Pentesting terminoa penetration (intrusioa) eta test (proba) hitzen fusiotik sortu zen. Sistema baten segurtasun-hutsegiteen irismena zehazteko metodo bat da. Proba honetako teknikei esker, enpresa batek jakin dezake zein kalteberatasun dituen, zein arriskuren eraginpean dagoen eta zenbateraino diren bere defentsak eraginkorrak.
Pentestinga prestatzeko, eraso-multzoen estrategia bat egiten da, erakundeak erabiltzen duen teknologiari eta haren segurtasun-premiei egokitua. Pentestinga egiten duten pertsonek (pentester edo auditoreak) hainbat proba modu sistematikoan egiteko metodologiak dituzte. Erakundeak erabakiko du zein motatako probak egingo diren, eta zein aplikazio edo zerbitzutan.
Pentesterrak hasieran duen informazioaren arabera, proba hiru motatakoa izan daiteke:
- Kutxa zuriko pentestinga: pentesterrak sistemaren datu guztiak ezagutzen ditu; enpresako talde teknikoaren parte izaten da. Testik osoena da, eta egitura korporatiboaren analisi osoaren parte da.
- Kutxa beltzeko pentestinga: aurrekoaren kontra-kontrakoa da; pentesterrak ez du erakundearen ia batere daturik, eta ia itsu-itsuan topatu behar ditu mehatxuak eta kalteberatasunak. Hurbilketa errealagoa da.
- Kutxa griseko pentestinga: hurbilketa hau bien nahasketa da. Pentesterrak informazio-apur bat du, testa egiteko nahikoa. Proba-mota gomendagarriena da, ikuspegi osoagoa emango duelako.
Egin beharreko test-mota zehaztu ondoren, garrantzitsua da intrusio-test batek dituen faseak ezagutzea:
Azterketa-fasea
Helburua da gure xedeari buruzko ahalik eta informazio gehien biltzea, seguru asko beharrezkoa izango baita. Fase honetan ahalik eta informazio gehien edukitzea komeni da, baina batez ere datu hauek:
- Langileen datu pertsonalak
- Azpiegitura fisikoa
- IT azpiegitura
Azterketa-fasean teknika eta tresna asko erabil daitezke; besteak beste, OSINT, eta “biktima”ren trafikoa iragazteko sniffing-tresnak ere bai.
Eskaneatze-fasea
Aldez aurretik bildutako informazioarekin eraso-bektoreak bilatzean datza. Fase honetan jada ez da modu pasiboan jarduten; erakundearen atakak eta zerbitzuak eskaneatzen saiatzen gara. Helburua informazio askotarikoa lortzea da, adibidez:
- Makinen izenak
- Sistema eragileak
- Instalatutako softwarea
- Ataken egitura
- IP helbideak
- Erabiltzailearen kontuak
Helburu hori lortzeko ere teknika eta tresna ugari daude, hala nola dialerrak, ataka-eskanerrak, ICMP, SNMP edo kalteberatasunenak.
Zerrendatze-fasea
Oso garrantzitsua da aurreko faseetan egindako aurkikuntza guztiak behar bezala dokumentatuta edukitzea. Horrela, sarbideak huts eginez gero, fase honetara itzul daiteke, beste bide bati jarraitzeko.
Eraso-fasea
Hau da intrusio-testaren faserik aktiboena, zeinean pentesterra sisteman sartzen saiatzen den, detektatutako kalteberatasunak erabiliz. Pentesting-prozesua ziklikoa da; beraz, sarbideak huts egingo balu, zerrendatze-fasera itzuliko litzateke, sisteman sartzeko beste modu bat bilatzeko.
Iraute-fasea
Behin pentesterrak sisteman sartzea lortu duenean, garrantzitsua da konexio horrek irautea. Horrela, erakundean aurrera egin ahal izango du edo berriro ere sartu ahal izango da.
