Kibernetinės grėsmės tampa vis išmanesnės, tad posakis „tam, kad galėtum apsisaugoti nuo hakerių, turi mąstyti kaip hakeris“ kaip niekada aktualus. Vienas geriausių būdų pamatyti savo organizaciją piktavalių akimis – įsilaužimų testai (angl. Penetration Testing). Tokie testai, jei tinkamai atlikti, suteikia praktinių įžvalgų, kaip „užlopyti“ pavojingiausias saugumo spragas. Deja, užtikrinti, kad šie testai suteiktų maksimalią naudą – ne visada paprasta.
Apie tai, ką svarbu žinoti planuojant įsilaužimų testavimą ir kaip užtikrinti, kad testas bus kokybiškas, pasakoja „Blue Bridge“ specialistai – tinklų ir saugumo sprendimų vadybininkė Asta Radzivanaitė ir kibernetinio saugumo ekspertas Ugnius Klevinskas.
Kodėl vien automatizuotų testų nepakanka?
Įsilaužimų testų tikslas – imituojant kibernetines atakas, išsiaiškinti visas organizacijos saugumo spragas ir rizikas. Lietuvoje, kaip ir pasaulyje, įsilaužimų testai aktyviai atliekami jau daugiau nei dvidešimt metų. Tam įtakos turi ir teisės aktai, tokie kaip Kibernetinio saugumo įstatymas, ir garsūs kibernetinių atakų atvejai Lietuvoje bei svetur.
Tačiau, šiems testams išpopuliarėjus, atsirado kita problema – pasikliaujama tik automatizuotais pažeidžiamumų skenavimais (angl. automated vulnerability scanning). Jie atliekami su automatinio skenavimo programomis. Kaip pastebi „Blue Bridge“ saugumo ekspertas, sistemų inžinierius Ugnius Klevinskas, dažnai klaidingai manoma, kad šie testai gali atstoti „rankinį“ įsilaužimų testavimą.
„Po automatizuoto testo atlikus „rankinį“ įsilaužimų testą, atsiveria nepastebėtos problemos – klaidinga sistemų, tinklo įrenginių konfigūracija, teisių, paskyrų ir slaptažodžių valdymo klaidos ir kitos problemos. Kai kada randama „atgalinių durų“ (angl. backdoor) į jau užvaldytas sistemas. Be to, automatizuotų testų ataskaitos formuojamos automatiškai. Tai reiškia, kad organizacija turi pati „susiprasti“, kurie iš identifikuotų pažeidžiamų yra reali grėsmė, o kurie – ne. Rezultatas tas, kad nei vadovams, nei IT komandai nėra aišku, kokios saugumo problemos svarbiausios ir kaip jas spręsti, tačiau visi jaučiasi saugesni tik todėl, kad toks testas buvo atliktas“, – pasakoja U. Klevinskas.
„Žmogiškasis faktorius“ dažnai lieka neįvertintas
Dar vienas vien tik automatizuotų testų naudojimo minusas yra tai, kad nustatomi tik IT sistemų pažeidžiamumai. Tai reiškia, kad sunku įvertinti saugumo problemų kontekstą, pažeidžiamumų apjungimo galimybes į atakos grandinėlę, o svarbiausia – darbuotojų atsparumą socialinei inžinerijai.
„Blue Bridge“ tyrimai rodo, kad būtent menkas atsparumas socialinės inžinerijos metodams kartu su slaptažodžių, privilegijų problemomis ir saugumo atnaujinimų trūkumais, yra pačios dažniausios saugumo spragos. Tariant kitais žodžiais, žmonės ir jų slaptažodžiai – lengviausiai „nulaužiami“, todėl yra pats tiesiausias kelias sistemų ir duomenų link“, – akcentuoja U. Klevinskas.
Šią problemą padeda spręsti socialinės inžinerijos testai, kurie parengiami ir atliekami žmonių. „Tai leidžia pamatyti, kaip organizacijoje įgyvendinama slaptažodžių politika, ar veikia dviejų faktorių autentifikavimas ir kitos apsaugos priemonės. Pavyzdžiui, gali paaiškėti, kad visas saugumo politikas ir reikalavimus paprasta apeiti ne tik parašius suklastotą laišką su jautrių duomenų prašymu, bet ir papildomai paskambinus darbuotojui telefonu“, – sako „Blue Bridge“ saugumo ekspertas.
Ką turėtų apimti įsilaužimų testavimas?
„Blue Bridge“ tinklų ir saugumo sprendimų vadybininkė Asta Radzivanaitė pabrėžia, kad dabartines kibernetines grėsmes atliepiantis įsilaužimų testavimas turi apimti ne tik IT sistemų pažeidžiamumus ir socialinės inžinerijos metodus. Reikia ir išorinės bei vidinės IT infrastruktūros, bevielio tinklo, WEB aplikacijų, API sąsajų, mobiliųjų įrenginių ir paslaugų sutrikdymo (DDoS) testavimų.
„Testai, kuriuos galima vadinti „kompleksiniais“, leidžia įvertinti visus organizacijos saugumo lygius – nuo kompiuterinių darbo vietų, serverių, išorinio bei vidinio tinklų iki jautrių duomenų ir kritinės reikšmės aplikacijų saugumo“, – sako A. Radzivanaitė. Ji atkreipia dėmesį, kad svarbų vaidmenį vaidina ne tik testų apimtis, bet ir atlikimo metodika.
„Efektyviausiais laikomi „rankiniai“ įsilaužimų testai. Tai reiškia, kad žmogus, o ne įrankis valdo ir interpretuoja testo užklausas ir atsakymus. Be to, žmonės parengia bei atlieka socialinės inžinerijos testus, kurie yra dalis kompleksinio įsilaužimo testo“, – sako pašnekovė.
Svarbiausia testo dalis – ataskaita
Kartais pamirštama, kad pats testavimo procesas – net jeigu jis atliktas labai kokybiškas – nėra savaime vertingas, pastebi „Blue Bridge“ atstovė. Ji primena, kad pagrindinis kompleksinių įsilaužimų testavimų tikslas – detali ataskaita.
„Detalios įsilaužimų ataskaitos turi padėti prioretizuoti grėsmes ir efektyviai naudoti resursus, skirtus ne tik saugumui, bet ir IT infrastruktūrai. Pavyzdžiui, kokybiškai parengta ataskaita įgalina pamatyti, kad viena problema gali būti išsprendžiama pakeitus sistemos konfigūraciją, kita – atnaujinus techninę, programinę įrangą ar įdiegus reikalingas saugumo pataisas, o trečia – įsigijus konkretų saugumo sprendimą. Tokia ataskaita taip pat turi nurodyti, koks problemų sprendimų būdas tinkamiausias ir leisti jį palyginti su alternatyvomis“, – pasakoja A. Radzivanaitė.
Kaip testai padeda tobulėti kibernetinio saugumo srityje?
Dar viena įsilaužimų testo dalis gali būti pakartotinis įsilaužimo testavimas. Jis atliekamas po to, kai organizacija jau išsprendė identifikuotas problemas.
„Pakartotinis testas leidžia įsitikinti, kad saugumo problemos išspręstos ir priemonės, kurių imtasi – pakankamos. Pakartotinis testas parodo, ar sprendžiant vieną problemą, nesukurta naujų.Taip, deja, nutinka neretai“, – paaiškina A. Radzivanaitė.
Vis dėlto, pakartotiniai testai įgalina stebėti organizacijos progresą tik trumpuoju laikotarpiu. Sekti ilgalaikę pažangą kibernetinio saugumo srityje padeda reguliarūs, bent kartą per dvejus metus, atliekami įsilaužimų testai.
„Ilgalaikė reguliarių testų nauda pirmiausia yra darbuotojų sąmoningumo ugdymas. Tai taip pat suteikia galimybę žengti koja kojon su aktualiausiomis grėsmėmis. Pavyzdžiui, reguliarūs testai leidžia pamatyti, ar organizacijai sekasi geriau saugotis nuo DDoS atakų, išpirkos reikalaujančių programų ir ar darbuotojai jau įprato naudoti pakankamai stiprius slaptažodžius, atsargiai vertinti nuorodas, gautas el. paštu ir t. t. “, – apibendrina pašnekovė.
Išbandykite savo IT saugumą su „Blue Bridge“ įsilaužimų testavimu. Kreipkitės dėl pasiūlymo!