Paano Pinapanatiling Ligtas ng Pagsusuri ng Penetration ang mga System
Buod: Ang penetration testing ay isang paraan para sa mga eksperto sa cybersecurity na subukan ang isang system sa pamamagitan ng pagtulad sa isang pag-atake. Ito ay nagsasangkot ng sadyang pagsubok na lampasan ang kasalukuyang seguridad, at makakatulong ito sa mga kumpanya na malaman kung ang kanilang mga system ay makatiis sa isang hack.
Kung nagbabasa ka tungkol sa cybersecurity, lalabas ang terminong penetration testing bilang isang paraan upang makita kung secure ang mga system. Ano ang pagsubok sa pagtagos, gayunpaman, at paano ito gumagana? Anong uri ng mga tao ang nagsasagawa ng mga pagsubok na ito?
Ano ang Panulat na Pagsubok?
Ang penetration testing, na kadalasang tinutukoy bilang pen testing, ay isang anyo ng etikal na pag-hack kung saan inaatake ng mga propesyonal sa cybersecurity ang isang system upang makita kung makakalusot sila sa mga depensa nito, kaya penetration. Kung matagumpay ang pag-atake, iuulat ng mga pen tester sa may-ari ng site na nakakita sila ng mga isyu na maaaring pagsamantalahan ng isang malisyosong umaatake.
Dahil ang pag-hack ay etikal, ang mga taong nagsasagawa ng mga hack ay hindi gustong magnakaw o makapinsala ng anuman. Gayunpaman, mahalagang maunawaan na sa lahat ng paraan maliban sa layunin, ang mga pagsubok sa panulat ay mga pag-atake. Gagamitin ng mga pen tester ang bawat maruming trick sa aklat para makalusot sa isang system. Pagkatapos ng lahat, hindi ito magiging isang pagsubok kung hindi nila gagamitin ang bawat sandata na gagamitin ng isang tunay na umaatake.
Pagsusuri sa Panulat kumpara sa Pagsusuri sa Kahinaan
Dahil dito, ang mga pagsubok sa pagtagos ay ibang hayop sa isa pang sikat na tool sa cybersecurity, ang mga pagsusuri sa kahinaan. Ayon sa cybersecurity firm na si Secmentis sa isang email, ang mga vulnerability assessment ay mga awtomatikong pag-scan ng mga depensa ng isang system na nagha-highlight ng mga potensyal na kahinaan sa setup ng isang system.
Ang isang pagsubok sa panulat ay aktwal na susubukan at makita kung ang isang potensyal na isyu ay maaaring gawin sa isang tunay na isa na maaaring pinagsamantalahan. Dahil dito, ang mga pagsusuri sa kahinaan ay isang mahalagang bahagi ng anumang diskarte sa pagsubok ng panulat, ngunit hindi nag-aalok ng katiyakan na ibinibigay ng isang aktwal na pagsubok sa panulat.
Sino ang Nagsasagawa ng Panulat na Pagsusuri?
Siyempre, ang pagkakaroon ng katiyakang iyon ay nangangahulugan na kailangan mong maging mahusay sa pag-atake ng mga system. Bilang resulta, maraming tao na nagtatrabaho sa penetration testing ay binagong mga black hat hacker mismo. Tinatantya ni Ovidiu Valea, senior cybersecurity engineer sa cybersecurity firm na nakabase sa Romania na CT Defense, ang mga dating itim na sumbrero ay maaaring bumubuo ng hanggang 70 porsiyento ng mga taong nagtatrabaho sa kanyang larangan.
Ayon kay Valea, na isang dating itim na sumbrero mismo, ang bentahe ng pagkuha ng mga taong tulad niya upang labanan ang mga malisyosong hacker ay marunong silang mag-isip tulad nila. Sa pamamagitan ng pagpasok sa isip ng isang umaatake, mas madali nilang masusunod ang kanilang mga hakbang at makahanap ng mga kahinaan, ngunit iniuulat namin ito sa kumpanya bago ito pagsasamantalahan ng isang malisyosong hacker.
Sa kaso ng Valea at CT Defense, madalas silang kinukuha ng mga kumpanya para tumulong sa pag-aayos ng anumang isyu. Nagtatrabaho sila nang may kaalaman at pahintulot ng kumpanya na i-crack ang kanilang mga system. Gayunpaman, mayroon ding isang paraan ng pagsubok sa panulat na ginagawa ng mga freelancer na lalabas at aatake sa mga system na may pinakamahusay na motibo, ngunit hindi palaging may kaalaman sa mga taong nagpapatakbo ng mga system na iyon.
Ang mga freelancer na ito ay madalas na kumikita ng kanilang pera sa pamamagitan ng pangangalap ng tinatawag na mga bounty sa pamamagitan ng mga platform tulad ng Hacker One. Ang ilang kumpanya—marami sa mga pinakamahusay na VPN, halimbawa—ay nag-post ng mga nakatayong bounty para sa anumang mga kahinaan na natagpuan. Maghanap ng isyu, iulat ito, mabayaran. Ang ilang mga freelancer ay aabot pa sa pag-atake sa mga kumpanyang hindi pa nag-sign up at umaasa na mababayaran sila ng kanilang ulat.
Nagbabala si Valea na hindi ito ang paraan para sa lahat, bagaman. Maaari kang magtrabaho ng ilang buwan at wala kang mahanap. Wala kang pera pang-upa. Ayon sa kanya, hindi lang talaga kailangan mong maging napakahusay sa paghahanap ng mga kahinaan, sa pagdating ng mga automated na script ay wala nang masyadong mababang-hanging na prutas na natitira.
Paano Gumagana ang Mga Pagsusuri sa Pagpasok?
Bagama't ang mga freelancer na kumikita ng kanilang pera sa pamamagitan ng paghahanap ng mga bihirang o pambihirang mga bug ay nagpapaalala ng kaunti sa isang swashbuckling digital na pakikipagsapalaran, ang pang-araw-araw na realidad ay medyo down to earth. Hindi ibig sabihin na hindi ito kapana-panabik, bagaman. Para sa bawat uri ng device mayroong isang hanay ng mga pagsubok na ginagamit upang makita kung kaya nitong makayanan ang isang pag-atake.
Sa bawat kaso, susubukan at i-crack ng mga pen tester ang isang system sa lahat ng naiisip nila. Binibigyang-diin ni Valea na ang isang mahusay na pen tester ay gumugugol ng maraming oras sa simpleng pagbabasa ng mga ulat ng iba pang mga tester hindi lamang upang manatiling up-to-date sa kung ano ang maaaring gawin ng kumpetisyon, ngunit upang makakuha din ng ilang inspirasyon para sa mga sarili nilang kalokohan.
Gayunpaman, ang pagkakaroon ng access sa isang system ay bahagi lamang ng equation. Kapag nasa loob na, ang mga pen tester ay, sa mga salita ni Valea, susubukang makita kung ano ang magagawa ng isang malisyosong aktor dito. Halimbawa, makikita ng isang hacker kung mayroong anumang hindi naka-encrypt na mga file na magnanakaw. Kung hindi iyon isang opsyon, susubukan at tingnan ng isang mahusay na pen tester kung maaari nilang harangin ang mga kahilingan o kahit na i-reverse ang mga kahinaan ng engineer at maaaring makakuha ng mas malawak na access.
Kahit na ito ay hindi isang foregone na konklusyon, ang katotohanan ng bagay ay na kapag sa loob ay wala ka nang magagawa upang pigilan ang isang umaatake. Mayroon silang access, at maaari silang magnakaw ng mga file at masira ang mga operasyon. Ayon kay Valea, hindi alam ng mga kumpanya ang epekto ng isang paglabag, maaari nitong sirain ang isang kumpanya.
Paano Ko Mapoprotektahan ang Aking Mga Device?
Bagama't may mga advanced na tool at mapagkukunan ang mga organisasyon tulad ng mga pen test para pangalagaan ang kanilang mga operasyon, ano ang maaari mong gawin para manatiling ligtas bilang isang pang-araw-araw na mamimili? Ang isang naka-target na pag-atake ay maaaring makasakit sa iyo nang labis, kahit na sa iba't ibang paraan kaysa sa isang kumpanya ay nagdurusa. Ang isang kumpanya na nag-leak ng data nito ay masamang balita, sigurado, ngunit kung mangyari ito sa mga tao maaari itong sumira ng buhay.
Kahit na ang pagsubok sa panulat sa iyong sariling computer ay malamang na hindi maabot ng karamihan ng mga tao-at malamang na hindi kinakailangan-may ilang mahusay at madaling cybersecurity tip na dapat mong sundin upang matiyak na hindi ka mabibiktima ng mga hacker. Una at higit sa lahat, malamang na dapat mong subukan ang anumang mga kahina-hinalang link bago ka mag-click sa mga ito, dahil iyon ay tila isang napaka-karaniwang paraan ng pag-atake ng mga hacker sa iyong system. At siyempre, ang magandang antivirus software ay mag-i-scan para sa malware.