Core Security. Επιτυγχάνοντας ισορροπία μεταξύ των εσωτερικών και των εξωτερικών δοκιμών παρείσδυσης (pen testing)
Με το τοπίο απειλών να διευρύνεται και τους κυβερνοεγκληματίες να εκμεταλλεύονται με επιτυχία τις ευπάθειες και τα κενά ασφαλείας, οι οργανισμοί στρέφονται ολοένα και περισσότερο σε ελέγχους ασφάλειας που μπορούν να τους βοηθήσουν να περιορίσουν την έκθεση τους. Μεταξύ των ελέγχων, η δοκιμή παρείσδυσης έχει ξεχωριστή θέση, καθώς προσομοιώνει τις κακόβουλες δραστηριότητες και τακτικές που χρησιμοποιούν οι επιτιθέμενοι για να εντοπίζουν κενά ασφαλείας και τρωτά σημεία στις εταιρικές υποδομές, στα συστήματα ή στις εφαρμογές. Ο σκοπός της εκτέλεσης μίας δοκιμής παρείσδυσης δεν είναι άλλος από το να βοηθήσει τους οργανισμούς να κατανοήσουν που εντοπίζονται ευπάθειες και τρωτά σημεία στα εταιρικά συστήματα, πως και με ποιους τρόπους θα μπορούσαν να αξιοποιηθούν από τους επιτιθέμενους καθώς και ποιος ο πιθανός αντίκτυπός τους στην περίπτωση που κάποιος εισβολέας καταφέρει να επιτύχει τον σκοπό του. Επειδή οι δοκιμές παρείσδυσης διερευνούν διεξοδικά αυτό που ονομάζουμε «τρωτότητα», το εύρος (ή η κλίμακα) κάθε δοκιμής πρέπει να είναι περιορισμένη ενώ μπορεί να διαφέρει από δοκιμή σε δοκιμή. Οι δοκιμές παρείσδυσης διακρίνονται σε δύο τύπους επίσης: την εσωτερική και την εξωτερική. Στο συγκεκριμένο άρθρο θα εξετάσουμε τι είναι μία εσωτερική και τι μία εξωτερική δοκιμή παρείσδυσης, ποιος μπορεί να εκτελέσει αυτές τις δοκιμές και γιατί οι οργανισμοί χρειάζονται και τις δύο.
Ξεπερνώντας την περίμετρο: Εξωτερικές δοκιμές παρείσδυσης
Στην Έκθεση Δοκιμών Παρείσδυσης 2023 αποκαλύφθηκε ότι το 77% των επαγγελματιών ασφαλείας πραγματοποιεί ελέγχους ασφαλείας όπως δοκιμές παρείσδυσης στην εξωτερική υποδομή της εταιρείας τους. Ουσιαστικά, τα εξωτερικά δίκτυα αποτελούνται από όλα τα εταιρικά περιουσιακά στοιχεία που «κοιτούν προς τα έξω» -συμπεριλαμβανομένου και του Διαδικτύου γενικότερα. Επιπλέον, πολλές εταιρικές εφαρμογές, όπως είναι οι διακομιστές αλληλογραφίας, οι ιστοσελίδες ή ακόμα και οι πύλες αυτοεξυπηρέτησης πελατών διατηρούν σύνδεση με αυτά τα εξωτερικά δίκτυα και επομένως δύναται να «κρύβουν» μία εισοδο για να εισβάλει στην εσωτερική υποδομή κάποιος παράγοντας απειλής.
Οι εξωτερικές δοκιμές παρείσδυσης δεν είναι κάτι περισσότερο από αυτό που μαρτυρά η ονομασία τους: Οι συγκεκριμένες δοκιμές περιλαμβάνουν τις ίδιες τεχνικές που χρησιμοποιούν και οι κυβερνοεγκληματίες όταν αποπειρώνται να εκμεταλλευτούν τις αδυναμίες της εξωτερικής περιμέτρου ενός οργανισμού ή όταν επιχειρούν να τις παρακάμψουν εντελώς χρησιμοποιώντας στρατηγικές όπως εκστρατείες ηλεκτρονικού ψαρέματος (phishing) ή άλλες μεθόδους κοινωνικής μηχανικής.
Πέρα από την αρχική παραβίαση: Εσωτερικές δοκιμές παρείσδυσης
Η φετινή έκθεση έδειξε επίσης ότι το 73% των επαγγελματιών ασφαλείας πραγματοποιούν δοκιμές παρείσδυσης και ελέγχους στην εσωτερική εταιρική υποδομή. Οι εσωτερικές δοκιμές παρείσδυσης αναλαμβάνουν τον ρόλο ενός επιτιθέμενου ή κυβερνοεγκληματία που έχει ήδη αποκτήσει πρόσβαση στο εταιρικό δίκτυο και επιδιώκει να κλιμακώσει προνόμια για να μετακινηθεί εσωτερικά στο δίκτυο (lateral movement0, να αποκτήσει περισσότερο έλεγχο και να προκαλέσει μεγαλύτερη ζημιά. Αυτά τα υποτιθέμενα σενάρια παραβίασης ασχολούνται επίσης και με τα κενά ασφαλείας που θα μπορούσε να εκμεταλλευτεί ο επιτιθέμενος.
Οι εσωτερικές επιθέσεις μπορεί να προέρχονται από κακόβουλους υπαλλήλους (κατόχους εσωτερικών ή εμπιστευτικών πληροφοριών), από απρόσεκτους υπαλλήλους (των οποίων τα διαπιστευτήρια έχουν υποκλαπεί ή παραβιαστεί), από τρίτους συνεργάτες (π.χ. προμηθευτές των οποίων η υποδομή έχει παραβιαστεί) ή ακόμη και από πελάτες. Οι εσωτερικές απειλές μπορεί να είναι οτιδήποτε, από κακές συνήθειες υγιεινής κυβερνοασφάλειας, όπως αδύναμους κωδικούς πρόσβασης και κακούς ελέγχους πρόσβασης μέχρι εσφαλμένες διαμορφώσεις συστημάτων και εφαρμογών και μη προστατευμένα τερματικά. Στην έκθεση Verizon 2022 Data Breach Investigations Report υποδεικνύεται ότι οι παραβιάσεις δεδομένων σε ποσοστό 13% οφείλονται σε ανθρώπινα σφάλματα.
Αν και πολλοί πιστεύουν ότι οι δοκιμές παρείσδυσης επικεντρώνονται στο αρχικό κομμάτι μίας παραβίασης, είναι εξίσου σημαντικό να εκτελεστούν δοκιμές που εστιάζουν και σε όσα συμβαίνουν όταν ο αντίπαλος βρίσκεται ήδη εντός της περιμέτρου. Δεδομένου ότι τέτοιες επιθέσεις ξεκινούν με εσωτερική πρόσβαση, ενδέχεται να αποπειραθούν να μπουν στο στόχαστρο τους υψηλότερης αξίας περιουσιακά στοιχεία, όπως είναι προνόμια υψηλού επιπέδου, η παραβίαση του domain ή η πρόσβαση σε άλλα πολύτιμα περιουσιακά στοιχεία ή/και πληροφορίες (π.χ. πνευματική ιδιοκτησία, σχέδια, στρατηγικές κ.ά.). Ακριβώς για αυτούς τους λόγους είναι ζωτικής σημασίας να εντοπίσετε και να προτεραιοποιήσετε τους συγκεκριμένους φορείς απειλής.
Ποιος πρέπει να εκτελεί αυτές τις δοκιμές;
Αν και το πιθανότερο είναι να σκεφτείτε ότι η εσωτερική ομάδα ασφάλειας πληροφορικής ενός οργανισμού είναι εκείνη που είναι πιθανότερο να αναλάβει την διεξαγωγή των εσωτερικών δοκιμών παρείσδυσης και μία εξωτερική, τρίτη ομάδα να αναλάβει τις εξωτερικές δοκιμές, εντούτοις τα πράγματα δεν είναι έτσι. Και οι δύο ομάδες μπορούν να προχωρήσουν στη διεξαγωγή εσωτερικών και εξωτερικών δοκιμών παρείσδυσης.
Η μόνη εξαίρεση μπορεί να είναι οι φυσικές δοκιμές παρείσδυσης. Οι συγκεκριμένες εξωτερικές δοκιμές περιλαμβάνουν την απόπειρα εισόδου ενός φυσικού ατόμου σε μια εγκατάσταση, σε κάποιο σύστημα ή δίκτυο εκμεταλλευόμενο αδυναμίες όπως πόρτες, κλειδαριές, κάμερες ή άλλα στοιχεία ελέγχου πρόσβασης. Οι ομάδες που ολοκληρώνουν τέτοιες δοκιμές και αξιολογήσεις προέρχονται από τρίτους. Αυτό άλλωστε επιβεβαιώνει και η Έκθεση Δοκιμών Παρείσδυσης 2023 με το 36% των ερωτηθέντων να απαντά ότι για τέτοιες υπηρεσίες χρησιμοποιήθηκαν τρίτοι.
Η χρήση πάντως και των δύο τύπων ομάδων, και της εσωτερικής και της εξωτερικής, δίνει τη δυνατότητα στους οργανισμούς να εκτελούνται περισσότερες δοκιμές συχνότερα. Οι εσωτερικές ομάδες μπορούν να προχωρήσουν στην διεξαγωγή των δοκιμών παρείσδυσης ρουτίνας συχνότερα ενώ οι υπηρεσίες τρίτων καλούνται να παρέχουν νέες ιδέες και προοπτικές και διαφορετικά σύνολα δεξιοτήτων.
Μία ολιστική στρατηγική για τη διεξαγωγή δοκιμών παρείσδυσης
Αν και οι οργανισμοί καλούνται να λάβουν δύσκολες αποφάσεις όταν καλούνται να αποφασίσουν για το ποιες δοκιμές έχουν τον χρόνο και τους πόρους να διεξαγάγουν, ένα από τα σημαντικότερα κριτήρια που πρέπει να ληφθούν υπόψη είναι αν υπάρχει ισορροπία μεταξύ των εσωτερικών και των εξωτερικών δοκιμών παρείσδυσης.
Αν πραγματοποιούνται αποκλειστικά εξωτερικές δοκιμές, τότε αγνοούνται ή παραβλέπονται τα κενά ασφαλείας και οι ευπάθειες που ενδέχεται να αποτελέσουν αντικείμενο εκμετάλλευσης κάποιου κακόβουλου υπαλλήλου ή κάποιου επιτιθέμενου στα χέρια του οποίου έπεσε κάποιος παραβιασμένος λογαριασμός. Με στρατηγικές όπως το ηλεκτρονικό ψάρεμα (phishing) να γίνονται όλο και δημοφιλέστερες μεταξύ των κυβερνοεγκληματιών, είναι σημαντικό να έχετε πάντα στον νου σας πόσο εύκολα μπορεί να αποκτήσει κάποιος πρόσβαση από εσωτερική πληροφόρηση. Επίσης, αν πραγματοποιούνται μόνο εσωτερικές δοκιμές, ενδέχεται να αφήσετε ακούσια κάποια πόρτα ανοικτή την οποία θα μπορούσε να αξιοποιήσει κάποιος εισβολέας για να εισέλθει στην υποδομή σας χωρίς μεγάλη δυσκολία.
Εν κατακλείδι, οι οργανισμοί μπορούν να διασφαλίσουν ότι προστατεύονται επαρκώς και ότι έχουν πλήρη ορατότητα στη στάση ασφαλείας τους μόνο όταν προχωρούν στη διεξαγωγή τόσο εσωτερικών όσο και εξωτερικών δοκιμών παρείσδυσης. Στην Έκθεση Δοκιμών Παρείσδυσης για το έτος 2022 αποκαλύφθηκε ότι τα εσωτερικά περιβάλλονται ελέγχονταν τακτικά κατά 14% λιγότερο σε σύγκριση με τα εξωτερικά περιβάλλοντα. Με το χάσμα αυτό να μειώνεται στο μόλις 4% το 2023, είναι ενθαρρυντικό που φέτος βλέπουμε τους οργανισμούς και τις εταιρείες να προσπαθούν να κρατήσουν αυτή την ισορροπία.
Πηγή: Core Security