Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.05.2020

Cloud Native Universe

Jako patron medialny zapraszamy programistów wdrażających lub integrujących się z dowolną...
26.03.2020

Koniec certyfikatów...

MCSA, MCSD i MCSA
26.03.2020

Odświeżony OS

FortiOS 6.4
26.03.2020

Bezpieczeństwo w chmurze

Cisco SecureX
26.03.2020

Modernizacja IT

Nowości w VMware Tanzu
26.03.2020

Krytyczne zagrożenie dla...

Nowa groźna podatność
26.03.2020

Laptopy dla wymagających

Nowe ThinkPady T, X i L
26.03.2020

Serwerowe ARM-y

Ampere Altra
26.03.2020

Energooszczędny monitor

Philips 243B1

Wynagrodzenie za włamywanie się

Data publikacji: 24-10-2019 Autor: Magdalena Ziemba

Mimo że architekci zabezpieczeń doskonale znają najlepsze praktyki w branży IT, nieraz brakuje im praktycznej wiedzy, w jaki sposób cyberprzestępcy uzyskują dostęp do firmowych sieci. Aby zwiększyć poziom zabezpieczeń, organizacje coraz częściej zatrudniają tzw. etycznych hakerów, określanych też hakerami w białych kapeluszach lub białych rękawiczkach.

 

Aby uchronić firmę przed działaniem cyberprzestępców, niezbędne jest przeprowadzanie testów posiadanych zabezpieczeń, które polegają na kontrolowanym ataku na system teleinformatyczny i mają sprawdzić stan tego systemu oraz podatność i odporność na zagrożenia zewnętrzne. Etyczni hakerzy na zlecenie organizacji wcielają się w rolę potencjalnego włamywacza i starają się przełamać zabezpieczenia.

ODNALEŹĆ BRAKI

W symulowanych atakach etyczni hakerzy sprawdzają wszystkie dostępne techniki, jakimi mógłby się posłużyć przestępca, by nielegalnie dostać się do systemu lub sieci. Zostają oni upoważnieni przez firmę do testowania sieci i ujawniania wszystkich słabych punktów systemu bezpieczeństwa, by wyprzedzić ataki prawdziwych cyberprzestępców. Firma następnie otrzymuje informacje o znalezionych problemach oraz sposobach ich rozwiązania.

Najlepszym sposobem na znalezienie doświadczonych hakerów jest skorzystanie z programów bug bounty, czyli otwartych konkursów typu „znajdź lukę”. W takich programach każdy może zgłosić wykryte luki w zabezpieczeniach i – po potwierdzeniu, że wskazane braki są istotne – uzyskać nagrodę pieniężną od danej firmy. Bug bounties szczególnie sprawdzają się w przypadku usług dostępnych publicznie, np. stron internetowych i aplikacji mobilnych. Hakerzy w białych rękawiczkach poza premią finansową mają szansę, by przetestować i pokazać swoje umiejętności na forum publicznym. Najpopularniejsze platformy tego typu to HackerOne i BugCrowd.

TESTY PENETRACYJNE

Etyczny haker, działając na zlecenie właścicieli systemu/sieci, musi się dostosować do nałożonych przez nich zasad oraz praw obowiązujących w danym kraju. Potrzebne jest zawarcie umowy dającej mu uprawnienia do przeprowadzenia testu. Muszą być w niej ustalone: rodzaj testu, plan czasowy, zakres działania oraz niezbędne narzędzia.

Głównym zadaniem etycznego hakera jest przeprowadzanie testów penetracyjnych, stąd bywa on też nazywany testerem penetracyjnym lub pentesterem. Istnieją trzy rodzaje testów penetracyjnych:

black box – testujący nie dostaje informacji dotyczących infrastruktury i sieci danej organizacji, dlatego konieczne jest zrobienie dokładnego rozpoznania; to czasochłonny test, a w związku z tym drogi dla zamawiającego, jest więc najrzadziej wykorzystywany;

white box – testujący ma wszystkie potrzebne dane o systemie i aplikacjach; test ten nie symuluje jednak prawdziwego ataku, jest głównie zamawiany do badania aplikacji internetowych;

grey box – testujący otrzymuje tylko część szczegółów o badanej sieci; to najczęściej wybierany rodzaj testu.

Jeśli ma być testowana tylko jedna aplikacja, zwykle wystarczy jeden dzień na zrobienie testu i kilka godzin na sporządzenie raportu. Jeśli zaś zajdzie potrzeba sprawdzenia całego systemu, testy mogą trwać kilka tygodni. Etyczny haker ma prawo do testowania wyłącznie zleconych systemów – zdarzały się już przypadki, gdy zamawiający pozwał do sądu pentestera za niedozwolone logowanie się do systemu. Określony powinien być też używany sprzęt – czasem haker musi podać listę narzędzi, które będą mu potrzebne do przeprowadzenia testu, oraz adres IP, a czasem właściciel systemu dostarcza własne urządzenie do pracy.

 

[...]  

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"