X
Število kibernetskih napadov se je v zadnjem letu podvojilo. Vas zanima, kako se jim lahko izognete? Postanite del naše skupnosti.
In the last year, the number of cyberattacks doubled compared to the year before. Do you want to repel potential threats? Join our community.
  • Skip to primary navigation
  • Skip to main content
  • Skip to footer
Carbonsec – Cybersecurity Consultancy Services Company

Carbonsec - Cybersecurity Consultancy Services Company

Cybersecurity services for businesses to be hackerproof, because it sucks to waste unnecessary time dealing with cyber criminals instead of focusing on business.

  • Storitve
    • DDoS test
    • Penetracijski test
    • Red Teaming
    • SCADA sistemi – varnostni pregled
    • Varnostno svetovanje
    • Varnostna analiza izvorne kode
  • Rešitve
    • Pentera – avtomatizirano penetracijsko testiranje
    • Simulacija napadov po e-pošti
    • Simulacija vdora in napada
    • Brezplačna orodja
  • Izobraževanje
    • Ozaveščanje uporabnikov
    • Varnost za programerje
    • Purple Team coaching
  • Novice
    • Novice
    • Blog
  • Podjetje
    • O nas
    • Ožja ekipa
    • Zaposlitev
    • Partnerji
  • Kontakt
  • ENG
  • Email
  • Facebook
  • LinkedIn

Kibernetska vojna narekuje avtomatizirano vdorno testiranje

Avtomatizirano vdorno testiranje omogoča redno testiranje in potrjevanje kibernetske varnosti in odpravljanje relevantnih ranljivosti.

13. junija, 2022 by Ana Bokalič

Kibernetska vojna v ozadju ukrajinske vojne je premešala karte na področju upravljanja kibernetske varnosti, kjer vedno večji pomen pridobiva avtomatizirano vdorno testiranje. Zavedanje, da se v vsakem trenutku v poslovnem omrežju lahko pojavi zamaskiran napadalec in za nameček ostane skrit, je prebudila željo in nujo po trdnejši obrambi in usposobljenih odzivnih centrih.

S tem je povezano tudi preverjanje učinkovitosti odzivnega centra in stanja kibernetske varnosti v organizaciji ter njeno neprestano izboljševanje. O tem, da že dolgo ne zadoščajo več letni vdorni testi, smo pisali v blogu Kibernetska varnost 2021 – človek ali stroj? Verjetno je zdaj tudi že vsem jasno, da pri tem vprašanju ne gre za odnos »ali-ali«, temveč za »in«. Človek – pentester ali član ekipe v odzivnem centru – morata sodelovati z orodji z umetno inteligenco, če želimo uspešno odbijati dnevne poskuse napadov.

Vdorni test pokaže realno sliko na določen presečni dan – kaj pa jutri?

Naj se vrnem k predpostavki, da so podjetja tradicionalno penetracijske teste izvajala enkrat letno. Kaj to pomeni v kontekstu današnje kibernetske varnosti?

Denimo, da je bil danes v vašem podjetju zaključen dvotedenski projekt vdornega testiranja. Pentesterji so odlično opravili svoje delo. Našli so eno kritično ranljivost, dve ranljivosti z oznako visoko, tri srednje in pet informativnih. V poročilu so vam napisali tudi priporočila, kako te ranljivosti odpraviti. Specifičnih navodil za odpravo niso napisali, ker morate odpravljanje izvesti glede na specifike vaše arhitekture in v dogovoru z zunanjimi ponudniki storitev. Zaključnega sestanka je konec, jutri se začnete pogovarjati o časovnici za odpravo ranljivosti. Po naših izkušnjah se čas za odpravo ranljivosti meri v mesecih.

Poglejmo še na stran ranljivosti. V letu 2021 je bilo zabeleženih 20.168 ranljivosti z oznako CVE, kar pomeni 55 ranljivosti na dan. Letos jih je bilo v prvih petih mesecih več kot 10 tisoč, torej bomo do konca leta ponovno dosegli rekord.

Vulnerability growth year over year
Število CVE po letih (Vir: CVE Details)

Predpostavimo nerealno situacijo, da smo na isti dan, ko so bile v našem omrežju odkrite ranljivosti, vse te tudi odpravili. Super! Nič nam ne morejo. Do jutri zjutraj, ko bo zaznanih novih 55 ranljivosti in bo naš poslovni sistem spet izpostavljen tveganjem.

Ko bi bil etični heker vsak dan v hiši …

Idealno bi torej bilo, da vsak dan testirali kibernetsko varnost v treh korakih: poiskali bi ranljivosti (ang. vulnerability scan) in poskusili odkrite ranljivosti izrabiti in vdreti v sistem (ang. penetration test). V tretjem koraku pa bi ranljivosti, ki se jih dejansko da izrabiti, nemudoma odpravili.

Tak ideal ni možen iz dveh razlogov, ki smo jih tudi že večkrat omenili:

  • vsakodnevno penetracijsko testiranje bi bilo za vsako organizacijo stroškovno nesprejemljivo,
  • na trgu ni dovolj etičnih hekerjev, da bi jih podjetja lahko zaposlila za dnevno testiranje.

Poleg tega za odkrivanje ranljivosti in vdorno testiranje poleg specifičnih znanj potrebujemo tudi ustrezna orodja, ki lahko predstavljajo kar velik strošek. Tretji korak – odpravljanje ranljivosti – pa zahteva od izvajalcev izredno široko in hkrati poglobljeno znanje, ki vključuje poznavanje tehnologije, omrežja, delovanja naprav in njihove medsebojne povezanosti.

Za enega etičnega hekerja ali celo za skupino treh ali štirih je že v srednje velikem podjetju dnevno odpravljanje vseh ranljivosti, ki se jih da izrabiti, nerealno zahtevna naloga. Izvajanje takšnih testov pa v luči porasta kibernetskega kriminala postaja nuja.

Avtomatizirano vdorno testiranje je korak bližje idealu

Vodilna razvojna podjetja na področju kibernetske varnosti so prepoznala potrebo po avtomatizaciji vdornih testiranj. Na voljo so orodja, ki lahko v kratkem času opravijo za umetno inteligenco rutinsko nalogo preverjanja izrabljivosti ranljivosti.

Orodja za avtomatizirano vdorno testiranje izvajajo kontrolirane napade s surovo silo (ang. brute force attacks) in s tem delujejo kot pravi napadalci. V prvem koraku poiščejo ranljivosti, v drugem poskušajo te ranljivosti izrabiti in glede na rezultat obeh korakov ovrednotijo kritičnost ranljivosti.

Naj na tem mestu izpostavimo ključno razliko med orodjem za odkrivanjem ranljivosti (vulnerability scanner) in orodjem za avtomatizirano penetracijsko testiranje in potrjevanje varnosti (penetration testing and security validation). Orodje za odkrivanje ranljivosti izvede statični pregled z namenom odkrivanja varnostnih lukenj, ki jih rangira po metodologiji CVSS. Ta orodja so primarno namenjena nameščanju varnostnih popravkov za odkrite ranljivosti (ang. patching) in ne merijo vpliva posamezne ranljivosti na posamezen sistem (lažno pozitivne ranljivosti) niti jih ne obravnavajo dinamično (lažno negativne ranljivosti).

Orodja za avtomatizirano penetracijsko testiranje gredo korak dlje in so primarno namenjena potrjevanju kibernetske varnosti. To pomeni, da odkrite ranljivosti poskuša v danem sistemu izrabiti in njihovo kritičnost ocenijo glede na možen vpliv na poslovanje oz. potencialno poslovno škodo. Dodana vrednost takšnega orodja se odraža v informaciji, katere ranljivosti so dejansko nevarne za organizacijo in jih je potrebno prioritetno obravnavati in odpraviti.

Vzemimo za primer eno od ranljivosti ranljivost Log4j, ki so dobro začinile konec leta 2021. Ranljivost je po metriki CVE označena kot srednje kritična z oceno 5,1.

Vulnerability classification by CVE methodology
Klasifikacija ranljivosti (Vir: CVE Details)

Po metriki CVE sklepamo, da je ta ranljivost sicer vredna pozornosti, ni pa je treba nemudoma odpraviti. Zelo verjetno je res tako. Lahko pa se zgodi, da je konfiguracija našega sistema taka, bo v povezavi z drugimi ranljivostmi v sistemu izvorna ranljivost eskalirala do kritične stopnje in omogočila napadalcu vdor v sistem. Tega ne moremo vedeti, dokler ne izvedemo simulacije izrabe ranljivosti.

Primer ranljivosti z oznako srednje kritično, ki se je na koncu izkazal za močno kritičnega, prikazuje spodnji shematski prikaz razvoja ranljivosti iz orodja Pentera.

Pentera vulnerability kill chain
Analiza vektorja napada s Pentero (Vir: Pentera)

Iz kritičnosti z oceno 5,5 se je ob simulaciji izrabe razvila ranljivosti z oceno 10, ki napadalcu omogoča prevzem administratorskega računa. Nasprotno se lahko ranljivost z oceno 9 izkaže v konkretnem sistemu kot neškodljiva, npr. s končno oceno 2.

Vzporedno z grafičnim prikazom izrabe ranljivosti nam orodje dostavi tudi navodila, kako konkretno ranljivost odpraviti. Navodila so zbrana v obliki enciklopedičnih zapisov, ki uporabniku hitro ponudijo prave informacije in ga usmerjajo v postopku odprave.

Končnica je na strani IT strokovnjakov

Zadnji korak v postopku validacije kibernetske varnosti je odpravljanje ranljivosti. Ta del je še vedno na plečih IT strokovnjakov v organizacijah in terja precej časa. V podjetjih, ki že uporabljajo orodja za avtomatizirano penetracijsko testiranje navajajo, da odpravljanje ranljivosti traja tudi več tednov. Pogojeno je s tem, koliko časa lahko temu namenijo IT oddelki.

Kljub temu pa ima tudi na tej stopnji uporaba orodja dodano vrednost v obliki prej omenjenih enciklopedičnih oz. wiki zapisov, ki lahko izvajalcem prihranijo ure brskanja po internetu in iskanja pravih rešitev. To je tudi faza, v kateri podjetje presodi, ali je določeno ranljivost glede na vložek smiselno odpravljati ali sprejmemo tveganje in jo morda odpravimo v nekem drugem trenutku.

Ključne prednosti orodij za avtomatizirano penetracijsko testiranje

  • Podatek o ranljivostih, ki jih je dejansko mogoče izrabiti, in baza znanja z navodili za odpravo.
  • Možnost pogostejšega opravljanja vdornih testov, npr. na tedenski ali mesečni ravni.
  • Hitreje opravljeni vdorni testi z natančnimi navodili za odpravo ranljivosti.
  • Z opravljenimi testi preverja tudi učinkovitost delovanja varnostnih naprav.
  • Pokažejo objektivno sliko stanja kibernetske varnosti in lahko služijo tudi za izhodišče pri investicijah v nove varnostne naprave.

Kljub prednostim avtomatiziranih orodij se je treba zavedati dveh pomembnih faktorjev:

  • Preden organizacija vpelje avtomatizirano preverjanje in potrjevanje varnosti, mora dosegati dovolj visoko raven kibernetske varnosti in kulture. Za svetovanje na tem področju smo vam z veseljem na voljo.
  • Avtomatizirano vdorno testiranje ne more v celoti nadomestiti ročnega vdornega testa, zato priporočamo, da enkrat letno v vsakem primeru izvedete klasični penetracijski test. Etični hekerji lažje prilagajajo izvedbo glede na sproti odkrite ranljivosti in ob dogovoru z naročnikom natančneje pogledajo v globino na segmentih, ki so za organizacijo pomembnejši.
Želim več informacij o avtomatiziranih penetracijskih testih.

Automated Penetration Testing

Pentera – avtomatizirano penetracijsko testiranje

Avtomatizirano penetracijsko testiranje z orodjem Pentera je rešitev, s katero lahko dnevno obvladujemo varnostna tveganja.

Več info … Pentera – avtomatizirano penetracijsko testiranje

Penetracijski test

Penetracijski test omogoča odkrivanje ranljivosti IT sistema in je podlaga za določanje njihove kritičnosti in podajanje priporočil.

Več info … Penetracijski test

Red Teaming

Testirajte svojo IT ekipo, zaposlene in postopke. Cilj storitve Red Teaming je vdreti v sistem tako, da se vi tega sploh ne zavedate.

Več info … Red Teaming

Blog,  Novice,  Penetration testing penetracijsko testiranje,  pentera

Naj vam pomagamo

Pišite nam in nam pošljite osnovne informacije o vašem projektu.

Pošljite povpraševanje

Footer

O NAS

Svetovalne storitve kibernetske varnosti za podjetja, da bodo varna pred vdori in tako popolnoma osredotočena na svoje poslovanje.

  • Email
  • Facebook
  • LinkedIn

KONTAKT

CARBONSEC d.o.o.
Hacquetova ulica 8
1000 Ljubljana
Slovenija

info@carbonsec.com

HITRE POVEZAVE

  • Postanite del naše skupnosti.
  • Blog
  • Pogoji uporabe
  • Politika zasebnosti
  • Piškotki

STORITVE

  • Penetracijski test
  • Red Teaming
  • SCADA sistemi – varnostni pregled
  • Varnostno svetovanje
  • Varnostna analiza izvorne kode
  • Izobraževanje
  • DDoS test

Copyright © 2023 Carbonsec · Created by mod.si

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vedno omogočeno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT