Kiểm tra thâm nhập an ninh mạng
Kiểm tra thâm nhập & Kỹ thuật xã hội
Thử nghiệm thâm nhập đóng vai trò là biện pháp chủ động nhằm xác định các lỗ hổng trong dịch vụ và tổ chức trước khi những kẻ tấn công khác có thể.
Thử nghiệm thâm nhập có thể được cung cấp trong nhiều lĩnh vực, ví dụ:
- Ứng dụng web. Có những ứng dụng web mới được phát triển và phát hành.
- Mạng và cơ sở hạ tầng. Nhiều ứng dụng không phải là ứng dụng web mà thay vào đó sử dụng các giao thức khác. Các ứng dụng tổ chức này có thể nằm ở cả bên ngoài và bên trong.
- Thử nghiệm bên trong/Mô phỏng máy tính bị lây nhiễm. Điều gì sẽ xảy ra nếu người dùng nhận được phần mềm độc hại trên hệ thống của họ? Điều này gần giống như việc kẻ tấn công sử dụng bàn phím trên hệ thống đó, gây rủi ro nghiêm trọng cho bất kỳ tổ chức nào.
- Kiểm tra tổ chức bên ngoài. Một thử nghiệm được áp dụng trong toàn bộ tổ chức như một phạm vi dành cho những người thử nghiệm thâm nhập. Điều này là lý tưởng, nhưng thường đòi hỏi phải có nhóm thử nghiệm thâm nhập nội bộ của riêng họ để tập trung vào việc kiểm tra lâu dài này hoặc chi phí cao khi phải thuê một nhóm bên ngoài để thực hiện thử nghiệm này.
- Kịch bản máy tính xách tay bị đánh cắp. Được mô tả thêm trong các kịch bản của chúng tôi dưới đây.
- Ứng dụng phía khách hàng. Nhiều ứng dụng tồn tại trong một doanh nghiệp được viết bằng các ngôn ngữ khác nhau như C, C++, Java, Flash, Silverlight hoặc phần mềm được biên dịch khác. Thử nghiệm thâm nhập cũng có thể tập trung vào những tài sản này.
- Mạng không dây. Một thử nghiệm nhằm tìm hiểu xem liệu WIFI có thể bị đột nhập hay không, liệu thiết bị có phần mềm lỗi thời và dễ bị tấn công hay không cũng như liệu phân đoạn thích hợp đã được xây dựng giữa mạng không dây và các mạng khác hay chưa.
- Ứng dụng di động (Android, Windows Phone, iOS). Các ứng dụng di động có thể có lỗ hổng và cũng bao gồm các kết nối và tham chiếu đến các hệ thống được lưu trữ bên trong doanh nghiệp. Các ứng dụng di động cũng có thể chứa các bí mật như khóa API mà kẻ tấn công có thể dễ dàng lợi dụng.
- Kỹ thuật xã hội. Được mô tả thêm trong các kịch bản của chúng tôi dưới đây.
- Lừa đảo và Vishing. Được mô tả thêm trong các kịch bản của chúng tôi dưới đây.
- Thuộc vật chất. Nhóm thử nghiệm thâm nhập có thể thử xem điều gì sẽ xảy ra nếu họ xuất hiện tại một địa điểm có máy tính xách tay và cắm vào kết nối mạng. Các cuộc tấn công vật lý cũng có thể bao gồm các loại tấn công bí mật khác nhằm vào các địa điểm.
- ICS ("Hệ thống kiểm soát công nghiệp") / SCADA ("Kiểm soát giám sát và thu thập dữ liệu"). Các hệ thống này thường kiểm soát một số tài sản quan trọng và dễ bị tổn thương nhất trong các tổ chức và do đó chúng cần được giám sát chặt chẽ.
Kiểm tra thâm nhập kiến thức không có kiến thức, kiến thức một phần và kiến thức đầy đủ
Tùy thuộc vào mức độ tương tác, tổ chức có thể quyết định cung cấp thông tin cho nhóm thực hiện thử nghiệm thâm nhập. Sự xâm nhập không có kiến thức, đôi khi được gọi là hộp đen, ngụ ý rằng kẻ tấn công không được cung cấp kiến thức trước. Kiến thức một phần, đôi khi được gọi là kiểm tra hộp xám, có nghĩa là kẻ tấn công được cung cấp một số kiến thức và với kiểm tra thâm nhập kiến thức đầy đủ, đôi khi được gọi là hộp trắng, người kiểm tra thâm nhập có mọi thứ họ cần từ mã nguồn, sơ đồ mạng , nhật ký và hơn thế nữa.
Tổ chức có thể cung cấp cho nhóm thử nghiệm thâm nhập càng nhiều thông tin thì nhóm có thể cung cấp giá trị càng cao.
Kịch bản máy tính xách tay bị đánh cắp
Một kịch bản thử nghiệm thâm nhập tuyệt vời là chứng minh hậu quả của việc máy tính xách tay bị đánh cắp hoặc bị mất. Các hệ thống có các đặc quyền và thông tin xác thực mà kẻ tấn công có thể sử dụng để xâm nhập vào tổ chức mục tiêu.
Hệ thống có thể được bảo vệ bằng mật khẩu, nhưng tồn tại nhiều kỹ thuật có thể cho phép kẻ tấn công vượt qua sự bảo vệ này. Ví dụ:
- Ổ cứng của hệ thống có thể không được mã hóa hoàn toàn, cho phép kẻ tấn công gắn ổ cứng vào hệ thống của chính chúng để trích xuất dữ liệu và thông tin xác thực. Ngược lại, những thông tin xác thực này có thể bị bẻ khóa và sử dụng lại trên nhiều trang đăng nhập của tổ chức.
- Người dùng có thể đã khóa hệ thống nhưng người dùng vẫn đăng nhập. Người dùng này có các ứng dụng và quy trình đang chạy ẩn, ngay cả khi nó bị khóa. Những kẻ tấn công có thể cố gắng thêm một card mạng độc hại vào hệ thống thông qua USB chẳng hạn. Card mạng này cố gắng trở thành phương thức ưu tiên để hệ thống truy cập internet. Nếu hệ thống sử dụng card mạng này, những kẻ tấn công giờ đây có thể xem lưu lượng mạng và cố gắng tìm kiếm dữ liệu nhạy cảm, thậm chí thay đổi dữ liệu.
Ngay sau khi những kẻ tấn công có quyền truy cập vào hệ thống, chúng có thể bắt đầu đột kích hệ thống để lấy thông tin, thông tin này có thể được sử dụng để thúc đẩy hơn nữa các mục tiêu của kẻ tấn công.
Kỹ thuật xã hội
Một hệ thống chỉ mạnh bằng thành viên yếu nhất và đó thường là con người. Kỹ thuật xã hội liên quan đến việc nhắm mục tiêu vào người dùng bằng các cuộc tấn công nhằm đánh lừa họ thực hiện những hành động mà họ không có ý định thực hiện. Loại kỹ thuật này rất phổ biến và nhiều vụ hack lớn nhất trên thế giới đều liên quan đến việc sử dụng các kỹ thuật lừa đảo xã hội.
Social Engineering thường cố gắng lạm dụng một số khía cạnh nhất định để khiến nạn nhân tuân thủ các hành động, ví dụ:
- Hầu hết mọi người đều có mong muốn lịch sự, đặc biệt là với người lạ
- Các chuyên gia muốn tỏ ra có hiểu biết và thông minh
- Nếu được khen ngợi, bạn sẽ thường nói nhiều hơn và bộc lộ nhiều hơn
- Hầu hết mọi người sẽ không nói dối chỉ vì mục đích nói dối
- Hầu hết mọi người đều phản ứng tử tế với những người tỏ ra quan tâm đến họ
Khi ai đó trở thành nạn nhân của một cuộc tấn công kỹ nghệ xã hội tốt, họ thường không nhận ra mình đã bị tấn công.
Kịch bản kỹ thuật xã hội: Hữu ích
Con người thường muốn giúp đỡ lẫn nhau. Chúng tôi thích làm những điều tốt đẹp!
Hãy xem xét tình huống trong đó Eve bước vào quầy lễ tân của một văn phòng công ty lớn với giấy tờ ướt đẫm cà phê. Nhân viên lễ tân có thể nhìn thấy rõ ràng Eve đang gặp nạn và tự hỏi chuyện gì đang xảy ra. Eve giải thích rằng cô ấy sẽ có một cuộc phỏng vấn việc làm trong 5 phút nữa và cô ấy thực sự cần in tài liệu cho cuộc phỏng vấn.
Trước đó, Eve đã chuẩn bị một chiếc USB độc hại chứa các tài liệu được thiết kế để xâm nhập vào các máy tính được cắm vào. Cô đưa cho nhân viên tiếp tân chiếc USB độc hại và mỉm cười hỏi liệu nhân viên tiếp tân có thể in tài liệu cho cô ấy không. Đây có thể là điều cần thiết để kẻ tấn công lây nhiễm vào một hệ thống trên mạng nội bộ, cho phép chúng xâm phạm (xoay trục) nhiều hệ thống hơn.
Kịch bản kỹ thuật xã hội: Sử dụng nỗi sợ hãi
Mọi người thường sợ thất bại hoặc không làm theo mệnh lệnh. Những kẻ tấn công thường sử dụng nỗi sợ hãi để ép buộc nạn nhân làm những gì kẻ tấn công cần. Ví dụ, họ có thể cố gắng giả làm giám đốc công ty để hỏi thông tin. Có lẽ thông tin cập nhật trên mạng xã hội tiết lộ rằng giám đốc đang đi nghỉ và điều này có thể được sử dụng để dàn dựng vụ tấn công.
Nạn nhân có thể không muốn thách thức giám đốc và vì giám đốc đang đi nghỉ nên việc xác minh thông tin sẽ khó khăn hơn.
Kịch bản kỹ thuật xã hội: Chơi dựa trên sự tương hỗ
Sự đáp lại là làm điều gì đó để đáp lại, chẳng hạn như đáp lại sự tử tế của ai đó đối với bạn.
Nếu chúng tôi xem xét việc ai đó giữ cửa cho bạn để bạn vào cửa trước tòa nhà văn phòng của bạn. Vì điều này, rất có thể bạn sẽ muốn giữ cửa bên cạnh để người đó đáp lại. Cánh cửa này có thể nằm sau hệ thống kiểm soát ra vào, yêu cầu nhân viên xuất trình thẻ của họ, nhưng để đáp lại lòng tốt tương tự, cánh cửa vẫn được mở. Điều này được gọi là nối đuôi.
Kịch bản kỹ thuật xã hội: Khai thác sự tò mò
Bản chất con người là tò mò. Bạn sẽ làm gì nếu tìm thấy một chiếc USB nằm trên mặt đất bên ngoài tòa nhà văn phòng? Cắm nó vào? Điều gì sẽ xảy ra nếu trong USB chứa tài liệu có tiêu đề "Thông tin lương - Cập nhật hiện tại"?
Kẻ tấn công có thể cố tình thả nhiều USB độc hại xung quanh khu vực nơi nhân viên cư trú với hy vọng ai đó sẽ cắm chúng vào.
Tài liệu có thể chứa macro hoặc phần khai thác độc hại hoặc đơn giản là lừa người dùng thực hiện một số hành động nhất định khiến họ tự thỏa hiệp.
Lừa đảo
Lừa đảo là một kỹ thuật thường được thực hiện thông qua email. Những kẻ tấn công sẽ cố gắng ép buộc và lừa nhân viên cung cấp các chi tiết nhạy cảm như thông tin xác thực của họ hoặc yêu cầu họ cài đặt các ứng dụng độc hại để kẻ tấn công kiểm soát hệ thống.
Lừa đảo là một kỹ thuật phổ biến để những kẻ tấn công đột nhập, một thứ mà những người thử nghiệm thâm nhập cũng có thể cố gắng khai thác. Điều quan trọng là không bao giờ đánh giá thấp yếu tố con người trong an ninh mạng. Miễn là có sự tham gia của con người, lừa đảo sẽ luôn là cách khả thi để kẻ tấn công giành quyền truy cập vào hệ thống.
Không nên dùng lừa đảo để chứng minh rằng con người mắc sai lầm mà hãy thử chứng minh hậu quả của những sai lầm đó. Nó cũng có thể được sử dụng để kiểm tra sức mạnh của bộ lọc chống thư rác và nhận thức của người dùng.
Một chiến dịch gồm nhiều nỗ lực lừa đảo có thể được thực hiện thay vì một vòng duy nhất. Một chiến dịch gồm nhiều vòng lừa đảo có thể giúp xác định nhận thức chung của tổ chức và cũng cho họ biết rằng không chỉ những kẻ tấn công đang cố lừa người dùng của chúng tôi mà thậm chí cả bộ phận bảo mật.
Vishing
Vishing có nghĩa là sử dụng các cuộc gọi điện thoại để cố gắng thuyết phục những nhân viên không nghi ngờ thực hiện hành động cho những kẻ tấn công. Nếu nhân viên tin rằng họ đang gọi điện thoại với người mà họ biết, tốt nhất là người có thẩm quyền, nhân viên đó có thể bị lừa thực hiện các hành động không mong muốn.
Đây là một ví dụ trong đó Eve gọi Alice:
Eve: Hello, this is Miss Eve calling. I was told to call you personally by the CEO Margarethe; she said you would be able to help.
Alice: Ok... What can I do for you?
Eve: Margarethe is travelling right now, but urgently requests her password to be reset so we can get on with a business meeting happening the moment she lands.
Eve: We urgently request for her email password to be reset so she can deliver the meeting.
Eve: Can you proceed to reset her password to Margareth123?
Alice: I am not sure...
Eve: Please, Margarethe asked for you personally to comply with this request. It must be done now, I don't want to think of the consequences if not...
Alice: Ok. Password is reset
Vishing có thể cố gắng khiến nạn nhân tiết lộ thông tin tiết lộ thông tin nhạy cảm. Đó có thể là kẻ tấn công yêu cầu bản sao của tài liệu nhạy cảm hoặc bảng tính.