Η τέχνη του penetration testing.
Διάβασα κάπου ότι η ασφάλεια μιας πληροφοριακής υποδομής είναι τόσο αποτελεσματική όσο και η μεθοδολογία που υιοθετείται για τον έλεγχο της, το οποίο έχει αρκετά ισχυρή λογική βάση και εξηγεί την στροφή που παρατηρούμε τα τελευταία χρόνια στην αγορά των υπηρεσιών ασφάλειας πληροφοριακών συστημάτων. Το γνωστό σε όλους μας penetration testing, ή αλλιώς όπως αρέσκονται να το αποκαλούν οι περισσότεροι πλέον, ethical hacking, είναι ένας τρόπος μέσω του οποίου μπορούμε να ελέγξουμε την ασφάλεια του δικτύου μας και ενώ δεν είναι κάτι καινούργιο, γίνεται ολοένα και πιο δημοφιλές τα τελευταία χρόνια. Συνηθίζουμε όλο και συχνότερα να αναφέρουμε σε όποιον διεξάγει ελέγχους ασφάλειας υποδομών να σκέφτεται σαν κακόβουλος χρήστης, σαν επιτιθέμενος, σαν hacker το οποίο αποτελεί και την ουσία για έναν αποτελεσματικό penetration testing. Απλά σκέφτεσαι και ενεργείς όπως ένας πραγματικός εισβολέας ο οποίος προσπαθεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο σύστημα που θέλεις να ελέγξεις. Χρησιμοποιούμε κατά κόρον τη συγκεκριμένη μεθοδολογία με τον ίδιο ακριβώς τρόπο που την χρησιμοποιεί και ένας κακόβουλος χρήστης, ελέγχοντας όλες τις ευπάθειες, κρίσιμες και μη, τις οποίες ξερνάνε τα εργαλεία που χρησιμοποιούμε (Burpsuite, Nessus κλπ.) κατά τη διενέργεια ενός ελέγχου για να δούμε αν πράγματι μπορούμε να εκμεταλλευτούμε τις εν λόγω αδυναμίες ή αν είμαστε τελικά ασφαλής.
Ορισμένες εταιρείες προσλαμβάνουν in-house προσωπικό για να διεξάγει ελέγχους ασφάλειας ενώ αρκετές βασίζονται σε εξωτερικούς συμβούλους ασφάλειας. Φυσικά οι περισσότερες εταιρείες αυτή τη στιγμή και όχι μόνο στον ελλαδικό χώρο, δεν πραγματοποιούν ελέγχους ασφάλειας στην εταιρική τους υποδομή είτε γιατί δεν γνωρίζουν ποιοι είναι οι κίνδυνοι που ελλοχεύουν είτε επειδή θεωρούν ότι το penetration testing είναι κάτι αρκετά κοστοβόρο. Οι εταιρείες εκείνες οι οποίες είναι πιστοποιημένες κατά PCI-DSS είναι φυσικά υποχρεωμένες να πραγματοποιούν ελέγχους ασφάλειας ανά τακτά χρονικά διαστήματα. Θα ερωτηθεί κάποιος εύλογα όμως «καλά και τόσες τράπεζες και τόσες μεγάλες εταιρείες πως πέφτουν ακόμη θύματα hacking ενώ έχουν μια ντουζίνα πιστοποιήσεις για την ασφάλεια των υποδομών τους;». Η απάντηση είναι απλή. Αντιμετωπίζουν τον εκάστοτε έλεγχο ασφάλειας ως ακόμη ένα checkbox, χωρίς την παραμικρή καινοτομία στη μεθοδολογία. Είναι απλά κάτι ακόμη που πρέπει να κάνουν – και θα το κάνουν αλλά με την αντίστοιχη όρεξη αλλά και αποτελεσματικότητα 😉 Για να μην αναφερθούμε στην εγκυρότητα αρκετών πιστοποιήσεων εκεί έξω. Φυσικά η μέθοδος του checkbox μπορεί να είναι αποτελεσματική για ένα αρχικό στάδιο ελέγχου ώστε να ελεγχθούν κάποιες μη κρίσιμες ευπάθειες και ίσως κάποια λάθη ανθρώπινης λογικής, δεν αποτελεί όμως οδηγό για έναν εφ’ όλης της ύλης – ουσιαστικό penetration testing.
Σκεφτείτε ξανά λοιπόν όσοι εκεί έξω πιστεύετε ότι η πληροφοριακή σας υποδομή είναι αποτελεσματικά ασφαλής. Πάντα είναι καλό να αναρωτιόμαστε αν και κατά πόσο είμαστε ικανοποιημένοι με τους ελέγχους ασφάλειας που διεξάγουμε, γιατί πάντα ενδέχεται κάτι να μην έχει γίνει όπως πρέπει.
