Vloupání z dobrého důvodu

Ne všichni hackeři útočící na společnosti jsou padouši; někteří jsou za to placeni svým cílem. Ve službě známé jako penetrační testování se bezpečnostní firma pokouší získat přístup k systémům klienta nebo je ovládat, aby odhalila slabá místa, která by mohl zneužít skutečný útočník.

Hledání potíží: Brian Holyfield, spoluzakladatel Gotham Digital

Některé typy podniků jsou ze zákona povinny podstoupit penetrační testy, ale mnoho dalších se pro ně také rozhodlo, říká Brian Holyfield, spoluzakladatel společnosti Gothamská digitální věda , společnost se sídlem v New Yorku, která se na tuto službu specializuje. Holyfield řekl Tom Simonite, Recenze technologie 's IT editor pro hardware a software, že během některých velkých zakázek Gotham nasazuje tři své hackery proti společnosti na týdny v kuse.

DĚTI : Proč je potřeba penetrační testování? Nemohli byste prostě společnosti říct, jaké zranitelnosti by útočník hledal?

Holyfield: Nehledáme standardní zranitelnosti. Většinu času hledáme zranitelnosti na úrovni kódu ve vlastních aplikacích. Webové aplikace má nyní každý a realita je taková, že firewall je málo chrání.

S jakými typy společností spolupracujete?

Spolupracujeme především s bankovnictvím a financemi, zdravotnictvím a dodavateli softwaru. Očekává se, že všechny weby a systémy, které přijímají kreditní karty, provedou testování, pokud provedou více než určitý počet transakcí za rok. Ale mnoho společností k tomu není nuceno. Největší trh, kterému sloužíme, jsou společnosti, které poskytují software jako službu. Zákazníci se jich ptají, co dělají, aby zajistili bezpečnost.

Bojí se zákazníci dobrovolného hacknutí?

Když si tím někdo projde poprvé, zavládne nervozita a dokonce paranoia. Musíme pracovat na tom, aby odložili svá ega a pochopili, že to není cvičení my versus oni; nesnažíme se, aby někdo vypadal špatně. Když test perem skončí, klienti jsou obecně rádi, že jsme problém našli dříve než padouch.

Jaký je dobrý příklad zranitelností, které jste našli?

Při jedné nedávné angažovanosti jsme kompromitovali marketingový web velké finanční instituce, který běžel na neopraveném webovém serveru. Tento server byl použit jako skokový bod k procházení firewallem a získání připojení k systémům v jejich vnitřní síti.

Zjistili jsme, že jeden z účtů [převzatých z] webového serveru (prolomili jsme heslo) byl také správcem trezoru, který uchovává hesla všech pro tuto síť. Mohli jsme se přihlásit jako kdokoli. Dobrou lekcí je, že to, že systém není kritický, neznamená, že jej lze z bezpečnostního hlediska odepsat. Jakmile získáte přístup k perimetru, máte obvykle mnohem více možností pro útok na důležitější systémy, protože jste nyní za firewallem. Další lekcí je důležitost nepoužívat stejné heslo na různých systémech.

Poté, co váš útok skončí, co předložíte zákazníkovi?

Vždy máme písemnou zprávu a podrobné snímky obrazovky a pokyny, které můžeme předat vývojáři a říci: Tady je návod, jak to udělat. Po penetračním testu přidáme hodnotu tím, že ujasníme, co přesně je třeba udělat. To je srovnatelné s klasickým bezpečnostním auditem, který má tendenci být silně zatížen osvědčenými postupy.

Liší se lidé, kteří to dělají pro dobré lidi, od těch špatných?

Vyžaduje to nejen specializované dovednosti, ale také určitý typ člověka. Nejde o to, že by lidé byli dobří ve své práci, jako spíše o jejich koníčku, o tom, čím žijí a dýchají. Mají touhu nejen zjistit, jak něco funguje, ale také přijít na to, jak použít něco [k účelu], pro který to nebylo určeno.

Je to tenká hranice mezi někým, kdo má takovou vášeň jen pro zájem a znalosti, a někým, kdo způsobí škodu nebo se pokusí vydělat peníze. Když hledáme talenty, součástí našeho náborového procesu je velmi přísná prověrka, abychom našli temnou stránku. Bylo mnoho případů, kdy známe velmi talentované lidi, které prostě nemůžeme najmout.

Je penetrační testování stále běžnější?

Ano, začíná to být mnohem mainstreamovější. Jedním ze znaků toho je, že pro lidi je stále snazší získat povolení od svého poskytovatele internetových služeb, který musí vědět, aby pochopili, že nejde o skutečný útok. Dnes to infrastrukturní společnosti jako Amazon velmi usnadňují. Pokud jste hostováni v cloudu Amazonu, je získání povolení k penetračnímu testu stejně snadné jako vyplnění jednoduchého webového formuláře.

Mohlo penetrační testování připravit Sony na nedávné útoky, při nichž byla ukradena uživatelská data?

Penetrační test se obvykle zaměřuje na přední dveře, ale existuje spousta oken. Myslím, že Sony bylo ve skutečnosti cíleno konkrétně. Sociální inženýrství a spear phishing [vytváření zpráv s cílem přimět konkrétní osobu k odhalení citlivých dat] mohly být použity proti jednotlivcům s přístupem k datům. Testování útoků sociálního inženýrství je možností pro perový test, ale většina lidí to nedělá. Rizika už znají.

skrýt

211service.com

Vloupání z dobrého důvodu

Nejlepší

Jak blízko je AI k dekódování našich emocí?

Umělá inteligence se učí, kdy by se měla a neměla podřídit člověku

Virtuální realita se zaměřuje na mobilní telefon

Hledání jádra mozku

Freakonomics posouvá hranice ekonomiky

Kategorie

Populární Články