Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.10.2019

Skalowalna infrastruktura

Red Hat OpenStack Platform 15
25.10.2019

Cienki klient 2.0

Windows Virtual Desktop
25.10.2019

Nowy sprzęt Microsoftu

Rodzina Surface się powiększa
24.10.2019

Serwery ARM

Oracle stawia na Ampere Computing
24.10.2019

Wszechstronny i elegancki

Dell XPS 15
10.10.2019

CYBERSEC EXPO - największe w...

Bezpieczeństwo cyfrowe nie jest problemem dotyczącym jedynie działów IT. Obecnie stanowi...
30.09.2019

Nowości w wirtualizacji

VMware World 2019
30.09.2019

Bezpieczeństwo mobile-first

Android 10

Wynagrodzenie za włamywanie się

Data publikacji: 24-10-2019 Autor: Magdalena Ziemba

Mimo że architekci zabezpieczeń doskonale znają najlepsze praktyki w branży IT, nieraz brakuje im praktycznej wiedzy, w jaki sposób cyberprzestępcy uzyskują dostęp do firmowych sieci. Aby zwiększyć poziom zabezpieczeń, organizacje coraz częściej zatrudniają tzw. etycznych hakerów, określanych też hakerami w białych kapeluszach lub białych rękawiczkach.

 

Aby uchronić firmę przed działaniem cyberprzestępców, niezbędne jest przeprowadzanie testów posiadanych zabezpieczeń, które polegają na kontrolowanym ataku na system teleinformatyczny i mają sprawdzić stan tego systemu oraz podatność i odporność na zagrożenia zewnętrzne. Etyczni hakerzy na zlecenie organizacji wcielają się w rolę potencjalnego włamywacza i starają się przełamać zabezpieczenia.

ODNALEŹĆ BRAKI

W symulowanych atakach etyczni hakerzy sprawdzają wszystkie dostępne techniki, jakimi mógłby się posłużyć przestępca, by nielegalnie dostać się do systemu lub sieci. Zostają oni upoważnieni przez firmę do testowania sieci i ujawniania wszystkich słabych punktów systemu bezpieczeństwa, by wyprzedzić ataki prawdziwych cyberprzestępców. Firma następnie otrzymuje informacje o znalezionych problemach oraz sposobach ich rozwiązania.

Najlepszym sposobem na znalezienie doświadczonych hakerów jest skorzystanie z programów bug bounty, czyli otwartych konkursów typu „znajdź lukę”. W takich programach każdy może zgłosić wykryte luki w zabezpieczeniach i – po potwierdzeniu, że wskazane braki są istotne – uzyskać nagrodę pieniężną od danej firmy. Bug bounties szczególnie sprawdzają się w przypadku usług dostępnych publicznie, np. stron internetowych i aplikacji mobilnych. Hakerzy w białych rękawiczkach poza premią finansową mają szansę, by przetestować i pokazać swoje umiejętności na forum publicznym. Najpopularniejsze platformy tego typu to HackerOne i BugCrowd.

TESTY PENETRACYJNE

Etyczny haker, działając na zlecenie właścicieli systemu/sieci, musi się dostosować do nałożonych przez nich zasad oraz praw obowiązujących w danym kraju. Potrzebne jest zawarcie umowy dającej mu uprawnienia do przeprowadzenia testu. Muszą być w niej ustalone: rodzaj testu, plan czasowy, zakres działania oraz niezbędne narzędzia.

Głównym zadaniem etycznego hakera jest przeprowadzanie testów penetracyjnych, stąd bywa on też nazywany testerem penetracyjnym lub pentesterem. Istnieją trzy rodzaje testów penetracyjnych:

black box – testujący nie dostaje informacji dotyczących infrastruktury i sieci danej organizacji, dlatego konieczne jest zrobienie dokładnego rozpoznania; to czasochłonny test, a w związku z tym drogi dla zamawiającego, jest więc najrzadziej wykorzystywany;

white box – testujący ma wszystkie potrzebne dane o systemie i aplikacjach; test ten nie symuluje jednak prawdziwego ataku, jest głównie zamawiany do badania aplikacji internetowych;

grey box – testujący otrzymuje tylko część szczegółów o badanej sieci; to najczęściej wybierany rodzaj testu.

Jeśli ma być testowana tylko jedna aplikacja, zwykle wystarczy jeden dzień na zrobienie testu i kilka godzin na sporządzenie raportu. Jeśli zaś zajdzie potrzeba sprawdzenia całego systemu, testy mogą trwać kilka tygodni. Etyczny haker ma prawo do testowania wyłącznie zleconych systemów – zdarzały się już przypadki, gdy zamawiający pozwał do sądu pentestera za niedozwolone logowanie się do systemu. Określony powinien być też używany sprzęt – czasem haker musi podać listę narzędzi, które będą mu potrzebne do przeprowadzenia testu, oraz adres IP, a czasem właściciel systemu dostarcza własne urządzenie do pracy.

 

[...]  

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"