Core Security. Ο ρόλος των «in-house» δοκιμών παρείσδυσης (pen testing)

Κάποτε, ο σύμβουλος για θέματα ασφαλείας Roger Grimes έγραψε: «Για να νικήσεις τους hackers, θα πρέπει να σκέφτεσαι όπως αυτοί». Ο Roger Grimes στη συνέχεια εξήγησε ότι οι επαγγελματίες από τον χώρο της κυβερνοασφάλειας θα πρέπει να μπαίνουν στη θέση των επιτιθέμενων, να αναζητούν τρόπους παρείσδυσης στα εταιρικά συστήματα και να γυρεύουν αδυναμίες για να δημιουργήσουν ισχυρά αντίμετρα ασφαλείας. Ακριβώς αυτό είναι μία δοκιμή παρείσδυσης: να ακολουθήσεις κάθε βήμα του επιτιθέμενου.

Τι είναι μία in–house δοκιμή παρείσδυσης;

Οι «in-house» δοκιμές παρείσδυσης είναι με απλά λόγια οποιεσδήποτε προσπάθειες ή απόπειρες παρείσδυσης πραγματοποιούνται από την ίδια την εταιρεία ή τον οργανισμό. Αντί να προσλάβουν κάποιον τρίτο ή να ζητήσουν τη συνδρομή κάποιας εξωτερικής υπηρεσίας για την εκτέλεση των δοκιμών παρείσδυσης, οι επιχειρήσεις μπορούν να διεξαγάγουν από μόνες τους δοκιμές παρείσδυσης για να αξιολογήσουν τη στάση ή την κατάσταση ασφαλείας τους.

Αν και δεν είναι λίγοι εκείνοι που πιστεύουν ότι για την διεξαγωγή ενός επιτυχημένου προγράμματος δοκιμών παρείσδυσης απαιτείται μία πλήρης εσωτερική ομάδα που θα ασχολείται αποκλειστικά με το «pen testing», οι οργανισμοί μπορούν να θέσουν χαμηλά τον πήχη στα πρώτα στάδια, έχοντας μόνο έναν υπάλληλο ή επιφορτίζοντας την ομάδα ασφαλείας τους και με τα καθήκοντα των δοκιμών παρείσδυσης. Οι εταιρείες και οργανισμοί μπορούν να αξιοποιήσουν εργαλεία δοκιμών παρείσδυσης που διαθέτουν αυτοματοποιημένες λειτουργίες και που μπορούν να χρησιμοποιηθούν από μία ομάδα ασφαλείας, ακόμα και αν τα μέλη της δεν έχουν πολλές γνώσεις ή το κατάλληλο τεχνολογικό υπόβαθρο για την εκτέλεση δοκιμών παρείσδυσης. Τέτοια εργαλεία μπορούν να χρησιμοποιηθούν για δοκιμές που είναι εύκολες στην εκτέλεση, αλλά και που είναι απαραίτητο να πραγματοποιούνται ανά τακτά χρονικά διαστήματα, όπως είναι η επικύρωση σαρώσεων για ευπάθειες, η συλλογή πληροφοριών δικτύου, η κλιμάκωση προνομίων ή οι προσομοιώσεις phishing.

Η Έκθεση Δοκιμών Παρείσδυσης 2023 κατέστησε σαφές ότι οι οργανισμοί αντιλαμβάνονται τη σημασία των «in-house» δοκιμών παρείσδυσης, καθώς το 48% των ερωτηθέντων δήλωσαν ότι έχουν εσωτερικές ομάδες για αυτή τη δουλειά. Το ποσοστό μάλιστα σημειώνει αύξηση 7% σε σύγκριση με τα αποτελέσματα του 2022.

Γιατί οι οργανισμοί πραγματοποιούν τις δικές τους δοκιμές παρείσδυσης;

Η δυνατότητα εκτέλεσης των δοκιμών παρείσδυσης από την ίδια την εταιρεία σας, αποτελεί σημαντική βοήθεια για να κλιμακώσετε γρήγορα τις προσπάθειες σας. Έτσι, είναι δυνατόν να εκτελούνται δοκιμές ανά τακτά χρονικά διαστήματα και μάλιστα καλύπτοντας μεγαλύτερο εύρος της υποδομής πληροφορικής σας. Κατ’ αυτόν τον τρόπο μπορείτε επίσης να διασφαλίσετε ότι οι όποιες αλλαγές στην υποδομή σας αξιολογούνται πιο σωστά και αποτελεσματικά ώστε να είστε σίγουροι ότι δεν δημιουργούνται νέα κενά ασφαλείας.

Σύμφωνα με την έκθεση, οι οργανισμοί πραγματοποιούν δοκιμές παρείσδυσης για πολλούς λόγους. Το 69% αναφέρει ότι πραγματοποιεί δοκιμές παρείσδυσης για να αξιολογήσει αποτελεσματικότερα τους κινδύνους καθώς και για να ιεραρχήσει αποτελεσματικότερα τις όποιες προτεραιότητες αποκατάστασης. Έχοντας εσωτερική γνώση του οργανισμού, οι ομάδες ασφαλείας μπορούν να προσαρμόσουν τα σχέδια αποκατάστασης τους καθώς έχουν μία ολοκληρωμένη εικόνα για τους διαθέσιμους πόρους και τους περιορισμούς τους. Μπορούν επίσης να περιγράψουν ποιες είναι οι καλύτερες και αποτελεσματικότερες αλλαγές που είναι εφικτό να γίνουν και να βοηθήσουν στην εφαρμογή τους.

Το 58% ανέφερε ότι οι δοκιμές παρείσδυσης πραγματοποιούνται από την ίδια την εταιρεία για λόγους κανονιστικής συμμόρφωσης ενώ το 40% ανέφερε ότι πραγματοποιούνται για λόγους πολιτικής της εταιρείας. Έχοντας επίσης τη δυνατότητα εκτέλεσης των δοκιμών παρείσδυσης «in-house» διασφαλίζετε ότι καλύπτονται και με το παραπάνω οι όποιες απαιτήσεις και πρότυπα και ότι δεν θα γίνουν συμβιβασμοί. Εκτελώντας συνεχείς δοκιμές, οι οργανισμοί μπορούν να υπερβούν κατά πολύ τις ελάχιστες απαιτήσεις ενός κανονισμού ή ενός νόμου.

Λόγοι για την διεξαγωγή δοκιμών παρείσδυσης

Ανεξαρτήτως από τους λόγους, δεν εκτελούμε δοκιμές παρείσδυσης απλώς για να λέμε ότι «τσεκάραμε ένα ακόμη κουτάκι» στις διαδικασίες μας. Οι επιχειρήσεις οφείλουν στη συνέχεια να κάνουν το επόμενο βήμα και να λάβουν όλα τα απαραίτητα μέτρα για την αντιμετώπιση ή τον μετριασμό των αδυναμιών που εντοπίστηκαν. Ένα πρόγραμμα δοκιμών παρείσδυσης δεν ολοκληρώνεται με την εντοπισμό των τρωτών σημείων και των αδυναμιών: ένα σωστό πρόγραμμα μπορεί να βοηθήσει τους οργανισμούς να επιτύχουν τη μέγιστη δυνατή κάλυψη και το καλύτερο δυνατό αποτέλεσμα.

Κάθε δοκιμή παρείσδυσης περιλαμβάνει πολλά βήματα, από τον προσδιορισμό του εύρους και τη συλλογή πληροφοριών μέχρι τη μοντελοποίηση απειλών, την ανάλυση και τη δημιουργία αναφορών. Παρόλα αυτά, οι επιδιώξεις, η μεθοδολογία, οι συνθήκες και οι στόχοι μπορεί να διαφέρουν σημαντικά και εξαρτώνται από το αν κάποιος οργανισμός επιλέξει τις εσωτερικές ή τις εξωτερικές δοκιμές παρείσδυσης.

Οι προκλήσεις των «in–house» δοκιμών παρείσδυσης

Αν και οι δοκιμές παρείσδυσης που διεξάγονται από τις ίδιες τις εταιρείες φαίνεται να γνωρίζουν άνοδο, το 52% των εταιρειών δεν διαθέτει κάποια ομάδα εκτέλεσης δοκιμών παρείσδυσης εσωτερικά. Οι παράγοντες που έχουν συμβάλει σε αυτή τη διαπίστωση είναι αρκετοί, με σημαντικότερο παράγοντα την έλλειψη προσωπικού με τις απαιτούμενες γνώσεις και το κατάλληλο τεχνολογικό υπόβαθρο ή εμπειρία.

Το χάσμα δεξιοτήτων αποτελεί επίμονο ζήτημα στον κλάδο της κυβερνοασφάλειας και είναι κάτι που επηρεάζει και τη στελέχωση και τη σύσταση των ομάδων δοκιμών παρείσδυσης. Πράγματι, σύμφωνα με τη μελέτη Cybersecurity Workforce Study 2022 του (ISC)² για το εργατικό δυναμικό στον κλάδο της κυβερνοασφάλειας, το χάσμα δεξιοτήτων του εργατικού δυναμικού στον κλάδο της κυβερνοασφάλειας έχει αυξηθεί δύο φορές περισσότερο από το ίδιο το εργατικό δυναμικό, σημειώνοντας αύξηση 26,2% από έτος σε έτος.

Επιπλέον, οι κλάδοι της τεχνολογίας και της κυβερνοασφάλειας επηρεάστηκαν μαζικά από το λεγόμενο «The Great Reshuffle» (για άλλους The Great Resignation) που δημιούργησε περαιτέρω προκλήσεις στη διατήρηση του προσωπικού. Σε έναν κλάδο με τόσες πολλές θέσεις εργασίας, δεν είναι ασυνήθιστο να υπάρχει περισσότερη κινητικότητα και αστάθεια στη δημιουργία οποιασδήποτε ομάδας.

Άλλοι παράγοντες που επηρεάζουν την ικανότητα (ή την απόφαση) ενός οργανισμού να διατηρεί από μόνος του μία ομάδα εκτέλεσης δοκιμών παρείσδυσης είναι η έλλειψη ηγεσίας και η επακόλουθη έλλειψη απαιτούμενης χρηματοδότησης. Τα παραπάνω ευρήματα, σε συνδυασμό με απόψεις του τύπου «δεν υφίσταται σημαντικός λόγος ή μεγάλη ανάγκη» δεν δείχνουν τίποτα περισσότερο από την έλλειψη αντίληψης και την αδυναμία ιεράρχησης των προτεραιοτήτων.

Χρήση εργαλείων για την εκτέλεση εσωτερικών δοκιμών παρείσδυσης

Η αξιοποίηση μίας λύσης εκτέλεσης δοκιμών παρείσδυσης μπορεί να βοηθήσει τους οργανισμούς να ξεπεράσουν πολλές από τις προαναφερθείσες προκλήσεις. Την ώρα που το χάσμα δεξιοτήτων ενδέχεται να αποτελεί σημαντικό εμπόδιο στην εύρεση και στην πρόσληψη εξειδικευμένων και με εμπειρία δοκιμαστών (testers) από έναν οργανισμό, οι επαγγελματίες ασφάλειας ή πληροφορικής δεν χρειάζεται να έχουν μεγάλη εμπειρία αν έχουν τη βοήθεια ενός αποτελεσματικού εργαλείου. Ένα αυτοματοποιημένο εργαλείο δοκιμών παρείσδυσης, όπως το Core Impact, μπορεί να τους καθοδηγήσει με τις συνήθεις, τυπικές δοκιμές και τεχνικές. Τα εργαλεία αυτού του είδους επίσης μπορούν να χρησιμοποιηθούν χωρίς να είναι απαραίτητη η αύξηση του αριθμού των εργαζομένων σας και επομένως αποδεικνύονται ιδιαίτερα αποδοτικά από άποψη κόστους. Επωφεληθείτε από τη δυνατότητα εκτέλεσης δοκιμών παρείσδυσης «in-house» με τη βοήθεια του Core Impact.

Πηγή: Core Security