Testování penetrace pro zajištění bezpečnosti vaší sítě

Většina IT odborníků se může dostat přes kterýkoli daný den za předpokladu, že jejich sítě jsou chráněny před hackery. Pokud jste mezi těmi, pak jste pravděpodobně spokojeni, že jsou všechny základy zavedeny tak, aby se náhodný sociopath nemohl jen přihlásit do vaší sítě, vyloupit vaše důležité informace, možná zasadit nějaký malware, a pak odejít. Otázka zní: Jste si jisti?

Jediným způsobem, jak zajistit, aby byla vaše síť skutečně chráněna, je otestovat ji. Musíte si být jisti, že vaše operační systémy (operační systémy) jsou aktuální, že byly použity všechny správné aplikační záplaty a že ve vaší síti nemáte žádné snadno porušené vstupní body. To je kromě praktického návrhu sítě, který lidem umožňuje přístup pouze k tomu, k čemu mají přistupovat, a to je řádně rozděleno tak, aby někdo, kdo poruší váš obvod, nemohl udělat nic špatného.

Stručně řečeno, musíte se dostat hacknuti, abyste věděli, kde jsou vaše slabiny, a pak musíte opravit to, co tito (doufejme) hackeři z bílého klobouku našli. Hackeři z bílého klobouku jsou ti, na které se obrátíte, když chcete vyzkoušet kvalitu vaší síťové ochrany bez zapojení skutečných padouchů nebo hackerů s černým kloboukem. Hackeři z bílého klobouku zkoušejí obranu vaší sítě jakýmkoli způsobem, hodnotí a zaznamenávají vaši bezpečnost. To se nazývá penetrační testování nebo „penové testování“ a to, co si mnozí IT profesionálové neuvědomují, je, že nemusíte okamžitě najmout drahého profesionála, aby to udělal. Základy penetračního testu můžete začít sami.

Nejvyšší prioritní úkoly pro odborníky v oblasti IT a bezpečnosti v roce 2018

(Obrazový kredit: Statista)

„Nejdůležitější věcí je hodnocení zranitelnosti, hodnocení rizik, “ řekla Georgia Weidman, autorka Penetration Testing: Praktický úvod do hackingu . Weidman je také zakladatelem a hlavním technologickým ředitelem (CTO) bezpečnostní společnosti Shevirah, která se specializuje na penetrační testování. "Ti jsou přehlíženi. Společnosti ztrácí spoustu peněz na penetračních testech, když mají základní zranitelnost." Řekla, že první věc, kterou by organizace měla udělat, je provést základní testování zranitelnosti a poté opravit chyby před přechodem na penetrační testování. „Penetrační testování by nemělo být tvůj první krok, “ řekla.

Weidman také navrhl zajistit, aby vaše společnost podnikla první kroky v povědomí o bezpečnosti, včetně školení o phishingu a sociálním inženýrství. Poukázala na to, že nejbezpečnější síť může být stále proniknuta, pokud někdo rozdá pověření pro získání přístupu. To jsou všechno věci, které by dobrý tester penetrace zkontroloval před zahájením jakéhokoli skutečného testování.

„Pokud mají zájem o to, jak dobře jsou jejich zaměstnanci vyškoleni pro bezpečnostní povědomí, pak si připravte vlastní test phishingu, “ řekl Weidman. "Nemusíte za to někoho platit, a je to jeden z největších způsobů, jak se lidé dostanou dovnitř." Řekla také, že používá phishing prostřednictvím textových zpráv a sociálních médií.

Otestujte svá hesla

Weidman řekl, že dalším krokem je otestování hesel a schopností správy vaší organizace. „Stáhněte si hash hesel ve službě Active Directory a otestujte je pomocí testerů hesel. To je něco, co děláme v penetračním testování, “ řekla.

Podle Weidmana mezi důležité nástroje pro testování hesel patří Hashcat a John The Ripper Password Cracker, o nichž tvrdí, že se běžně používají při penetračním testování. Řekla, že kromě kontroly hesel z Microsoft Azure Active Directory mohou být také čichána v síti pomocí analyzátoru síťového protokolu, jako je Wireshark. Cílem je zajistit, aby vaši uživatelé pro svá přihlašovací jména nepoužívali snadno uhodnutá hesla, například „heslo“.

Při zkoumání síťového provozu byste měli hledat rozlišení názvu místního vícesměrového vysílání (LLMNR) a pokud je to možné, ujistěte se, že je zakázán. Weidman řekl, že pomocí LLMNR můžete zachytit hashe hesla. „Poslouchám na síti a získám hashe a pak je rozlomím, “ řekla.

Ověřte své stroje

Weidman řekla, že jakmile rozbije hesla, použije je k ověření pomocí počítačů v síti. „Mohl by tu být místní správce, protože všichni byli stejní, “ řekla. "Doufejme, že existuje administrátor domény."

Jakmile Weidman získá pověření správce, může je použít k tomu, aby se dostala do tajných oblastí na počítači. Řekla, že někdy existuje sekundární ověřování, takže by také musela tato hesla prolomit.

Weidman řekl, že pokud provádíte vlastní penetrační testování, měli byste být opatrní. „Když dělám penetrační testování, nemůžu nic zlomit, “ řekla a dodala: „Není stoprocentní jistota, že se nic nepovede špatně.“

Vyhněte se stahování malwaru

Weidman uvedla, že jedním z velmi užitečných nástrojů pro penetrační testování je bezplatná edice Metasploit, ale varuje před stažením zneužití z internetu, protože by také mohla obsahovat malware. „Nenapadněte se náhodou, “ varovala. Řekla, že exploitace poskytované pro testování často obsahují malware, který na vás zaútočí.

• Nejlepší správci hesel pro rok 2019 Nejlepší správci hesel pro rok 2019
• Nejlepší software pro odstraňování a ochranu malwaru pro rok 2019 Nejlepší software pro odstraňování a ochranu malwaru pro rok 2019
• Nejlepší ochrana Ransomware pro firmy za rok 2019 Nejlepší ochrana Ransomware pro firmy za rok 2019

Společnost Microsoft mimochodem také poskytuje nástroj pro hodnocení zranitelností pro systém Windows nazvaný Microsoft Security Compliance Toolkit v1.0, který podporuje Microsoft Windows 10, Windows Server 2012R2 a Office 2016.

Weidman varuje před tím, aby si myslel, že penetrace je nějaký druh temné magie. Řekla, že místo toho je důležité nejprve pokrýt základy. „Každý skočí na penetrační testování, protože má sexy jméno, “ řekla. "Ale je velmi důležité najít ovoce s nízkým zavěšením a opravit ho jako první."