Ei ole saladus, et tehnoloogia areneb ülikiiresti. Tänases ühiskonnas on tehnoloogia muutunud oluliseks osaks meie igapäevaelust. Osaliselt tähendab see, et küberturvalisus on kaasaegses keskkonnas samuti muutumas üha olulisemaks elemendiks. Kuid küberturvalisusel on mitmeid tahke. Üheks neist on läbistustestimine.
Niisiis, mis on läbistustestimine?
Läbistustestimine on protsess, kus küberturbeekspert otsib ja kasutab ära süsteemi turvaauke. Protseduur kujutab endast lubatud simuleeritud küberrünnakut. Teisisõnu viiakse see läbi simuleeritud keskkonnas süsteemi omaniku loal.
Võiks arvata, et oleks mõistlik lasta arendajatel endal läbistustestimist läbi viia. Kuigi see lahendus võiks olla loomulik, võivad arendajatel sageli jääda teatud pimealad kahe silma vahele ja turvaaugud paljastatuks. Muidugi ei tähenda see, et süsteemi nõrgad kohad on tekivad alati arendajate käe läbi. Turvaaukude esinemiseks süsteemis võib olla mitmeid põhjuseid. Vaatamata sellele on alati soovitatav, et läbistustestimise teeks selle ala asjatundja.
Võta meiega ühendust meili teel info@c-yber.ee või loe meie teenuste kohta lähemalt meie kodulehel
Läbistustestimist saab teostada enam kui ühel viisil
Mõned operatsioonisüsteemid pakuvad läbistustestimise võimekust. Sellised süsteemid nagu Kali Linux, BlackArch ja BackBox sisaldavad eelseadistatud töövahendeid läbistustestimiseks. Mis puudutab läbistustestimist ennast, siis leidub erinevat tüüpi läbistusteste.
Valge kasti läbistustestid
Antud juhul antakse testijale enne tegelikku testi ennast teatud teavet sihtettevõtte süsteemi kohta. Informatsioon võib puudutada näiteks võrgu konfiguratsiooniseadeid, paroole ja lähtekoode.
Üks valge kasti testmeetodi eeliseid on, et üldiselt on see teistest meetoditest (milleni kohe jõuame) põhjalikum. Kuna teatud info süsteemi kohta on eelnevalt teada, annab see võimaluse laiendada testi süsteemi sellistele aladele, mis muul juhul ei oleks võimalik. Näiteks saab hinnata koodi kvaliteeti.
Kuid selline testimine võib mõnikord olla tegeliku rünnaku korral ebarealistlik. Miks? Sest tegelik ründaja võib läheneda süsteemi turvaaukudele teisiti kui testija. Testija juba omab informatsiooni süsteemi kohta enne läbistustestimise läbiviimist.
Musta kasti läbistustestid
Tegemist on valge kasti testimise vastandiga. Antud juhul ei anta sihtmärgiks oleva süsteemi kohta mingit taustainfot. Seega on meetod kiiremini rakendatav, kuna sõltub testija võimetest ja teadmistest turvaaukude ärakasutamise kohta.
Kuna see lähenemisviis võtab informeerimata ründaja perspektiivi, jäävad selle puudusena süsteemi teatavad osad testimata. Valge kasti läbistustesti puhul see nii ei oleks.
Eksisteerib ka valge kasti ja musta kasti testimise segavorm. Seda nimetatakse halli kasti läbistustestimiseks. Sihtmärgiks oleva ettevõtte poolt jagatakse niisugusel juhul ainult osalist informatsiooni. Asja mõtteks on simuleerida keskkonda, kus ründaja on hankinud ettevõtte kohta ebaseaduslikult teatud informatsiooni.
Varjatud läbistustest
Tegemist on musta kasti läbistustestile sarnase testiga, millel on üks oluline erinevus. Sihtmärgiks oleval ettevõttel ei ole läbistustestist mingit infot. Ka IT- osakond on teadmatuses. Siinkohal tuleb tähele panna ühte olulist punkti: kogu testi puudutavad üksikasjad peavad enne testimist olema kirjalikult kättesaadavad. Sel moel on võimalik vältida antud meetodiga kaasneda võivaid potentsiaalseid juriidilisi tagajärgi.
Sisemised ja välised läbistustestid
Nagu nimi viitab, viiakse sisemine läbistustest läbi ettevõtte siseses võrgus. See määrab ära kahjustuse ulatuse, mida võiks turvaaukude ärakasutamine tekitada, kuna see piirdub ettevõtte tulemüüriga.
Väline läbistustest toimub väljaspool ettevõttesisest võrku, seda nii sõnasõnalises kui kaudses mõttes. Antud test hindab ettevõtte väliseid varasid turvaaukude osas.
Manuaalne ja automatiseeritud läbistustestimine
Loomulikult saab läbistustestimist liigitada ka manuaalseks ja automatiseeritud testimiseks. Manuaalne testimine eeldab, et testi läbiviija on oma ala asjatundja. Automatiseeritud testimist saavad läbi viia vähemkogenud testijad, kes kasutavad automatiseeritud töövahendeid. Veel üheks variatsiooniks on, et automatiseeritud testimisel on tsentraliseeritud ja standardsed tööriistad. Manuaalne testimine eeldab kogu protsessi jälgimiseks selliseid programme nagu Excel ja muud sarnased tööriistad.
Läbistustestimise protsess
Olenemata läbistustesti tüübist tehakse alati läbi samad etapid. Esimest nimetatakse tutvumiseks. Selles faasis kogutakse kogu võimalik teave sihtsüsteemi kohta. Järgneb skaneerimise faas. Eelmises etapis tehtud esialgsete järelduste laiendamiseks kasutatakse kõiki olemasolevaid tehnilisi vahendeid ja metoodikaid.
Kolmanda faasi eesmärgiks on saada juurdepääs. Esimese kahe etapi kombineeritud teadmisi kasutatakse süsteemi turvaaukude ärakasutamiseks. Toimingu läbiviimiseks kasutatakse nn “lasti”.
Lihtsamalt öeldes võib kahjulikuks toimeks olla mis iganes, alates andmete muutmisest, klahvivajutuste logimisest kuni reklaamvara paigaldamiseni. Sellised tööriistad nagu Metasploit võimaldavad automatiseeritud rünnakuid teadaolevatele turvaaukudele.
Kui juurdepääs on saavutatud, on järgmine samm saadud juurdepääsu säilitamine. See on oluline, kuna aitab testijal hankida võimalikult palju andmeid. Selles etapis ei pruugi protsess tingimata piirduda tarkvaraga. See võib laieneda ka riistvarale. Näiteks võib tegemist olla väikese seadmega, mille saab paigaldada võrku, mis võimaldab testijal saada kaugjuurdepääsu teatud võrgule.
Viimaks peab testija suutma peita oma jälgi peale seda, kui protsessi “juurdepääsu säilitamise” faas on lõpule viidud. Läbistustest osutub õnnestunuks, kui testija suudab jääda anonüümseks.
Mis toimub peale läbistustestimist?
Testimisjärgne etapp on võib-olla protsessi kõige olulisem osa. Kogu maailma intensiivne testimine ei oma mingit tähendust, kui võeta tarvitusele ennetavaid meetmeid. Seetõttu jagab testija peale lõpetamist sihtmärgiks olnud ettevõttega oma teadmisi. Antud info põhjal võetakse tarvitusele vastavad meetmed. Tegemist võib olla millegi nii lihtsa kui vajalike standardite kehtestamisega ettevõttes. Tegemist võib olla ka millegi nii spetsiifilisega kui ettevõtte võrgu kaitsmine automatiseeritud jõurünnete ja hajusate ummistusrünnakute eest. Mõlemal juhul on oluline turvaaukude avastamine ja parandamine. Sellega hoitakse testitud süsteemi turvalisust ajakohasena.
Küberturve pole tänapäeva ärikeskkonnas enam valikuline. Tegelikult on see tänapäeval äristrateegia keskne osa. Läbistustestimine on üks paljudest mehhanismidest, mis võimaldavad organisatsioonil olemasolevat tehnoloogilist infrastruktuuri tugevdada. Sellistes riikides nagu USA ja Ühendkuningriik on läbistustestid juba standardiseeritud. Seda kas sõltumatute valitsusasutuste või kutseorganisatsioonide kaudu.