Kiber təhlükəsizlik müfəttişi:“penetration testing” nədir?

Updated: Oct 25, 2021


“Pentest”lər artan kiber hücumların qarşısını ala biləcək etibarlı vasitə ola bilər.

2021-ci ildə ümumi olaraq 6 trilyon dollar zərər verəcəyi proqnozlaşdırılan kibercinayətkarlıq əgər bir ölkə olaraq ölçülsəydi, ABŞ və Çindən sonra dünyanın ən böyük iqtisadiyyata sahib üçüncü ölkəsi olardı. Bu rəqəmin illik 15%-lik çoxalma ilə qarşıdakı illərdə daha da artacağı və 2025-ci ildə 10.5 trilyon dollara çatacağı bildirilir. Bu, təbii fəlakətlərin 1 ildə verdiyi zərərdən dəfələrlə böyük, qanunsuz dərmanların qlobal ticarətindən daha gəlirli olacaq. Zərərin böyüklüyü həm də iri və kiçik ölçülü şirkətlər üçün yatıracaqları gələcək investisiyaların riskə atılması deməkdir. Çünki kiber cinayətkarlar hər zaman asan formada pul qazanmağın yolunu tapırlar. Onlar bunun üçün ya varlı insanları, ya bankları, ya da böyük büdcəyə sahib digər maliyyə şirkətlərini seçirlər. Kiber cinayətkarların istədikləri hədəfə tez və rahat çatması isə şirkətlərin büdcəsi ilə yanaşı, müdafiə sistemlərinin zəif olmasından asılıdır. Buna görə də kiber təhlükələrdən yaxşı qorunmayan şirkətlər onların əsas seçimləri arasında olur. Şirkətlər isə tədbirlərini əvvəlcədən görərək, kiber hücumlardan qorunmaq üçün güvənli təhlükəsizlik divarları qururlar. Ancaq hər gün inkişaf edən texnoloji alətlər kiber cinayətkarların hədəflərinə daha tez çatmasına şərait yaratdığı kimi, şirkətləri də müdafiəsiz saxlayır. Bununla belə sahənin inkişafı şirkətlərin İT mütəxəssislərinə həm də kiber hücumlara şərait yaradacaq boşluqları əvvəlcədən müəyyənləşdirmək və təhlükənin qarşısını almaq imkanı verir. Belə vasitələrdən biri də texnologiya aləmində “Penetration testing”, yaxud “Pentest” adlanan üsuldur. Dilimizə bu termin “Sızma testi” və ya “Nüfuzetmə testi” kimi də tərcümə olunur.


Mütəxəssislər Pentest-dən istifadə edərək, simulyasiya edilmiş hücum həyata keçirirlər və beləcə, İT infrastrukturunda zəif nöqtələri müəyyən edirlər. Kiber hücumlara şərait yaradan zəifliklər əməliyyat sistemlərində, xidmət və veb tətbiq nöqsanlarında, uyğun olmayan konfiqurasiyalarda, riskli son istifadəçi, yaxud bu kimi digər potensial giriş nöqtələrində ola bilər. Bu təhlükələrin qarşısını alan Penetration testing adətən ya manual, ya da avtomatlaşdırılmış texnologiyalardan istifadə etməklə aparılır. Pentest-i həyata keçirmək üçün sistemin İT təhlükəsizliyinin necə təmin edildiyindən məlumatı olmayan etik xakerlər, test zamanı fərqli metodologiyalardan, vasitələrdən və yanaşmalardan istifadə edirlər.


Etik xakerlər “pentest”lər zamanı hansı üsullardan istifadə edir?

“Positive Technologies”in son araşdırmasına görə, demək olar ki, hər bir şirkətin xaker hücumlarına şərait yaradacaq zəiflikləri mövcuddur. Sınaqların 93%-ində testerlər şirkətlərin sistem boşluqlarını ayırd edərək, şəbəkəyə daxil ola biliblər. Bunun üçün onlara ortalama 4 gün kifayət edib. Müddətin qısa olmasının səbəbi isə hazırda Pentest üçün tam avtomatlaşdırılmış test vasitələrinin olmasıdır. Proses zamanı Etik xakerlər Kali Linux, nmap, metasploit, Wireshark, John the Ripper və Hashcat kimi vasitələrdən istifadə edərək müxtəlif növ pentestlər həyata keçirilər.


White box (ağ qutu) pentest - bu növ testlərdə xakerlərə hədəf şirkətin təhlükəsizlik məlumatları ilə bağlı əvvəlcədən bəzi məlumatlar verilir.


Black box (qara qutu) pentest - “kor” test olaraq da bilinən bu metodda xakerə hədəf şirkətin adından başqa heç bir məlumat verilmir.


Gray box (boz qutu) pentest - ağ qutu testi və qara qutu testinin birləşməsidir. Bu testin məqsədi səhv quruluş və ya tətbiqlərin düzgün istifadə edilməməsi səbəbindən ortaya çıxan qüsurları axtarıb tapmaqdır


Gizli pentest - “ikiqat kor” test olaraq adlandırılan bu metod pentest-də şirkətin hücuma cavabdeh olan İT mütəxəssisləri də daxil olmaqla heç bir işçisinin hücumdan xəbəri olmur. Ancaq sonda hansısa problemin yaşanmaması üçün etik xakerlərin testin əhatə dairəsi və digər detalları ilə bağlı əvvəlcədən yazılı şəkildə hüquq mühafizə orqanlarını məlumatlandırması vacibdir.


Xarici pentest - xakerlər bu üsuldan istifadə edərkən hücumu şirkətin veb saytı və xarici şəbəkə serverləri kimi kənara yönələn texnologiyalarına qarşı həyata keçirirlər. Bu zaman onlara şirkətin binasına daxil olmağa icazə vermirlər və proses uzaq yerdən həyata keçirilir.


Daxili pentest - bu növ testdə isə əksinə, hücumlar daxili şəbəkəyə qarşı keçirilir və gələcəkdə daxili səbəblərdən baş verə biləcək təhlükəsizlik tədbirlərinin əvvəlcədən görünməsi baxımından xüsusi əhəmiyyətə malikdir.


Etik xakeri məqsədinə çatdıran mərhələlər hansılardır?

Pentest-in şirkətlər üçün qeyd edilən müsbət halları olsa da, test düzgün mütəxəssislər tərəfindən həyata keçirilmədikdə şirkətlərə böyük ölçüdə zərər verə bilər. Məsələn, serverlərin çökməsi, həssas məlumatların ifşa olunması və vacib məlumatların pozulması şirkətə dəyən zərərlər arasındadır. Buna görə də xakerin öz bacarıqlarından sui-istifadə etməməsindən əmin olmaq lazımdır. O cümlədən, prosesi həyata keçirərkən mövcud boşluqların tam aradan qaldırılması hücumun gizliliyi şərtlərinə riayət etməyi tələb edir. Əks halda şirkət işçiləri testə hazırlaşacaq və hücumun qarşısını alacaq tədbirlər görəcək. Həqiqi xaker hücumu isə xəbərdarlıq etmədən və planlaşdırılması çətin olan yollardan istifadə edir. Düzgün formada tətbiq edilmiş pentest ardıcıl olaraq bir-birini izləyən müəyyən mərhələlərdə həyata keçirilir.


Araşdırma: bu mərhələdə xakerlər hücum strategiyasını müəyyənləşdirmək üçün ictimai və özəl mənbələrdən hədəf haqqında mümkün olduğu qədər çox məlumat əldə edirlər. Mənbələrə internet axtarışları, domen qeydiyyatı məlumatları, şəbəkənin üzünün köçürülməsi və bəzən hətta zibil qutusu belə aid olur. Bu mənbələr pentesterin hücum hədəfinin xəritələnməsinə kömək edir. Araşdırma penetration testing-in əhatə dairəsi və məqsədlərinə görə dəyişə bilər.


Skan edilmə: növbəti mərhələdə pen test cihazı hədəf aldığı veb saytı, yaxud sistemi açıq xidmətlər, mənbələr və tətbiq təhlükəsizliyi problemləri də daxil olmaqla bir neçə zəifliyə qarşı yoxlamaq üçün alətlərdən istifadə edir. Bu alətlər araşdırma və test müddətində tapılan məlumatlara görə dəyişir.


Girişin əldə edilməsi: real kiber hücumlarda xakerin motivasiyası məlumatları oğurlamaqdan, dəyişdirməkdən, pul qazanmaqdan yaxud silməkdən başlayaraq, imicə zərər vurmağa qədər müxtəlif formalarda ola bilər. Bu mərhələdə etik xakerlər öz məqsədlərinə görə hücumun ssenarisini müəyyənləşdirərək, sistemə girişi asanlaşdıracaq ən unikal alət və texnikaları seçirlər.


Girişin qorunması: sonuncu mərhələdə etik xakerlər məqsədlərini tam reallaşdırmaq üçün giriş əldə etdikləri sistemə uzun müddət bağlı qalmağa cəhd göstərirlər. Bu müddətdə onlar məlumatları silmək, dəyişdirmək, yaxud funksionallığından sui-istifadə edərək, hücumun hansı müstəvidə təsir edə biləcəyini göstərirlər.


İstinadlar:

https://www.coresecurity.com/penetration-testing#what-is-pen-testing

https://comtact.co.uk/blog/types-of-penetration-test-whats-the-difference/

https://searchsecurity.techtarget.com/definition/penetration-testing

https://www.contrastsecurity.com/knowledge-hub/glossary/penetration-testing

https://www.synopsys.com/glossary/what-is-penetration-testing.html

https://www.itgovernance.co.uk/penetration-testing

https://www.csoonline.com/article/2943524/11-penetration-testing-tools-the-pros-use.html

https://csrc.nist.gov/glossary/term/penetration_testing

https://www.imperva.com/learn/application-security/penetration-testing/

https://www.cloudflare.com/learning/security/glossary/what-is-penetration-testing/


71 views0 comments