Etičko hakovanje VS test penetracije: Koja je razlika?

Sajber bezbednost je svuda oko vas i ako se vi ne bavite njome, ona će se pozabaviti vama, jer današnje doba je informaciono doba, u kome imamo prilično razvijene AI sisteme, ekspanziju i dostupnost informacija; podaci su postali najskuplja „roba“, a mnogi stručnjaci čak sugerišu da su vredniji od nafte.

79

Ispitivanja sistema organizacija su postala krucijalna u sajber bezbednosti koja je naša nezaobilazna svakodnevnica. Svuda je oko vas i ako se vi ne bavite njome, ona će se pozabaviti vama, jer današnje doba je informaciono doba, u kome imamo prilično razvijene AI sisteme, ekspanziju i dostupnost informacija; podaci su postali najskuplja „roba“, a mnogi stručnjaci čak sugerišu da su vredniji od nafte. Dakle, ne treba čuditi što je sajber bezbednost postala najvažnija, a sa njom i etičko hakovanje (testiranje penetracije).

Etičko hakovanje podrazumeva najraznovrsnije načine prodora u sistemu radi dolaženja do ciljanih podataka, to je namerno planiran napad na računarske sisteme radi procene postojećih mera sajber bezbednosti i otkrivanja ranjivosti. Sajber kriminal je pretnja koja se stalno razvija i čini se da su inovacije u bezbednosnim merama uvek korak iza onih za hakovanje.

Termini „ etičko hakovanje i„ testiranje prodora “ često se koriste naizmenično kada se misli na proces ispitivanja sistema jedne organizacije, ali se zapravo malo razlikuju.

Nikako ne pomišljajte da pozovete etičkog hakera kada želite test penetracije ili obrnuto, jer ćete na kraju dobiti uslugu koja ne ispunjava vaše zahteve, iako se testiranje prodora svrstava u domen etičkog hakovanja. Hajde da pogledamo šta svaki proces uključuje kako bi ste znali šta vas očekuje ukoliko se odlučite za jednu ili drugu opciju.

Šta je etičko hakovanje?

Cilj etičkog hakovanja je pronalaženje bezbednosnih propusta, grešaka i ranjivosti u sistemima neke organizacije. Međutim, kako reč ‘etičko’ sugeriše, osoba koja izvodi napad mora imati odobrenje organizacije pre nego što nastavi sa hakovanjem sistema. Dakle u pitanju je stručno lice koje vrši ispitivanja sistema organizacije u cilju poboljšanja bezbednosnih performansi.

Zašto bi neka organizacija tražila od nekoga da ih hakuje? Jednostavno: razumeju da je jedan od najboljih načina da se identifikuju nedostaci koje bi sajber kriminalac mogao iskoristiti, a  to je da i sami ramišljaju na taj način – kao sajber kriminalac.

Etički hakeri se često angažuju pre nego što se pusti novi sistem u rad ili kada se rade opsežna  ažuriranja. Ovakvim ispitivanjem vrši se sveobuhvatno testiranje sistema, tražeći slabosti, odstupanja, greške, neispravnosti i vode evidencije o nalazima, kako bi se pristupilo otklanjanju svih nedostataka i jačanju sistema.

Beli, crni i sivi šeširi –  Ko je ko i kome verovati?

Hakeri su podeljeni u tri kategorije. Hakeri sa belim šeširima (tj. Etički hakeri) pomažu organizacijama da ojačaju svoju odbranu objavljivanjem svojih nalaza. Etički haker je specijalista za računarsku bezbednost koji svojom aktivnošću vrši procenu vaših snaga odbrane i kapaciteta zaštite, detektuje ranjivosti i greške i ukazuje na njih.

S druge strane, hakeri sa crnim šeširom su u tome isključivo radi kriminalne dobiti. Obično su motivisani novcem, nekim jačim kompenzacijama, no, njihovi napadi mogu biti i političkimotivisani ili motivisani osvetomi (kao što su uznemiravanje – zlonamerno objavljivanje i kompromitacija ličnih podataka žrtve).

Između tih kategorija imate hakere sive kape. To su ljudi koji ponekad hakuju organizacije u dobroj nameri, ali i vrše zlonamerne napade.

Ako vam se rađaju sumnje, znajte da nemate raloga za brigu kada su u pitanju hakeri sa belim šeširima. Jako su male šanse da bi neko izveo zlonamerni napad na organizaciju za koju je i angažovan da vrši ispitivanja, jer bi to ugrozilo njegovu karijeru zauvek.

Šta je testiranje penetracije (Penetration Testing) ?

Testiranje prodora sistema je specifična vrsta etičkog hakovanja u kojoj organizacija angažuje ovlašćenog stručnjaka da proceni snagu svoje odbrane u domenu sajber bezbednosti. To se obično vrši putem revizija na licu mesta dotične organizacije. Stručnjaku/ izvršiocu penetracije će biti omogućen pristup određenoj količini privilegovanih informacija i pokušaće da ih koristi dok ne pronađe neke osetljive informacije.

Različite vrste testova penetracije fokusiraju se na specifične aspekte logičkog perimetra organizacije. Testovi prodora uključuju:

  • Testove spoljnih mreža;
  • Interne mrežne testove;
  • Testove veb aplikacija;
  • Testove bežične mreže.
  • Testovi društvenog inženjeringa
  • Crveni tim i Plavi tim – simulacija stvarnog napada
  • Test mobilne penetracije
  • Testiranje prodora mrežnih usluga

Za razliku od etičkog hakovanja, testovi penetracije se obično sprovode u redovno, određeno vreme – tipično kvartalno ili u bilo koje vreme kada organizacija izvrši velike promene u svojim mrežama ili aplikacijama.

Šta izabrati?

U različitim situacijama etičko hakovanje i testovi prodora pravo su rešenje za vas, jer vam oba pomažu u postizanju osnovnih ciljeva sajber bezbednosti omogućavajući bezbednost IT infrastrukture i miran san.

Etičko hakovanje daje vam detaljnu procenu vaše bezbednosne prakse i, u slučaju grešaka, može vam pomoći da uočite slabosti u sistemima koji su već aktivni. Njegov pristup sajber bezbednosti daleko je raznovrsniji od testiranja penetracije. Dok se testiranje penetracije fokusira prvenstveno na slabosti sistema, etičko hakovanje daje akterima slobodu da koriste sve metode napada koje imaju na raspolaganju. Oni mogu iskoristiti sistemske pogrešne konfiguracije, slati phishing e-poštu, vršiti napade lozinkom grubom silom, probijati fizički opseg ili raditi bilo šta drugo za šta veruju da će im omogućiti pristup osetljivim podacima. Ovo je izuzetno korisno za identifikaciju koliko je vaša organizacija ranjiva na sajber pretnje, jer prevaranti sve više mešaju svoje tehnike i izvode višeslojne, sofisticirane napade.

Testiranje prodora vam omogućava da izvodite fokusirane testove na određenim delovima vaše organizacije. Rezultati su izuzetno korisni za identifikovanje sistemskih grešaka – čiji se obim često može utvrditi samo testiranjem – i za isticanje koraka koje je potrebno preduzeti da bi se oni otklonili.

Prednosti ovih metoda su i više nego očigledne, zbog čega brojni zakoni i okviri zaštite podataka-poput GDPR-a (Opšta uredba o zaštiti podataka) i PCI DSS (Standard bezbednosti podataka o platnim karticama )-nalažu da se testovi penetracije redovno sprovode.