Does this exploit vulnerabilities?
Any vulnerabilities
identified during the
engagement may be used by
the penetration tester towards
achieving their objective.
Το Penetration Test προσομοιώνει μια κυβερνοεπίθεση σε συστήματα πληροφορικής (IT Infrastructure) επιτρέποντας την δοκιμή πολλών ειδών και τύπων επιθέσεων.
Η επίθεση γίνεται με την χρήση αυτοματοποιημένων εργαλείων και frameworks, αλλά το κύριο “συστατικό”, είναι η ικανότητα του δοκιμαστή (penetration tester), ή και τις ομάδας αυτών να αναλύσουν, αναπτύξουν και να σκεφτούν out of the box, για να επιτεθούν στα συστήματα IT προσομοιώνοντας μια κανονική επίθεση.
Κάποια είδη Penetration Testing είναι:
- Penetration Test Εξωτερικού Δικτύου
- Penetration Test Εσωτερικού Δικτύου
- Penetration Test Διαδικτυακών Εφαρμογών
- Penetration Test Εφαρμογών για κινητά
- Penetration Test για Cloud συστήματα
- Penetration Test Ασύρματου Δικτύου
- Penetration Test για Vessel IT/OT
Ποιο είναι το αποτέλεσμα αυτής της προσομοίωσης;
Μετά το τέλος της, αναπτυχθεί μια εκτεταμένη τεχνική έκθεση που θα περιλαμβάνει:
- Περίληψη – επεξήγηση των ευπαθειών που εντοπίστηκαν, αξιολόγηση επικινδυνότητας για τον οργανισμό σας, καθώς και συστάσεις και προτάσεις για την διόρθωση τους.
- Ευρήματα – λίστα με όλες τις ευπάθειες που εντοπίστηκαν κατά την επίθεση, είδος, επικινδυνότητα, και λοιπές πληροφορίες για κάθε ευπάθεια.
- Αναλυτικά Ευρήματα
– Επικινδυνότητα της ευπάθειας.
– Το σύστημα, URL ή άλλη διεργασία η οποία περιέχει την ευπάθεια
– Με ποιόν τρόπο o δοκιμαστής την εκμεταλλεύτηκε
– Η επικινδυνότητα της
– Αναλυτική τεχνική περιγραφή για το πως μπορεί κάποιος να την εκμεταλλεύεται (replication)
– Συμβουλές για την επίλυση της (remediation advice) - Παράρτημα– αποτελέσματα μετά την εκμετάλλευση ευπαθειών.
Κατά την αξιολόγηση της συνολικής βαθμολογίας κινδύνου για κάθε ευπάθεια, θα ληφθούν υπόψη οι ακόλουθοι παράγοντες:
- Επιπτώσεις – η επίπτωση που θα έχει στον οργανισμό ή εταιρεία η εκμετάλλευση της ευπάθειας από κάποιον κακόβουλο.
- Risk – the risk posed to the organization if this vulnerability
was exploited - Ρίσκο – τι ρίσκο έχει για την εταιρεία ή οργανισμό σας η εκμετάλλευση της ευπάθειας από κάποιον κακόβουλο
- Likelihood – the likelihood that this vulnerability could
be exploited - Πιθανότητα – πόσο πιθανό είναι η ευπάθεια αυτή να εκμεταλλευθεί, βάσει δυσκολίας (technical complexity)
Για κάθε ευπάθεια θα αναπτυχθεί μια τεχνική πρόταση για την αποκατάσταση
της η οποία θα περιλαμβάνει είτε:
- Επίσημη αναβάθμιση από κατασκευαστή, όπως π.χ firmware, software patch.
- Στις περιπτώσεις που δεν υπάρχει επίσημη διόρθωση από τον κατασκευαστή, θα συστηθεί η χρήση κάποιας εναλλακτικής λύσης
- Προτάσεις για την βελτιστοποίηση διαδικασιών και διεργασιών.