Penetration Testing necessary; With the rapid shifts in the attack landscape against the background of black market hackers worth billionsmillions, if you wait to perform penetration testing you will miss out.
Too many companies and organizations do only a penetration test when they need to. Often, this is because they have to comply with the regulations or someone has asked them to prove they are safe.
Most, unfortunately, only do a penetration test after they've already burned: When hackers have successfully taken their valuable data, something that cost the company much more than enough penetration tests. .
Modern penetration testing is more than just a scan. Former Chief Executive Officer Black Hat Trey Ford αναφέρει, «Κανονισμοί όπως το PCI απαιτούν το ελάχιστο μία φορά το χρόνο (penetration testing), ή μετά από κάθε σημαντική αλλαγή στις υποδομές ή στον κώδικα"
"Νομίζω ότι το πρώτο μέρος αυτής της συζήτησης θα πρέπει να αναφερθεί στο "τι ακριβώς είναι μια δοκιμή της διείσδυσης;" αναφέρει ο Ford. "Ανάλογα με ποιους μιλάτε αυτό μπορεί να περιλαμβάνει τη δοκιμή ασφαλείας μιας web εφαρμογής, τη σάρωση ενός δικτύου, social engineering και phishing, ασύρματες δοκιμές και άλλα."
Problem: Attacks are evolving faster than requirements
Μόλις πριν από πέντε χρόνια, οι δοκιμές διείσδυσης - "pentesting" - ήταν το αντικείμενο άρθρων στη δημοσιογραφία της IT ασφάλειας που έθεταν συζητήσεις κατά πόσον ή όχι άξιζε να γίνει ένα pentest. Πολλά έχουν αλλάξει σε σύντομο χρονικό διάστημα.
Pentesting has evolved rapidly to keep up with a black market that is full of specialized criminals, or government officials, the aggressions have gained flexibility to penetrate advanced defense defenses.
There are some automated pentesting, but for better results a team that will be better than the attackers needs something that definitely costs.
Pentesting is the field of development today. For example, the security company Rapid7. Considered a leader in software and security services, Rapid7 has an extensive pentesting suite including the famous Metasploit ("το playbook του εισβολέα") και έχει μια τεράστια κοινότητα με 200.000 ενεργά μέλη..
The security company has record revenues and has 13 offices around the world. It boasts 1000's of companies using them products her.
Its client list includes Diebold, Deutsche Telekom, Panasonic, Rodale, Revlon, Trader Joe's, Virgin Atlantic, and many others.
Metasploit technician Tod Beardsley sees an average of 1,2 exploits be added daily to Metasploit.
Ο Beardsley εξήγησε ότι το θέμα του "πόσο συχνά" περιπλέκεται από το γεγονός ότι ορισμένες businesses χρειάζονται pentesters περισσότερο από άλλους. "Ορισμένες βιομηχανίες - για παράδειγμα, ο χρηματοπιστωτικός τομέας - είναι πιο οργανωμένες από τους άλλους, και πρέπει να πληρούν τις απαιτήσεις pentesting."
However, I would like to say that any organization that manages data and is interested in keeping confidential has the responsibility to ensure the configuration of its network so that its defenses are adequate for this mission.
In addition, if a company does not want to be an unsuspecting receiver for distributing a malicious program, there should be adequate external control.
There is an anecdote released in hacking conferences, Black Hat USA and DEFCON.
According to a Rapid7 survey, spear phishing is the leading breach in 9 of the 10 targeted attacks.
[tweet_embed id = 493364883878998016]
"Υπάρχουν χιλιάδες σημεία μεταξύ του εξωτερικού δικτύου και του εσωτερικού δικτύου", εξήγησε ο κ Beardsley. "η σύγχρονη εργασιακή ζωή κινείται όλο και περισσότερο μέσα από το γραφείο στο σπίτι (ένα laptop σε ένα τραπέζι της κουζίνας), και υπάρχουν πάρα πολλοί κίνδυνοι για μια εταιρεία.
Τα οικιακά routers, για παράδειγμα δεν είναι και τα πιο ασφαλή. Οι κίνδυνοι δεν σταματάνε όμως μέχρι εκεί. Το πρώτο πράγμα που θα πρέπει να κάνει μια είναι να «κλειδώσει την υπηρεσία DNS της, και θα πρέπει να απαιτεί συνήθη και τακτικό έλεγχο όλων των διαδικασιών για αλλαγή των DNS."
"If someone gets control of a company's DNS, they can control almost all e-mail.
Beardsley explained that it's hard to categorize how important particular pentest strategies are, and because of this — a company should conduct pentests more often than is required (or desired).
Leaving the rationale of Rapid7, which certainly contains considerations, we have to think very seriously about how much it will cost a violation on a website, a company, a financial institution, and so on.
How often it depends on your own discretion and financial freedom.
The article was published on ZDNet by Violet Blue. It also contains the opinions of the author.
