Έλεγχος ευπαθειών δικτύου (Penetration Test ή Penetration Testing Ελλάδα)
Διαβαζετε αυτή την ενότητα για το Penetration Test ή Testing στην Ελλάδα διότι αναζητήσατε έναν απο τους παρακάτω όρους, οι οποίοι αφορούν το θέμα: Έλεγχος ευπαθειών δικτύου, ιστοσελίδας ή eshop.
Αν αναζητάτε κάτι απο τα παρακάτω θα διαβάσετε με απλά λόγια τις επιλογές που περέχει η εξειδικευμένη ομάδα μηχανικών της TicTac ούτως ώστε να καλύψει τις ανάγκες σας:
-
Έλεγχος ασφαλείας πληροφοριακών συστημάτων και διαδικτυακών πόρων
-
Penetration Test
-
Penetration Testing
-
Έλεγχος ευπαθειών δικτύου και επισήμανση κενών ασφαλείας
-
Έλεγχος ευπαθειών ιστοσελίδας και κάλυψη κενων ασφαλείας
-
Έλεγχος ευπαθειών eshop
-
Security Audit
-
Έλεγχος Ασφάλειας Δικτυακής Υποδομής
-
Εντοπισμός κενών ασφαλείας δικτύου
Τι κινδύνους αντιμετωπίζει σήμερα ένα εταιρικό περιβάλλον;
Κάθε εταιρικό περιβάλλον ή οργανισμός βασίζεται στους μηχανικούς πληροφορικης που διαθέτει, είτε εσωτερικοί είτε εξωτερικοί συνεργάτες, ούτως ώστε να διασφαλίσουν οτι οι εσωτερικές υποδομές (εσωτερικό δίκτυο, Servers, Backups, κοινόχρηστοι πόροι κλπ) ή οι εξωτερικοί πόροι (Website/eshop) είναι ασφαλείς απο εξωτερικές επιθέσεις.
Όμως πρακτικά αυτό στις περισσότερες περιπτώσεις δεν γίνεται σωστά καθώς τα κενά ασφαλείας που παρουσιάζονται καθημερινά, είναι πάρα πολλά, με αποτέλεσμα να μην υπάρχει η απαραίτητη τεχνογνωσία απο τους μηχανικούς πληροφορικής που εργάζονται στον οργανισμό, να γνωρίζουν όλες τις ευπάθειες.
Πλέον υπάρχουν εξειδικευμένοι μηχανικοί πληροφορικής που εξειδικεύονται στα κενά ασφαλείας (Cyber Security Experts), οι οποίοι σε συνεργασία με το υπάρχον προσωπικό ή εξωτερικούς συνεργάτες του οργανισμού σας, μπορούν να εντοπίσουν πολύ περισσότερα κενά ασφαλείας και να διεξάγουν έναν έλεγχο με αυστηρότερα standards, ούτως ώστε να γνωρίζετε κι εσείς απο τι κινδυνέυετε και να επιλέξετε που θα εστιάσετε.
Τα περιστατικά Ransomware και Cyber Attacks (εξωτερικές δικτυακές επιθέσεις) έχουν πολλαπλασιαστεί τα τελευταία χρόνια και μπορεί να κοστίσουν σε μια επιχείρηση την βιωσιμότητα της. Δεν είναι τυχαίο το γεγονός οτι κάποιοι οργανισμοί, αναγκάστηκαν να κάνουν παύση της λειτουργίας τους καθώς δεν μπόρεσαν να ανακάμψουν μετά απο μια ψηφιακή επίθεση που τους κόστισε τα δεδομένα τους.
Τί είναι ο Ελεγχος Τρωτών Σημείων Δικτύου (Penetration Test);
- την καταγραφή των κενών ασφαλείας και των μη αποτελεσματικών διαδικασιών
- τον έλεγχο (επιφανειακό ή σε βάθος) των συστημάτων ασφαλείας
- την αξιολόγηση της αποτελεσματικότητας των εργαλείων που προστατεύουν την δικτυακή υποδομή σας
Τι είδη ελέγχων ασφαλείας παρέχονται;
-
Έλεγχος για ευπάθειες Ransomware
-
Έλεγχος Ασφάλειας Εσωτερικού Δικτύου (Internal Network Penetration Test)
-
Έλεγχος Ασφάλειας Ασύρματου Δικτύου (WiFi Penetration Test)
-
Έλεγχος Ασφάλειας Website / Eshop
-
Έλεγχος Ασφάλειας VOIP τηλεφωνικού κέντρου (VOIP PBX Penetration Test)
-
On-Site / Off Site Penetration Test
Διαθέσιμα πακέτα Security Audits της TicTac Data Recovery:
ΠΑΚΕΤΟ 1: CHECKLIST ΓΙΑ RANSOMWARE
- Patch level – patching policy applied
- Domain: είναι όλα τα συστήματα μέλη σε domain με σχετικές πολιτικές περιορισμού δικαιωμάτων χρήστη;
- Proxy: Χρησιμοποιείται κάποιος proxy για access στο Internet;
- Λύσεις UTM, firewall, IDS/IPS που χρησιμοποιούνται.
- Χρήση antimalware (enterprise antivirus + endpoint security)
- Backup policy
ΠΑΚΕΤΟ 2: ΕΞΩΤΕΡΙΚΟΣ ΕΛΕΓΧΟΣ (Penetration Test)
- Έλεγχος περιμέτρου (Penetration Test): ανίχνευση ενεργών επικοινωνιών, πορτών και πρωτοκόλλων.
- Σάρωση περιμέτρου και ανεύρεση ευπαθειών σε συστήματα, λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
- Ανακάλυψη πληροφοριών για το δίκτυο, τα συστήματα και τις υπηρεσίες, οι οποίες μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις από κακόβουλους χρήστες του διαδικτύου.
- Έλεγχος web εφαρμογών για πιθανές ευπάθειες, όπως εκτέλεση κακόβουλων εντολών ή κώδικα, παραβίαση μηχανισμών ελέγχου και αυθεντικοποίησης, υποκλοπή πληροφορίας, ανεπαρκής παραμετροποίηση ασφάλειας, χρήση ευάλωτου λογισμικού κ.α.
- Λίστα ευρημάτων αδυναμιών και ευπαθειών σε σειρά κρισιμότητας.
- Επεξήγηση, ανάλυση του κάθε ευρήματος.
- Πιθανούς φορείς επίθεσης και διαθεσιμότητα εργαλείων εκμετάλλευσης της κάθε αδυναμίας.
- Επιπτώσεις για την επιχείρηση και τις υπηρεσίες της.
- Πιθανούς τρόπους επίλυσης των ευρημάτων.
ΠΑΚΕΤΟ 3: ΕΞΩΤΕΡΙΚΟΣ ΕΛΕΓΧΟΣ ΜΕ ΕΛΕΓΧΟ ΠΑΡΕΙΣΔΥΣΗΣ (Penetration Testing)
- Έλεγχος περιμέτρου (Penetration Test): ανίχνευση ενεργών επικοινωνιών, πορτών και πρωτοκόλλων.
- Σάρωση περιμέτρου και ανεύρεση ευπαθειών σε συστήματα, λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
- Ανακάλυψη πληροφοριών για το δίκτυο, τα συστήματα και τις υπηρεσίες, οι οποίες μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις από κακόβουλους χρήστες του διαδικτύου.
- Έλεγχος web εφαρμογών για πιθανές ευπάθειες, όπως εκτέλεση κακόβουλων εντολών ή κώδικα, παραβίαση μηχανισμών ελέγχου και αυθεντικοποίησης, υποκλοπή πληροφορίας, ανεπαρκής παραμετροποίηση ασφάλειας, χρήση ευάλωτου λογισμικού κ.α.
- Έλεγχος παρείσδυσης (penetration testing): δοκιμές επίθεσης σε εκμετάλλευση των ευπαθειών που προέκυψαν από τους ελέγχους στο (α) με στόχο την επίτευξη πρόσβασης ή και ελέγχου σε συστήματα, πληροφορία, επικοινωνίες και υποδομή.
- Λίστα ευρημάτων αδυναμιών και ευπαθειών σε σειρά κρισιμότητας.
- Επεξήγηση, ανάλυση του κάθε ευρήματος.
- Πιθανούς φορείς επίθεσης και διαθεσιμότητα εργαλείων εκμετάλλευσης της κάθε αδυναμίας.
- Επιπτώσεις για την επιχείρηση και τις υπηρεσίες της.
- Αποτελέσματα ελέγχου παρείσδυσης με αποδεικτικά στοιχεία, ανάλυση ενεργειών και βημάτων επίτευξης.
- Πιθανούς τρόπους επίλυσης των ευρημάτων.
ΠΑΚΕΤΟ 4: ΕΞΩΤΕΡΙΚΟΣ ΚΑΙ ΕΣΩΤΕΡΙΚΟΣ ΕΛΕΓΧΟΣ (Penetration Test)
- Έλεγχος περιμέτρου: ανίχνευση ενεργών επικοινωνιών, πορτών και πρωτοκόλλων.
- Σάρωση περιμέτρου και ανεύρεση ευπαθειών σε συστήματα, λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
- Ανακάλυψη πληροφοριών για το δίκτυο, τα συστήματα και τις υπηρεσίες, οι οποίες μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις από κακόβουλους χρήστες του διαδικτύου.
- Έλεγχος web εφαρμογών για πιθανές ευπάθειες, όπως εκτέλεση κακόβουλων εντολών ή κώδικα, παραβίαση μηχανισμών ελέγχου και αυθεντικοποίησης, υποκλοπή πληροφορίας, ανεπαρκής παραμετροποίηση ασφάλειας, χρήση ευάλωτου λογισμικού κ.α.
- Εσωτερική σάρωση κάθε συστήματος της επιχείρησης και ανεύρεση ευπαθειών σε λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
- Έλεγχος συστημάτων και παραμετροποίησης των επιμέρους συστατικών τους:– Λειτουργικό σύστημα: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, παραμετροποίηση επιμέρους ενεργών πρωτοκόλλων, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων συστήματος κ.α.– Βάσεις δεδομένων: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων κ.α.– Επιμέρους συστήματα: Παραμετροποίηση web servers, application servers, εσωτερικών web εφαρμογών
- Λίστα ευρημάτων αδυναμιών και ευπαθειών σε σειρά κρισιμότητας.
- Επεξήγηση, ανάλυση του κάθε ευρήματος.
- Πιθανούς φορείς επίθεσης και διαθεσιμότητα εργαλείων εκμετάλλευσης της κάθε αδυναμίας.
- Επιπτώσεις για την επιχείρηση και τις υπηρεσίες της.
- Πιθανούς τρόπους επίλυσης των ευρημάτων.
ΠΑΚΕΤΟ 5: ΕΞΩΤΕΡΙΚΟΣ ΚΑΙ ΕΣΩΤΕΡΙΚΟΣ ΕΛΕΓΧΟΣ
- Έλεγχος περιμέτρου (Penetration Test): ανίχνευση ενεργών επικοινωνιών, πορτών και πρωτοκόλλων.
- Σάρωση περιμέτρου και ανεύρεση ευπαθειών σε συστήματα, λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
- Ανακάλυψη πληροφοριών για το δίκτυο, τα συστήματα και τις υπηρεσίες, οι οποίες μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις από κακόβουλους χρήστες του διαδικτύου.
- Έλεγχος web εφαρμογών για πιθανές ευπάθειες, όπως εκτέλεση κακόβουλων εντολών ή κώδικα, παραβίαση μηχανισμών ελέγχου και αυθεντικοποίησης, υποκλοπή πληροφορίας, ανεπαρκής παραμετροποίηση ασφάλειας, χρήση ευάλωτου λογισμικού κ.α.
- Εσωτερική σάρωση κάθε συστήματος της επιχείρησης και ανεύρεση ευπαθειών σε λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
- Έλεγχος συστημάτων και παραμετροποίησης των επιμέρους συστατικών τους:– Λειτουργικό σύστημα: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, παραμετροποίηση επιμέρους ενεργών πρωτοκόλλων, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων συστήματος κ.α.– Βάσεις δεδομένων: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων κ.α.– Επιμέρους συστήματα: Παραμετροποίηση web servers, application servers, εσωτερικών web εφαρμογών
- Έλεγχος παρείσδυσης (penetration testing): δοκιμές επίθεσης σε εκμετάλλευση των ευπαθειών που προέκυψαν από τους ελέγχους στο (α) με στόχο την επίτευξη πρόσβασης ή και ελέγχου σε συστήματα, πληροφορία, επικοινωνίες και υποδομή.
- Λίστα ευρημάτων αδυναμιών και ευπαθειών σε σειρά κρισιμότητας.
- Επεξήγηση, ανάλυση του κάθε ευρήματος.
- Πιθανούς φορείς επίθεσης και διαθεσιμότητα εργαλείων εκμετάλλευσης της κάθε αδυναμίας.
- Επιπτώσεις για την επιχείρηση και τις υπηρεσίες της.
- Αποτελέσματα ελέγχου παρείσδυσης με αποδεικτικά στοιχεία, ανάλυση ενεργειών και βημάτων επίτευξης.
- Πιθανούς τρόπους επίλυσης των ευρημάτων.
ΠΑΚΕΤΟ 6: ΕΛΕΓΧΟΣ ΑΣΦΑΛΕΙΑΣ ΥΠΟΔΟΜΗΣ
- Έλεγχος περιμέτρου (Penetration Test): ανίχνευση ενεργών επικοινωνιών, πορτών και πρωτοκόλλων.
- Σάρωση περιμέτρου και ανεύρεση ευπαθειών σε συστήματα, λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
- Ανακάλυψη πληροφοριών για το δίκτυο, τα συστήματα και τις υπηρεσίες, οι οποίες μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις από κακόβουλους χρήστες του διαδικτύου.
- Έλεγχος web εφαρμογών για πιθανές ευπάθειες, όπως εκτέλεση κακόβουλων εντολών ή κώδικα, παραβίαση μηχανισμών ελέγχου και αυθεντικοποίησης, υποκλοπή πληροφορίας, ανεπαρκής παραμετροποίηση ασφάλειας, χρήση ευάλωτου λογισμικού κ.α.
- Εσωτερική σάρωση κάθε συστήματος της επιχείρησης και ανεύρεση ευπαθειών σε λογισμικό, ενεργές υπηρεσίες και πρωτόκολλα επικοινωνίας καθώς και στην παραμετροποίηση τους.
- Έλεγχος συστημάτων και παραμετροποίησης των επιμέρους συστατικών τους:– Λειτουργικό σύστημα: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, παραμετροποίηση επιμέρους ενεργών πρωτοκόλλων, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων συστήματος κ.α.– Βάσεις δεδομένων: Παραμετροποίηση, hardening, μηχανισμοί αυθεντικοποίησης, προστασία ευαίσθητης πληροφορίας κατά την αποθήκευση και τη μεταφορά, μηχανισμοί και πρωτόκολλα κρυπτογράφησης, μηχανισμοί καταγραφής ενεργειών και συμβάντων κ.α.– Επιμέρους συστήματα: Παραμετροποίηση web servers, application servers, εσωτερικών web εφαρμογών
- Έλεγχος παρείσδυσης (penetration testing): δοκιμές επίθεσης σε εκμετάλλευση των ευπαθειών που προέκυψαν από τους ελέγχους στο (α) με στόχο την επίτευξη πρόσβασης ή και ελέγχου σε συστήματα, πληροφορία, επικοινωνίες και υποδομή.
- Έλεγχος δικτυακής υποδομής: Αρχιτεκτονική δικτύου, διαχωρισμός δικτύου και επικοινωνιών, παραμετροποίηση routers, switches, firewalls, επιπλέον μηχανισμών ασφαλείας (IDS, IPS, Antivirus κτλ.), μηχανισμού αυθεντικοποίησης και πρόσβασης στο δίκτυο και τον εξοπλισμό του.
- Έλεγχος ασφαλούς παραμετροποίησης virtual υποδομής.
- Έλεγχος Τερματικών: Παραμετροποίηση, μηχανισμοί ασφάλειας, client εφαρμογές.
- Mobile Εφαρμογές: έλεγχος λειτουργίας, επικοινωνιών, παραμετροποίησης, δικαιωμάτων, μηχανισμών αυθεντικοποίησης και διαχείρισης πρόσβασης, μηχανισμών κρυπτογράφησης δεδομένων, ανάλυση κώδικα.
- Έλεγχος φυσικής ασφάλειας υποδομής.
- Έλεγχος μηχανισμών καταγραφής και παρακολούθησης προσβάσεων, συμβάντων συστημάτων, υποδομών, δημιουργίας ειδοποιήσεων κινδύνου, διαδικασιών αντιμετώπισης περιστατικών ασφάλειας.
- Λίστα ευρημάτων αδυναμιών και ευπαθειών σε σειρά κρισιμότητας.
- Επεξήγηση, ανάλυση του κάθε ευρήματος.
- Πιθανούς φορείς επίθεσης και διαθεσιμότητα εργαλείων εκμετάλλευσης της κάθε αδυναμίας.
- Επιπτώσεις για την επιχείρηση και τις υπηρεσίες της.
- Αποτελέσματα ελέγχου παρείσδυσης με αποδεικτικά στοιχεία, ανάλυση ενεργειών και βημάτων επίτευξης.
- Πιθανούς τρόπους επίλυσης των ευρημάτων.
- Ανάλυση αρχιτεκτονικής, συμβουλές ενίσχυσης της ασφάλειας της υποδομής και αντιμετώπισης περιστατικών ασφάλειας.
ΠΑΚΕΤΟ 7: ΕΤΟΙΜΟΤΗΤΑ ΠΡΟΣΩΠΙΚΟΥ ΓΙΑ ΕΠΙΘΕΣΕΙΣ ΚΟΙΝΩΝΙΚΗΣ ΜΗΧΑΝΙΚΗΣ (SOCIAL ENGINEERING ATTACK TEST)
Σενάριο 1: Domain Spoofing / Phishing
- Ένας IT Manager ή κάποιος συνεργάτης στέλνει email και ζητάει από υπάλληλους τους κωδικούς τους, για κάποιο υποτιθέμενο migration υποδομής.
- Το mail θα μπορεί να έρχεται από fake “προσωπικό” email κάποιου manager ή συνεργάτη ή από παρόμοιο domain name της εταιρίας σε Gmail hosting με το συγκεκριμένο domain name.
Σενάριο 2: Phishing Attack / Domain Replication
- Στέλνεται link σε επιλεγμένους χρήστες και η ομάδα επίθεσης τους πείθει να βάλουν τους κωδικούς τους σε ψεύτικο site.
- Πιθανό σενάριο είναι ότι παρατηρήθηκε ύποπτη κίνηση στο account τους και προτείνεται αλλαγή password στο link που παρέχεται, το οποίο θα δείχνει στο ψεύτικο-όμοιο site.
- Κατόπιν η επιτιθέμενη ομάδα συλλέγει τα στοιχεία των λογαριασμών τους.
- Το mail για την αλλαγή του password θα μπορούσε να έρχεται από παρόμοιο domain name με το συγκεκριμένο site σε gmail hosting με το συγκεκριμένο domain name.
Σενάριο 3. Ransomware Attack simulation με document χωρίς malicious payload
- Αποστέλλεται Phishing email και γίνεται καταγραφή πόσοι το άνοιξαν, όχι ποιοι (δηλαδή δεν θα ξέρουμε ποια φυσικά άτομα) και πόσοι από αυτούς πάτησαν το “enable macros” που θα σήμαινε οτι άνοιξαν ένα ενδεχόμενο αρχείο με Ransomware ιό.
- Είναι εντελώς ασφαλές και δεν θα αποκτήσουμε πρόσβαση.
- Γίνεται εξομοίωση ρεαλιστικής κακόβουλης επίθεσης χωρίς να χρειαστεί να cleanup στη συνέχεια.
- Πιθανά σενάρια: Προσφορές, mail από fake persona ή δημοσιογράφο, αποστολή leaked documents.
- Το mail θα μπορούσε να έρχεται από “προσωπικό” mail συναδέλφου ή από παρόμοιο domain name με της εταιρίας σε gmail hosting.