PEN TESTING: DA LI JE VREME ZA NAPAD NA SEBE?

Bezbednost | Business&IT | Business&IT-br.14

Okretanje kompanija od defanzivnog ka ofanzivnom pristupu bezbednosti sistema u prvi plan stavlja pen testere, koji postaju prva i najbitnija linija odbrane.

Globalno cyber security tržište dostiglo je na početku 2019. godine vrednost od 131,3 milijarde američkih dolara, izdvajajući se kao jedan od najvećih tehnoloških sektora. Vrednost ovog tržišta beleži godišnju stopu rasta od 48% i očekuje se da do 2026. dostigne vrednost od čitavih 289,8 milijardi dolara.

Kompanije i pojedinci nikada nisu bili izloženiji cyber napadima. Broj napada koji se događaju na dnevnom nivou raste eksponencijalno, a isto važi i za njihovu raznovrsnost. Samo u prvih devet meseci 2019. godine zabeležena su 5.183 „uspešna“ napada, koji su rezultirali kompromitovanjem 7,9 milijardi zapisa podataka. Ukupna šteta od cyber napada dostići će 2021. godine 6 milijardi dolara.

Pored ogromnih finansijskih gubitaka koji su posledica cyber napada, oslanjanje na compliance stvara lažnu sliku o bezbednosti unutar kompanija. Istraživanje o cyber napadima koje je sproveo IBM security pokazuje da je u 2019. godini kompaniji bilo potrebno prosečno 6 meseci da identifikuje prodor, a da je 95% svih bezbednosnih propusta prouzrokovano ljudskom greškom.

Ko je u opasnosti?

Razumevanje top menadžmenta o ranjivosti na nivou kompanije, o važnosti pen testiranja (penetration testing) i proaktivnog pristupa sprečavanju sigurnosnih proboja faktor je koji će presudno oblikovati digitalne kompanije u bliskoj budućnosti.

Ipak, i pored sigurnosnih proboja koji se događaju svakodnevno i gubitaka koji usled njih nastaju, vlasnici malih i srednjih kompanija i dalje se vode geslom „Neće baš nas.“ Iako postoji više razloga zbog kojih oni misle da njihove kompanije napadačima i nisu tako interesantne, praksa pokazuje da je situacija sasvim drugačija.

Osnovni razlog zbog kog vlasnici malih i srednjih preduzeća žive u uverenju da nisu na meti napadača je to što smatraju da oni ne poseduju informacije koje su napadačima od značaja, a ovakvo razmišljanje posledica je prakse da se u javnosti gotovo isključivo govori o sigurnosnim probojima koje su doživele velike kompanije. Međutim, mali i srednji biznisi i te kako poseduju informacije i podatke koji su napadačima interesantni. Kao i velike kompanije, i oni prikupljaju informacije svojih korisnika, svojih zaposlenih ili koriste bankarske sisteme koji su za napadače uvek atraktivna meta.

Pen testiranje kao imperativ

Kao najveća prednost evolucije iz defanzivnog u ofanzivni security izdvaja se mogućnost kompanija da koriste crowd source znanje koje im je ranije bilo nedostupno. Okretanje kompanija ofanzivnom pristupu bezbednosti u prvi plan stavlja penetration testere, koji postaju prva i najbitnija linija odbrane.

U većini kompanija zaštita se danas zasniva uglavnom na korišćenju antivirus softvera, što predstavlja defanzivni pristup bezbednosti. Penetration testeri trenirani su da idu korak dalje. Stavljajući se u ulogu napadača i koristeći pojedine open-source alate, testeri oponašaju napade koji bi mogli predstavljati realnu opasnost za kompanije.

Nedostatak security profesionalaca na globalnom nivou odražava se, takođe, i na srpskom i širem regionalnom tržištu. Uz to, porast broja tehnoloških kompanija na domaćem tržištu generiše ogroman obim posla za security inženjere, koji ne mogu da zadovolje toliku potražnju. Pored problema u vidu nedostatka ljudstva, obim podataka koji danas cirkulišu prevazilazi mogućnosti za kontinuiran monitoring sistema, koji je imperativ penetration testera u cilju pronalaženja ranjivosti. Kako bi se prevazišla ova dva izazova, kao jedino rešenje nameće se automatizacija procesa pen testiranja.

Security kompanije koje su razvile ili razvijaju alate koji služe za automatizaciju procesa pen testiranja shvatile su automatizaciju ovog procesa kao prirodnu evoluciju i jedini način da kompanije u budućnosti ostanu bezbedne. Nemogućnost kontinuiranog praćenja sistema, korišćenja crowd-sourced znanja i učenja iz prethodnog iskustva usled loše strukturiranih izveštaja problemi su koji se mogu rešiti isključivo korišćenjem sveobuhvatnih i skalabilnih alata korišćenih od strane penetration testera.

Trickest metodologija

Eksponencijalni rast obima podataka koji se prikupljaju, čuvaju i obrađuju zahteva sistematičan pristup i konstantan monitoring, što je dovelo do toga da manuelna obrada podataka i neskalabilna rešenja više ne zadovoljavaju potrebe tržišta. Metodologija kojom kompanija Trickest pristupa svojim klijentima razvijena je kroz dugogodišnje iskustvo testiranja bezbednosti najvećih svetskih kompanija, kao što su GitHub, Snapchat, PayPal, Uber i Twitter kroz bug bounty programe. Zasniva se na paketu usluga koje klijentima obezbeđuju sveobuhvatan uvid u bezbednosne propuste, predlog rešenja, kao i potencijalni trening za zaposlene, koji u toku svog rada mogu u velikoj meri da povećaju ukupnu bezbednost organizacije.

Prvi korak u procesu penetration testiranja predstavlja prikupljanje informacija od strane Trickest inženjera. Cilj penetration testera i data inženjera u ovoj fazi je razumevanje sistema i okruženja. Sledeća faza podrazumeva pristupanje infrastrukturi i identifikovanje potencijalnih ranjivosti. Ova faza pravi razliku između ofanzivnog i defanzivnog pristupa bezbednosti. U toku ove faze inženjer pristupa napadu iz perspektive napadača, bez prethodnog znanja i uvida u mrežu, a za cilj ima da ukaže na realne ranjivosti koje eksterni napadač može da pronađe. Koristeći podatke prikupljene u prethodnim fazama, razvija se plan napada.

Takav napad za cilj ima pristup sistemu ili podacima organizacije, a plan i egzekucija prilagođavaju se svakoj organizaciji ponaosob. Nakon inicijalnog pristupa vrši se niz modifikacija napada, koje za cilj imaju da napad učine malicioznim i pronađu dodatne propuste. U toku napada prikupljaju se i čuvaju svi pronađeni propusti, koji služe za generisanje izveštaja koji se klijentu isporučuje kao sveobuhvatan prikaz rezultata istraživanja. Pored pronađenih propusta, izveštaj sadrži i predloge rešenja problema, kao i metode implementacije istih.

Poslednja, ali ne manje važna faza u okviru kompleksnog penetration testing procesa predviđa mogućnost da Trickest inženjeri održe trening za zaposlene, tokom kojeg ih upoznaju sa rezultatima testa i daju smernice za otklanjanje propusta.

Saradnjom do bolje sigurnosti

Kompanije COMING i Trickest započinju zajedničku saradnju kako bi korisnicima omogućile pružanje sveobuhvatne procene bezbednosti. Procena bezbednosti podrazumeva detaljnu analizu, kako ranjivosti aplikacija, tako i propusta na samoj IT infrastrukturi. Pregledom da li su ispoštovane dobre prakse za konfiguracije uređaja, dodelu prava pristupa i monitoringa sistema utvrđuje se rizik kojem je kompanija izložena. Ovom saradnjom dobija se red team / blue team analiza, koja predstavlja optimalnu varijantu penetration testa, pošto jedina može dati kompletnu sliku stanja sistema.

Nenad Zarić
Trickest
trickest.com

0 %s Comments

Prosledi komentar

Vaša adresa e-pošte neće biti objavljena.

Najnoviji

Novi-NetApp-proizvodi
30th oktobar 2023,,

Novi NetApp proizvodi

Da li su vam već poznati novi NetApp sistemi C-serije, sa QLC Flash tipom ...
Detaljnije
Veštačka-inteligencija-u-našim-rukama
30th oktobar 2023,,

Veštačka inteligencija u

Broj oblasti u kojima se eksperimentiše sa različitim dostignućima veštačke ...
Detaljnije
Azure-Active-Directory--postaje-Entra-ID
30th oktobar 2023,,

Azure Active Directory

Azure Active Directory je sada Entra ID. I premda većina korisnika ovu promenu ...
Detaljnije
Transformacija-tehničkog-duga--pomoću-DevOps-tehnologija
30th oktobar 2023,,

Transformacija tehničkog duga

Najveću opasnost za organizacije ne predstavlja samo postojanje tehničkog duga, ...
Detaljnije