiztonság egyik sarokköve a munkaállomások kezelése, minden agent alapú rendszer telepítést, dokumentációt és frissítést igényel, ami önmagában is gyengeséget és lassúságot eredményez. Az ideális pentesztelő eszköznek agentlessnek kell lennie.
  • MITTRE ATT&CK ™: Kulcsfontosságú, hogy minden kiberbiztonsági validációs rendszer lépést tartson az ellenfelek technikájával, annak rohamosan fejlődő képességeivel, másként nem biztosítható a releváns ellenőrzés. Elengedhetetlen az ismert és létező fenyegetések gyors validálása és lefedése, annak megértése, hogy mit is kell, hogy ellenőrizzen egy pentesztelő rendszer. Valamint alap elvárás az is, hogy az erre épülő kibervédelmi iparral képes legyen lépést tartani az automatizált pentesztelő megoldásunk.

 

Az alkalmazásba zárt etikus hacker - PenTera

 

Korábbi cikkünkben már bővebben kifejtettük, hogyan lehet egyetlen rendszerbe gyúrva a fenti szempontoknak megfelelő megoldást kialakítani. A kiberbiztonsági kockázat validáció korába értünk, jobb, ha ezt egy automatizált, könnyen menedzselhető rendszerre bízva tesszük, fals riasztások nélkül, egy modern platformon.

 

Ha csak évente egyszer tesztelnél, mert az infrastruktúrád nem indokolja másképp, akkor bízd ránk a feladatot és válaszd teljes körű pentesztelési szolgáltatásunkat sokkal kedvezőbb feltételekkel. A filter:max-on keresztül te is megtapasztalhatod a PenTera minden jóságát és előnyét, ráadásul szakértő kezekben tudhatod az egész folyamatot.

 

Hackerekkel ritkán találkozhatsz, de a PenTera-t már most is megismerheted, a helyedben mindenképpen kérnénk egy  demót az alábbi gombra kattintva.

2020. november

Kérek még több információt!  

A 2021-es Verizon DBIR: fókuszban az adatszivárgás
2021. augusztus

A 2021-es Verizon DBIR: fókuszban az adatszivárgás

Az egyik legfontosabb kiberbiztonsági jelentés, a Verizon Data Breach Investigations Report 2021-ben is hangsúlyozta, hogy az adatszivárgás továbbra is az egyik legjelentősebb paraméter.
Best of filter:max 2020 és IT biztonság 2021
2021. január

Best of filter:max 2020 és IT biztonság 2021

2020-ban a pandémia pillantok alatt átrendezte minden iparág nagyratörő álmait. Milyen elvárásokkal kell szembenézni most, 2021-ben az IT biztonsági területen?
2020 leggyakoribb fenyegetései: DBIR 2020
2020. szeptember

2020 leggyakoribb fenyegetései: DBIR 2020

157 525 incidens, 3950 megerősített adatsértés elemzése: friss adatokkal sokkol, immár 13. alkalommal a Verzion 2020 Data Breach Investigations Report.
Pentera Spycloud Vectra Thycotic FireEye Scirge Forcepoint Opswat Bitdefender Ruckus BigID

Kapcsolatfelvétel üzenet küldése

Iratkozzon fel hírlevelünkre!