Zer da pentesting-a?
Gaur egun, erakundeek bizi duten mendekotasun teknologikoak kudeatu beharreko arrisku batzuk dakartza. Egunez egun, ahultasunen berri ematen da, eta erasotzaileentzako sarrera-atea izan daitezke. Horregatik, oso beharrezkoa da sistemak, ezagutzak eta testak egiteko eta segurtasun-arrakalak detektatzeko prozesuak etengabe eguneratzea.
Sarketa probak (pentesting) gailu, sistema informatiko edo erakunde baten segurtasunaren ebaluazioa edo auditoria egitean oinarritzen den prozesu bat da, haren arriskuak ezagutzeko eta neurri zehatz eta egokien bidez zuzentzeko.
Pentesting baten helburu nagusiak honako hauek dira:
- Erakunde baten gailu, sistema informatiko edo azpiegitura baten segurtasuna ebaluatzea.
- Ahultasunak eta sarrerako bektoreak argitara ateratzea eta haien segurtasunari dagokionez benetako egoera ezagutzea.
- Aurkitu diren ahultasunak konpontzeko behar diren partxeak edo segurtasun neurriak aplikatzea.
Pentesting motak
Segurtasun probetan bilatzen den ikuspegiaren eta helburuaren arabera, pentesting mota desberdinak aurki ditzakegu:
Kutxa beltza: Ikuspegi honetan sistema informatikoak ebaluatzen dira, hedatutako barne-teknologiei buruzko ezagutzarik izan gabe. Benetako eraso baten aurreko ikuspegirik errealistena da, eta benetako erasotzaile batek izango lituzkeen sarrera-bektoreak zehaztea du helburu, bai eta sistemetan sartzea lortzeko ustiatu litezkeen ahultasunak ere.
Kutxa zuria: Ikuspegi horretan, erakundean zabaldutako barne-teknologiak eta azpiegiturak ezagutzen dira, eta, horri esker, sarrera-bektoreak ez ezik, erabilitako sistemen, konfigurazioen eta softwarearen arkitektura ere ebaluatu ahal dira. Barne-ezagutza handiago horri esker, posible da analisien denborak, ahaleginak eta kostuak murriztea. Erakundeak erabiltzen dituen garapen-prozeduretan edo -zikloetan hobeto integratuz.
Kutxa grisa: Ikuspegi horretan, antolakundean zabaldutako barne-teknologiak eta azpiegiturak partzialki ezagutzen dira, eta, horri esker, sistemetan izan daitezkeen sarrera-bektoreak eta ahultasunak aurki daitezke.
Pentesting-etan erabilitako metodologia
Segurtasun informatikoa ebaluatzeko metodologia bat erabiltzen da, bost etapa handi dituena:
- Aintzatespena: plangintza-fase honetan, ikuskapenaren irismena eta helburuak zehazten dira, eta ikuskatu beharreko antolamenduari edo sistemei buruzko informazio posible guztia biltzen da.
- Ahultasunak bilatzea eta aztertzea: sistemetan egon daitezkeen ahultasunak identifikatzen dira, eta hurrengo faseetan erabiliko diren sarrera-bektoreak aztertzen dira.
- Ustiapena: Identifikatutako sarrera-bektoreen eta ahultasunen ustiapenaren bidez, ikuskatu beharreko sistemetan intrusioa hasten da eta dokumentatzeko ebidentziak jasotzen dira.
- Postesplotazioa: Pentestingaren irismenak uzten badu, erakundearen barne-sistema edo sarearen barruan, ekipamendu eta ahultasun berriak aurkitzen dira, gero haiengana jo eta sarbide berriak lortzeko.
- Txostena: Egindako prozesu guztia, tresnak, teknikak, bildutako ebidentziak, aurkitutako eta ustiatutako ahultasunak eta abar dokumentatzen dira, eta sistemen segurtasuna bermatzeko zuzenketa posibleak proposatzen dira.
Etapen ordena arbitrarioa ez bada ere, kasu askotan gainjartzen dira, erakundearen kasuistikaren eta ikuskapena egiteko proposatutako denboraren arabera.
Non jaso aholkularitza edo kontratatu pentesting-zerbitzu bat?
BCSCk “Euskadiko Zibersegurtasunaren Liburu Zuria” jarri du enpresen eta herritarren eskura. Bertan, Euskadiko zibersegurtasun-enpresen katalogoa dago, zerbitzu horiek eskaintzen dituztenak.
Liburu Zuri honek Euskadiko zibersegurtasun-merkatuaren laburpen edo bat-bateko gisa balio nahi du. Katalogo bizia da, aldian behin berrikusi eta eguneratzen dena, etengabe aldatzen ari baita zerbitzuen digitalizazioa eta sortzen diren aukerak.
