สารบัญ:
วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (กันยายน 2024)
ผู้เชี่ยวชาญด้านไอทีส่วนใหญ่สามารถผ่านพ้นวันที่กำหนดได้โดยสันนิษฐานว่าเครือข่ายของตนได้รับการปกป้องจากแฮกเกอร์ หากคุณเป็นหนึ่งในนั้นคุณก็พอใจที่พื้นฐานทั้งหมดอยู่ในนั้นเพื่อให้นักสังคมวิทยาแบบสุ่มบางคนไม่สามารถเข้าสู่เครือข่ายของคุณปล้นข้อมูลสำคัญของคุณอาจปลูกมัลแวร์แล้วปล่อยทิ้ง คำถามคือคุณแน่ใจหรือไม่?
กล่าวโดยย่อคือคุณต้องทำให้ตัวเองถูกแฮ็กเพื่อที่คุณจะได้รู้ว่าจุดอ่อนของคุณอยู่ที่ไหนและจากนั้นคุณต้องแก้ไขสิ่งที่แฮ็กเกอร์สีขาวเหล่านั้น (หวังว่า) พบ แฮกเกอร์หมวกขาวคือคนที่คุณหันไปใช้เมื่อคุณต้องการทดสอบคุณภาพของการป้องกันเครือข่ายของคุณโดยไม่ต้องเกี่ยวข้องกับคนเลวจริงหรือแฮ็กเกอร์หมวกดำ สิ่งที่แฮกเกอร์หมวกสีขาวทำคือตรวจสอบการป้องกันเครือข่ายของคุณในแบบที่ทำได้จัดอันดับและบันทึกความปลอดภัยของคุณไปพร้อมกัน ที่เรียกว่าการทดสอบการเจาะหรือ "การทดสอบปากกา" และผู้เชี่ยวชาญด้านไอทีหลายคนไม่ทราบว่าคุณไม่จำเป็นต้องจ้างผู้เชี่ยวชาญที่มีราคาแพงมาทำในทันที คุณสามารถเริ่มต้นพื้นฐานของการทดสอบการเจาะด้วยตัวคุณเอง
งานลำดับความสำคัญสูงสุดสำหรับผู้เชี่ยวชาญด้านไอทีและความปลอดภัยในปี 2561
(เครดิตรูปภาพ: Statista)
"สิ่งที่สำคัญที่สุดคือการประเมินความเสี่ยงจริง ๆ การประเมินความเสี่ยง" Georgia Weidman ผู้เขียน การทดสอบการเจาะระบบ: การแนะนำแบบแฮ็ บ Weidman ยังเป็นผู้ก่อตั้งและประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี (CTO) ของ Shevirah บริษัท รักษาความปลอดภัยที่เชี่ยวชาญด้านการทดสอบการเจาะ บริษัท เหล่านี้เสียเงินเป็นจำนวนมากในการทดสอบการเจาะระบบเมื่อพวกเขามีช่องโหว่พื้นฐาน " เธอกล่าวว่าสิ่งแรกที่องค์กรควรทำคือทำการทดสอบช่องโหว่พื้นฐานจากนั้นแก้ไขช่องโหว่ก่อนที่จะทำการทดสอบการเจาะ "การทดสอบการเจาะไม่ควรเป็นขั้นตอนแรกของคุณ" เธอกล่าว
Weidman ยังแนะนำเพื่อให้แน่ใจว่า บริษัท ของคุณได้ดำเนินการขั้นตอนแรกในการตระหนักถึงความปลอดภัยรวมถึงการฝึกอบรมเกี่ยวกับฟิชชิ่งและวิศวกรรมทางสังคม เธอชี้ให้เห็นว่าเครือข่ายที่ปลอดภัยที่สุดยังคงสามารถถูกเจาะหากมีใครให้ข้อมูลประจำตัวสำหรับการเข้าถึง นี่คือทุกสิ่งที่ผู้ทดสอบการเจาะที่ดีจะตรวจสอบก่อนเริ่มการทดสอบจริงใด ๆ
“ หากพวกเขาสนใจว่าพนักงานของพวกเขาได้รับการฝึกฝนเรื่องความปลอดภัยมากเพียงใดให้ตั้งค่าการทดสอบฟิชชิ่งของคุณเอง” Weidman กล่าว "คุณไม่ต้องจ่ายเงินให้ใครทำและเป็นหนึ่งในวิธีที่ใหญ่ที่สุดที่ผู้คนจะเข้าไปได้" เธอบอกว่าจะใช้ฟิชชิ่งผ่านการส่งข้อความและสื่อสังคมออนไลน์
ทดสอบรหัสผ่านของคุณ
Weidman กล่าวว่าขั้นตอนต่อไปคือการทดสอบรหัสผ่านขององค์กรและความสามารถในการจัดการข้อมูลผู้ใช้ "ดาวน์โหลดแฮชของ Active Directory ของรหัสผ่านและทดสอบด้วยเครื่องมือทดสอบรหัสผ่านนั่นเป็นสิ่งที่เราทำในการทดสอบการเจาะ" เธอกล่าว
จากข้อมูลของ Weidman เครื่องมือที่สำคัญสำหรับการทดสอบรหัสผ่าน ได้แก่ Hashcat และ John the Ripper password cracker ซึ่งเธอบอกว่าใช้กันทั่วไปในการทดสอบการเจาะระบบ เธอกล่าวว่านอกเหนือจากการตรวจสอบรหัสผ่านจาก Microsoft Azure Active Directory แล้วพวกเขายังสามารถดมกลิ่นในเครือข่ายโดยใช้ตัววิเคราะห์โปรโตคอลเครือข่ายเช่น Wireshark เป้าหมายที่นี่คือเพื่อให้แน่ใจว่าผู้ใช้ของคุณไม่ได้ใช้รหัสผ่านที่เดาได้ง่ายเช่น "รหัสผ่าน" สำหรับข้อมูลรับรอง
ในขณะที่คุณกำลังตรวจสอบปริมาณการใช้เครือข่ายของคุณคุณควรค้นหา Link-Local Multicast Name Resolution (LLMNR) และตรวจสอบให้แน่ใจว่าได้ปิดการใช้งานถ้าเป็นไปได้ Weidman กล่าวว่าคุณสามารถดักจับแฮชรหัสผ่านโดยใช้ LLMNR "ฉันฟังบนเครือข่ายและรับแฮชแล้วแตกพวกเขา" เธอกล่าว
รับรองความถูกต้องเครื่องของคุณ
Weidman กล่าวว่าเมื่อเธอถอดรหัสรหัสผ่านเธอจะใช้รหัสผ่านเพื่อตรวจสอบความถูกต้องกับเครื่องในเครือข่าย "อาจมีผู้ดูแลระบบในพื้นที่เพราะพวกเขาทุกคนได้รับภาพเหมือนกัน" เธอกล่าว "หวังว่าจะมีผู้ดูแลระบบโดเมน"
เมื่อ Weidman ได้รับข้อมูลประจำตัวของผู้ดูแลระบบจากนั้นเธอสามารถใช้สิ่งเหล่านั้นเพื่อเข้าไปยังพื้นที่ลับในเครื่อง เธอบอกว่าบางครั้งมีการรับรองความถูกต้องรองดังนั้นเธอจะต้องถอดรหัสรหัสผ่านเหล่านั้นด้วย
Weidman กล่าวว่าหากคุณทำการทดสอบการเจาะของคุณเองคุณควรระมัดระวัง “ เมื่อฉันทำการทดสอบการเจาะฉันไม่ต้องทำอะไรเลย” เธอกล่าวเสริม“ ไม่มีความแน่นอน 100 เปอร์เซ็นต์ที่จะไม่มีอะไรผิดพลาด”
หลีกเลี่ยงการดาวน์โหลดมัลแวร์
Weidman กล่าวว่าเครื่องมือทดสอบการเจาะที่มีประโยชน์อย่างหนึ่งคือ Metasploit รุ่นฟรี แต่เธอก็เตือนไม่ให้ดาวน์โหลดการโกงจากอินเทอร์เน็ตเพราะอาจมีมัลแวร์อยู่ด้วย "อย่าโจมตีตัวเองโดยไม่ตั้งใจ" เธอเตือน เธอกล่าวว่าการหาประโยชน์ที่ได้จากการทดสอบมักมีมัลแวร์ที่จะโจมตีคุณ
- ผู้จัดการรหัสผ่านที่ดีที่สุดสำหรับปี 2019 ผู้จัดการรหัสผ่านที่ดีที่สุดสำหรับปี 2019
- ซอฟต์แวร์กำจัดและป้องกันมัลแวร์ที่ดีที่สุดสำหรับปี 2562 ซอฟต์แวร์กำจัดและป้องกันมัลแวร์ที่ดีที่สุดสำหรับปี 2562
- การป้องกัน Ransomware ที่ดีที่สุดสำหรับธุรกิจในปี 2019 การป้องกัน Ransomware ที่ดีที่สุดสำหรับธุรกิจในปี 2019
อนึ่ง Microsoft ยังมีเครื่องมือประเมินช่องโหว่สำหรับ Windows ที่เรียกว่า Microsoft Security Compliance Toolkit v1.0 ซึ่งรองรับ Microsoft Windows 10, Windows Server 2012R2 และ Office 2016
Weidman เตือนไม่ให้คิดว่าการเจาะนั้นเป็นเวทย์มนตร์ดำมืด เธอบอกว่ามันเป็นสิ่งสำคัญที่จะครอบคลุมพื้นฐานก่อน “ ทุกคนกระโดดไปหาการทดสอบการเจาะเพราะมีชื่อเซ็กซี่” เธอกล่าว แต่มีค่ามากในการค้นหาผลไม้แขวนลอยต่ำและแก้ไขก่อน
