Bidegabe Sartzeari Buruzko Proba: Eraso informatiko gidatuaren simulazioa

Bidegabe Sartzeari Buruzko Proba: Eraso informatiko gidatuaren simulazioa
Autore JakinCode · 11/2023 

·  Zibersegurtasuna

Ziberdelinkuentziak erabiltzen dituen teknika berdinen bidez, bidegabe sartzeari buruzko probei esker, pentesting edo hacking etiko ere deitzen zaio, posible izango da frogatzea nolako ahultasuna agertuko luketeen egiazko eraso baten aurrean ordenagailuek, aplikazioek, IoT aktiboek, industria-kontrolerako sistema kritikoek, sareko gailu eta zerbitzuek, baita enpresa batean lan egiten duten langileek ere (gizarte-ingeniaritza).

Pentestinga erakunde bateko informazio-sistemen segurtasuna modu kontrolatuan ebaluatzen duen proba espezializatua da, eta hori gauzatzea funtsezkoa da ahultasunak identifikatzeko, arriskuak murrizteko eta sistema horien segurtasuna modu proaktiboan indartzeko.

Delituan ez erortzeko, proba horiek segurtasun-azterketa horietara jotzen duen erakundearekin behar bezala zehaztutako akordioa lortu ondoren egiten dira, eta egin beharreko ekintzen mugak ezartzen dira probak egiten dituen profesionala informazio-sistema batean sartzen denean bere ahulguneak, bai teknologikoak bai gizakiak, ustiatzeko eta zibererasotzaile batek egingo lukeena zehazki emulatzeko.

Pentestinga tresna bikaina da zibereraso baten biktima izateko aukerak minimizatzeko kontuan hartu behar diren babes-beharrak zehazteko. Segurtasuna ikuspegi erasotzailetik begiratuta (RED TEAM), defentsak asmo kriminalak dituen gertakari erreal baten aurrean nola konprometitu daitezkeen modu paregabean ezagutzen laguntzen duen elementu gisa nabarmentzen da. Modu profesional, seguru eta kontrolatuan gauzatzean, ahultasunak aurki daitezke, eta, azterketa orokorrago baterako, oharkabean pasatuko lirateke.

Bestalde, zibersegurtasunaren arloan ahalik eta konpromiso handiena adierazteko merkatuak duen egungo eskaerak araudi eta estandarren ziurtagiria ematera behartzen ditu enpresak, eta, hori lortzeko, hacking etikoa erabili behar da arlo horretan dagoen kaudimena bermatzen duen neurri gisa.

Pentesting motak

Hainbat pentesting mota daude horiek gauzatzeko adostutako informazio kopuruaren arabera:

  • Kutxa beltzeko pentestinga

Kontratatzaileak emandako informaziorik ez badago (egiaztagiriak, etab.), kutxa beltzeko pentestingaz ari gara. Hau da, probak urratsez urrats erreproduzitu behar du agente maltzur batek kanpotik zibereraso bat ekiteko erabili beharko lukeena.

  • Kutxa zuriko pentestinga

Segurtasun auditoretzaren xede den erakundeak emandako datuak daudenean (IPak, pasahitzak, etab.), kutxa zuriko pentestingaz ari gara. Hau da, probak erakundearen ezagutza zehatz batetik abiatuta egindako eraso baten xede den sistema baten ahultasunen irismena ezagutzeko aukera ematen du.

  • Kutxa griseko pentestinga

Kutxa griseko pentestingari buruz ari gara, baldin eta, informazio osoa izan gabe (aurreko kasuan bezala), baina datu guztiak falta gabe (hemen deskribatutako motetako lehenengoan bezala), sistemara sartzeko maila jakin bat badago eta asmo txarrez erabil badaiteke.

Test de intrusión. Simulacro de ataque informático dirigido.

Metodologiak

Zenbait metodologia ezberdin dauden arren, Penetration Testing Execution Estandar (PTES) eta Open Web Application Security Project (OWASP) oso ezagunak dira sektorean.

Lehenengoak pentesting baten zazpi faseak zehazten ditu:

  1. Aldez aurreko interakzioa (bezeroarekin adostutako planifikazio fasea, irismena, helburuak eta baldiintzak zehazteko).
  2. Informazioaren bilketa (sistema eragileen bertsioa, instalatutako softwarea, atakak, zerbitzuak, langileei buruzko datuak, etab.)
  3. Mehatxuen eredua egitea (ziberkriminal baten ikuspegitik eraso bektoreak identifikatzea)
  4. Ahultasunen azterketa (sistema arriskuan jartzen duten eta datuetara sartzeko edo kodigo maltzurra exekutatzeko aukera ematen duten segurtasun-akatsak aurkitzea)
  5. Ustiapena (atzemandako ahultasunen hackeoa)
  6. Ustiapenaren ondokoa (probatu diren sistemen kontrol jarraitua, pribilegioak eskalatzen jarraitzeko intentzioarekin, alboko mugimenduak egin, etab.)
  7. Txostena (emaitzen dokumentazioa, atzemandako ahultasunak eta horiek arintzeko ekintzak adieraziz)

Bigarrengoa estandarra da web-aplikazioen pentesting-ari dagokionez, eta testuinguru digitalean ugaritzen diren mehatxuen aurka duen sendotasuna ebaluatzen du.

Pentestinga, ahultasunen analisia baino askoz gehiago

Pentesting-a ezinbestekoa da sistema eta sareak eraso informatikoetatik babestu nahi dituen edozein erakunderentzat. Pentestingari esker, gerta daitezkeen arrailak edo akatsak detektatzen dira. Honek, benetako erasotzaileari informazioaren edo baliabideen osotasuna, konfidentzialtasuna edota erabilgarritasuna arriskuan jartzea zailtzen duten neurri zuzentzaileak edo prebentziozkoak hartzea errazten du.

Pentestinga ez da ahultasunak eskaneatzera mugatzen, zehazki horretarako diseinatutako tresnak aplikatuz (adibidez, Nessus). Hain zuzen, hacking etikoaren jarduera profesionala alderdi horretatik haratago doa, hura gauzatzeak, gainera, benetako eraso baten aurrean informazio-sistema baten sendotasuna ebaluatzea ahalbidetzen baitu.

Honi dagokionez, kontuan izan behar da ziberdelinkuentziak ez dituela bere ekintzak soilik exploits ezagunak erabiltzera mugatuko. Teknika berriak etengabe erabiltzen direnez (zibereraso baten definizioa handitzen dute), funtsezkoa da pentesting-lanak egitea erakunde ospetsuek ahultasunei buruz zabaltzen dituzten datu-baseak elikatzen dituen ofizialki ezagutzen den adimenetara mugatzen ez diren profesionalak kontuan hartuta.

Sistemaren larritasuna eta segurtasun-arriskua baloratzea

Sistema baten ahulezietan barneratzeko prozesuari esker, ahuleziak identifikatu eta sailkatu daitezke, nazioartean ezagutzen den Common Vulnerability Scoring System (CVSS) tresnaren arabera. Honek ahultsaunen larritasun-maila ezagutzen laguntzen du, eta, horri esker, mehatxurik kritikoenei modu eraginkorrean lehentasuna eman eta aurre egin daiteke, segurtasun-eten larrienak ixten saiatuz.

Nabarmendu behar da aipatu berri dugun adierazleak gizakien segurtasuna kontuan hartzen duten metrikak jasotzen dituela azken 4.0 bertsioan, eta hori ez dela txertatu duten berrikuntza bakarra. Lantzen ari garen gaiarekin zuzeneko lotura duena ustiapenerako metrika berri bat da, ERASO BALDINTZAK (AT) izenekoa. Honek kontuan hartzen ditu eraso maltzurra ahalbidetzen duten hedatze- eta gauzatze-baldintzak, eta alderdi hori oso interesgarria da pentestingari dagokienez.

JakinCoderen segurtasun auditoretza eta bidegabe sartzeari buruzko proba

JakinCode- eskaintzen dituen bezalako zerbitzu profesionalen bidez, legezko arauak eta etikoak erabat errespetatzen eta aitortzen dituzten metodologietan oinarrituta, erakundeek etengabeko eboluzioan dauden mehatxu digitalen aurrean erresilientzia areagotu dezakete. Era berean, JakinCode-k pentestinga neurria diseina dezake hala eskatzen duten bezeroen beharren arabera, ahultasun teknikoekin lotuta egon beharrik gabe. Aipatu berri denaren adibide bat legeak betetzea ebaluazioa da.Baimenik gabeko sistema batean sartzea legez kontrakoa da; beraz, JakinCode-k kontratu bidez ezartzen ditu bidegabe sartzeari buruzko probarako baldintzak proba egin aurretik. Horregatik, alderdi teknikoaz gain, alderdi juridikoa ere kontuan hartu behar da, sistema batean sartzeko beharrezkoa baita titularren baimena definitzen duten klausulak ezartzea. Pentestinga egiteko ardura duen pertsonak ezin izango ditu inolaz ere bere onurarako erabili lanean erabiltzen dituen datuak, ez eta bere zerbitzuak eskatzen dituen erakundeari kalterik egin ere.

JakinCode zibergaizkileek erabil litzaketen ahulguneak identifikatzen ditu eta balizko ziberreraso batekin lotutako arriskuak gutxitu edo ezabatzen ditu

Harremanetan jarri chevron_right

Lotutako artikuluak

  • Zer dira Ekorketa Elektronikoak edo TSCM

Zer dira Ekorketa Elektronikoak edo TSCM

10/2024

  • GRC enpresa baten segurtasuna eraginkortasunez kudeatzeko

GRC enpresa baten segurtasuna eraginkortasunez kudeatzeko

09/2024

  • Zibersegurtasun-Ziurtagiri nagusiak

Zibersegurtasun-Ziurtagiri nagusiak

08/2024

  • Nola babestu nire informazio-aktiboak ransomwaretik eraginkortasunez

Nola babestu nire informazio-aktiboak ransomwaretik eraginkortasunez

07/2024