Το Malwarebytes έλυσε το σφάλμα «freezing» των συσκευών Windows 7
infosec

Το Malwarebytes έλυσε το σφάλμα «freezing» των συσκευών Windows 7

Η ομάδα του Malwarebytes επιτέλους έδωσε λύση στο σφάλμα που προκαλούσε πάγωμα σε συσκευές Windows 7! Το πρόβλημα εντοπίστηκε νωρίτερα...
Read More
infosec

Κορυφαίες Android VPN εφαρμογές διαρρέουν προσωπικά δεδομένα

Σύμφωνα με μία νέα μελέτη από VPN αξιολογητές, πάνω από 25% των 150 πιο δημοφιλών και δωρεάν VPNs στο Google...
Read More
infosec

Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν

Πρόσφατα κυκλοφόρησε η είδηση, ότι σχεδόν 773 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 21 εκατομμύρια passwords δημοσιεύθηκαν σε ένα φόρουμ hacking....
Read More
infosec

Instagram influencers ανακτούν τα accounts με τη βοήθεια hackers

Οι Instagram influencers που έχουν δει τους λογαριασμούς τους να χακάρονται και τις προσωπικές τους πληροφορίες να εκτίθενται, λένε ότι...
Read More
infosec

Windows 10: Πώς να διορθώσετε το browsing σφάλμα στο Microsoft Edge

Η τελευταία αναβάθμιση που κυκλοφόρησε από τη Microsoft για τα Windows 10 έφερε ένα πρόβλημα, το οποίο παρατηρείται όταν επιχειρεί...
Read More
Latest Posts

Η τέχνη του penetration testing!

penetration testing

Η τέχνη του penetration testing.

Διάβασα κάπου ότι η ασφάλεια μιας πληροφοριακής υποδομής είναι τόσο αποτελεσματική όσο και η μεθοδολογία που υιοθετείται για τον έλεγχο της, το οποίο έχει αρκετά ισχυρή λογική βάση και εξηγεί την στροφή που παρατηρούμε τα τελευταία χρόνια στην αγορά των υπηρεσιών ασφάλειας πληροφοριακών συστημάτων. Το γνωστό σε όλους μας penetration testing, ή αλλιώς όπως αρέσκονται να το αποκαλούν οι περισσότεροι πλέον, ethical hacking, είναι ένας τρόπος μέσω του οποίου μπορούμε να ελέγξουμε την ασφάλεια του δικτύου μας και ενώ δεν είναι κάτι καινούργιο, γίνεται ολοένα και πιο δημοφιλές τα τελευταία χρόνια. Συνηθίζουμε όλο και συχνότερα να αναφέρουμε σε όποιον διεξάγει ελέγχους ασφάλειας υποδομών να σκέφτεται σαν κακόβουλος χρήστης, σαν επιτιθέμενος, σαν hacker το οποίο αποτελεί και την ουσία για έναν αποτελεσματικό penetration testing. Απλά σκέφτεσαι και ενεργείς όπως ένας πραγματικός εισβολέας ο οποίος προσπαθεί να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στο σύστημα που θέλεις να ελέγξεις. Χρησιμοποιούμε κατά κόρον τη συγκεκριμένη μεθοδολογία με τον ίδιο ακριβώς τρόπο που την χρησιμοποιεί και ένας κακόβουλος χρήστης, ελέγχοντας όλες τις ευπάθειες, κρίσιμες και μη, τις οποίες ξερνάνε τα εργαλεία που χρησιμοποιούμε (Burpsuite, Nessus κλπ.) κατά τη διενέργεια ενός ελέγχου για να δούμε αν πράγματι μπορούμε να εκμεταλλευτούμε τις εν λόγω αδυναμίες ή αν είμαστε τελικά ασφαλής.

penetration testing

Ορισμένες εταιρείες προσλαμβάνουν in-house προσωπικό για να διεξάγει ελέγχους ασφάλειας ενώ αρκετές βασίζονται σε εξωτερικούς συμβούλους ασφάλειας. Φυσικά οι περισσότερες εταιρείες αυτή τη στιγμή και όχι μόνο στον ελλαδικό χώρο, δεν πραγματοποιούν ελέγχους ασφάλειας στην εταιρική τους υποδομή είτε γιατί δεν γνωρίζουν ποιοι είναι οι κίνδυνοι που ελλοχεύουν είτε επειδή θεωρούν ότι το penetration testing είναι κάτι αρκετά κοστοβόρο. Οι εταιρείες εκείνες οι οποίες είναι πιστοποιημένες κατά PCI-DSS είναι φυσικά υποχρεωμένες να πραγματοποιούν ελέγχους ασφάλειας ανά τακτά χρονικά διαστήματα. Θα ερωτηθεί κάποιος εύλογα όμως «καλά και τόσες τράπεζες και τόσες μεγάλες εταιρείες πως πέφτουν ακόμη θύματα hacking ενώ έχουν μια ντουζίνα πιστοποιήσεις για την ασφάλεια των υποδομών τους;». Η απάντηση είναι απλή. Αντιμετωπίζουν τον εκάστοτε έλεγχο ασφάλειας ως ακόμη ένα checkbox, χωρίς την παραμικρή καινοτομία στη μεθοδολογία. Είναι απλά κάτι ακόμη που πρέπει να κάνουν – και θα το κάνουν αλλά με την αντίστοιχη όρεξη αλλά και αποτελεσματικότητα 😉 Για να μην αναφερθούμε στην εγκυρότητα αρκετών πιστοποιήσεων εκεί έξω. Φυσικά η μέθοδος του checkbox μπορεί να είναι αποτελεσματική για ένα αρχικό στάδιο ελέγχου ώστε να ελεγχθούν κάποιες μη κρίσιμες ευπάθειες και ίσως κάποια λάθη ανθρώπινης λογικής, δεν αποτελεί όμως οδηγό για έναν εφ’ όλης της ύλης – ουσιαστικό penetration testing.

Σκεφτείτε ξανά λοιπόν όσοι εκεί έξω πιστεύετε ότι η πληροφοριακή σας υποδομή είναι αποτελεσματικά ασφαλής. Πάντα είναι καλό να αναρωτιόμαστε αν και κατά πόσο είμαστε ικανοποιημένοι με τους ελέγχους ασφάλειας που διεξάγουμε, γιατί πάντα ενδέχεται κάτι να μην έχει γίνει όπως πρέπει.

 

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *