Συχνά οι έννοιες του ελέγχου ευπαθειών και του Penetration testing συγχέονται . O έλεγχος ευπαθειών δεν μπορεί να αντικαταστήσει τη σπουδαιότητα του Penetration testing, ενώ το Penetration testing από μόνο του δεν μπορεί να διασφαλίσει την ακεραιότητα του δικτύου μιας εταιρείας. Δεν είναι σπάνιες οι περιπτώσεις όπου ανώτερα στελέχη οργανισμών ζητούν Penetration Testing, ενώ στην πραγματικότητα αναζητούν έλεγχο ευπαθειών και αντίστροφα. Αυτό έχει ως αποτέλεσμα τα συμπεράσματα των ελέγχων τις περισσότερες φορές να είναι παραπλανητικά.

Penetration Testing VS Έλεγχος ευπαθειών

To Penetration testing εκμεταλλεύεται τρωτά σημεία στην αρχιτεκτονική ενός συστήματος. Σε αντίθεση ο έλεγχος ευπαθειών σαρώνει για γνωστές ευπάθειες δημιουργώντας μία αναφορά σχετικά με το επίπεδο έκθεσης κινδύνου του δικτύου. Και οι δύο μέθοδοι είναι εξίσου σημαντικές. για τον καθορισμό του επιπέδου κυβερνοασφάλειας ενός οργανισμού. Για το λόγο αυτό η εφαρμογή τους είναι απαιτητή από διεθνή πρότυπα ασφάλειας όπως το PCI, HIPPA, ISO 27001, κλπ.

Penetration Testing

Το πεδίο εφαρμογής του Penetration testing είναι σαφές και στοχευμένο, ενώ πάντοτε λαμβάνεται υπόψη και ο ανθρώπινος παράγοντας. Δεν υπάρχει αυτοματοποιημένο Penetration testing – αν και κάποιοι υποστηρίζουν το αντίθετο. H διεξαγωγή του απαιτεί, αφενός τη χρήση εργαλείων, αφετέρου την παρουσία ενός εξαιρετικά καταρτισμένου και πεπειραμένου ατόμου , το οποίο θα πραγματοποιήσει το τεστ.

Το Penetration Testing ή Pentest είναι η διαδικασία ενός ηθικού χάκερ, ο οποίος αξιολογεί μία περιοχή συστήματος με σκοπό να αποκαλύψει και να εκμεταλλευτεί τα τρωτά του σημεία . Στόχος της διαδικασίας είναι να αποκτήσει μη εξουσιοδοτημένη πρόσβαση , μιμούμενος τον τρόπο δράσης ενός κακόβουλου εισβολέα.

Το Pentest διεξάγεται σε επίπεδο εφαρμογών ή ακόμη και δικτύου αλλά στοχοποιημένο σε κάποια λειτουργία , τμήμα ή αριθμό περιουσιακών στοιχείων. Θα μπορούσε να περιλαμβάνει ολόκληρη την υποδομή αλλά αυτό δεν είναι πρακτικό από πλευράς κόστους και χρόνου.

Τα Penetration testigs απαιτούν υψηλή εξειδίκευση και γι ‘αυτό και το κόστος τους είναι υψηλό. Οι διεξαγωγείς των ελέγχων συχνά εκμεταλλεύονται τις νεότερες ευπάθειες συστημάτων και εφαρμογών ή εντοπίζουν τρωτά σημεία που δεν είναι ευρέως γνωστά στις συνήθεις επιχειρηματικές διαδικασίες. Η διάρκεια τους κυμαίνεται από μέρες έως μερικές εβδομάδες. Συχνά διεξάγονται μια φορά το χρόνο και τα συμπεράσματα που εξάγονται από αυτά είναι σύντομα και συγκεκριμένα. Η διεξαγωγή ενός Penetration testing τις περισσότερες φορές προκαλεί διακοπή της κανονικής επιχειρησιακής λειτουργίας ενός οργανισμού.

Penetration testing tools
Εργαλεία Penetration testing

Ένα Pentest τις περισσότερες φορές χωρίζεται στις ακόλουθες φάσεις:

  • Αναγνώριση
  • Σάρωση και απαρίθμηση τρωτών σημείων
  • Εκμετάλλευση τρωτών σημείων (απόκτηση πρόσβασης)
  • Εν συνεχεία εκμετάλλευση τρωτών σημείων (διατήρηση πρόσβασης)
  • Απόκρυψη στοιχείων μη εξουσιοδοτημένης πρόσβασης

Η διενέργεια των Pentest για τους οργανισμούς αποτελεί σημαντικό εργαλείο για την επίτευξή πολλών στόχων οι οποίοι υπερβαίνουν τον γενικότερο σκοπό της βελτίωσης του επιπέδου ασφάλειας των συστημάτων τους. Οι πιο συνήθεις λόγοι και περιστάσεις για την πραγματοποίηση ενός Pentest είναι οι εξής:

Κυκλοφορία νέας εφαρμογής

Η διενέργεια ενός Pentest διεξάγεται ως μέρος της διαδικασίας ανάπτυξης του λογισμικού για την αποκάλυψη των υφιστάμενων τρωτών σημείων. Απώτερος στόχος είναι η εξοικονόμηση χρόνου και χρήματος, από την εύρεση και επιδιόρθωση των τρωτών σημείων του προϊόντος στα πρώτα στάδια της ανάπτυξής, προτού κυκλοφορήσει στον τελικό χρήστη.

Σημαντική αλλαγή/αναβάθμιση δικτύων ή εφαρμογών

Η διενέργεια ενός Pentest σε ετήσια ή εξαμηνιαία βάση αποτελεί ενδεδειγμένη πρακτική ασφαλείας για να παραμείνει ένας οργανισμός ενημερωμένος για τυχόν νέες ευπάθειες που μπορεί να προκύψουν από αναβαθμίσεις ή αλλαγές των συστημάτων ή εφαρμογών που χρησιμοποιεί.

Ανάγκες Συμμόρφωσης του Οργανισμού

Το Pentest μπορεί να διεξαχθεί με στόχο την τήρηση ορισμένων προτύπων συμμόρφωσης που έχουν απαιτήσεις για τη διεξαγωγή Penetration testing ανά τακτά χρονικά διαστήματα. Ανάλογα με το είδος των δεδομένων που επεξεργάζεται ή αποθηκεύει ένας οργανισμός, ενδέχεται να απαιτείται η τήρηση διαφορετικών κανονισμών συμμόρφωσης (π.χ. PCI DSS, HIPAA, GDPR). Ορισμένοι από αυτούς απαιτούν την πραγματοποίηση Penetration testing για την αντιμετώπιση των κινδύνων και της πιθανής έκθεσης ασφαλείας που μπορεί να έχει ένας οργανισμός ή τα φυσικά πρόσωπα των οποίων τα δεδομένα κατέχει.

Μετά από μια παραβίαση ή διαρροή

Αυτό είναι ίσως ο χειρότερος λόγος για τη διεξαγωγή ενός pentest αλλά δυστυχώς και ο πιο κοινός. Ο εκάστοτε οργανισμός διεξάγει penetration testing στην προσπάθεια του να αποτρέψει την μελλοντική εμφάνιση παρόμοιων περιστατικών. Ο στόχος εδώ είναι να αποκαλυφθούν τυχόν επιπλέον υπάρχοντα τρωτά σημεία και κενά , αφού ήδη γνωρίζει καλά ότι υπάρχουν ελλείψεις.

Έλεγχος ευπαθειών

Ο έλεγχος ευπαθειών είναι η διαδικασία εντοπισμού απειλών και τρωτών σημείων σε έναν στόχο χρησιμοποιώντας αυτοματοποιημένα συστήματα και εφαρμογές σάρωσης ευπαθειών. Αυτό περιλαμβάνει μερικές φορές μια σειρά χειρωνακτικών ελέγχων με επιπλέον εργαλεία για την περαιτέρω αξιολόγηση της ασφάλειας των εφαρμογών ή δικτύων και την επαλήθευση των τρωτών σημείων που εντοπίστηκαν από τις εφαρμογές σάρωσης. Δεν εκμεταλλεύεται τις ευπάθειες απλά τις αναγνωρίζει. Ο έλεγχος ευπαθειών διεξάγεται σε επίπεδο οργανισμού και απαιτεί την χρήση αυτοματοποιημένων εργαλείων για την διαχείριση μεγάλου αριθμού περιουσιακών στοιχείων.Το πεδίο εφαρμογής του είναι ευρύτερο από εκείνο του Penetration testing. Η αποτελεσματική διεξαγωγή του απαιτεί γνώση των προδιαγραφών των υλικών που αποτελούν το δίκτυο.

Συνήθως πραγματοποιείται από τους διαχειριστές του δικτύου ή προσωπικό ασφαλείας με καλή γνώση του δικτύου. Οι έλεγχοι ευπαθειών θα πρέπει να αποτελούν μέρος μιας συχνής και συνεχής διαδικασία για την συνεχή παρακολούθηση και τον εντοπισμό αδυναμιών σε έναν οργανισμό και τη μείωση των πιθανών σημείων επίθεσης. Το κόστος ενός ελέγχου ευπαθειών είναι σχετικά χαμηλός σε σύγκριση με το κόστος ενός Penetration testing. O έλεγχος ευπαθειών αποτελεί μέσο ανίχνευσης σε αντίθεση με το Penetration testing που έχει χαρακτήρα πρόληψης.

Έλεγχος ευπαθειών συστημάτων

Οι πιο συνήθεις λόγοι και περιστάσεις για την πραγματοποίηση ενός έλέγχου ευπαθειών είναι οι εξής:

Δημοσιοποίηση νέων ευπαθειών

Μετά την δημοσιοποίηση νέων ευπαθειών αποτελεί ορθή πρακτική η διεξαγωγή ενός ελέγχου ευπαθειών. Με τον τρόπο αυτό καθορίζεται το πιθανό επίπεδο επηρεασμού των υποδομών ενός οργανισμού από την καινούργια ευπάθεια καθώς και αν απαιτείται η λήψη επιπλέον μέτρων.

Υλοποίηση προγράμματος διαχείρισης ευπαθειών

Η ασφάλεια εφαρμογών και η διαχείριση των ενημερώσεων κώδικα είναι μια συνεχής διαδικασία μέσα σε ένα καλό πρόγραμμα διαχείρισης ευπαθειών. Αυτό περιλαμβάνει τη σάρωση των εφαρμογών και δικτύων για την ανίχνευση αδυναμιών και επιδιορθώσεων που πρέπει να εφαρμοστούν. Το σύνολο του προγράμματος θα πρέπει να είναι κυκλικό, γεγονός που απαιτεί εκτιμήσεις ευπαθειών σε μηνιαία, τριμηνιαία ή ετήσια βάση.

Μετά από μια παραβίαση ή διαρροή

Αυτό συγκαταλέγεται στην ίδια περίπτωση με την εκτέλεση ενός pentest μετά από μια παραβίαση ή διαρροή. Θα πρέπει να ξεκινήσει μια αξιολόγηση τρωτότητας για την αποκάλυψη πιθανών αδυναμιών που εξακολουθούν να υπάρχουν εντός του οργανισμού για να αποφευχθεί η μελλοντική εμφάνιση παρόμοιας επίθεσης.

Εν κατακλείδι

Τόσο ο έλεγχος ευπαθειών όσο και το Penetration testing μπορούν να τροφοδοτήσουν τη διαδικασία ανάλυσης κινδύνου του κυβερνοχώρου. Βοηθούν στον προσδιορισμό των ελέγχων που ταιριάζουν καλύτερα στον οργανισμό, το τμήμα ή τις διαδικασίες σας. Απαιτείται συνδυασμός και των δύο μεθόδων για την ελαχιστοποίηση των κινδύνων του κυβερνοχώρου. Είναι πολύ σημαντικό να γνωρίζουμε τα διαφορετικά πεδία εφαρμογής τους καθώς και τα αποτελέσματα που παράγει η κάθε μέθοδος .

Σημαντικός παράγοντας, ο οποίος συχνά αμελείται, είναι η εκπαίδευση του προσωπικού. Το να παρέχεις εργαλεία ελέγχου στο προσωπικό ασφαλείας χωρίς την απαιτούμενη εκπαίδευση οδηγεί στην δημιουργία ενός ανασφαλούς περιβάλλοντος. Η έλλειψη γνώσης σχετικά με τη σωστή χρήση ενός εργαλείου εγκυμονεί σοβαρούς κίνδυνους . Η σε βάθος γνώση του προσωπικού των εργαλείων ασφαλείας θα επιτρέψει στον οργανισμό σας να βελτιώσει, την απόδοση της επένδυσης του, την δημόσια εικόνα του αναφορικά με το επίπεδο ασφάλειας των πληροφοριακών του υποδομών και να μειώσει τους πόρους και τον χρόνου που σπαταλά για την αντιμετώπιση περιττών προβλημάτων .

Έχετε αναρωτηθεί αν ο δικός σας Οργανισμός πρέπει να ελέγξει το επίπεδο της ασφάλειας του;