Inhoudsopgave:
Video: The Top 5 Ways I Hacked Your Internal Network in 2019 (November 2024)
De meeste IT-professionals kunnen elke dag maar doorkomen in de veronderstelling dat hun netwerken zijn beschermd tegen hackers. Als je daar een van bent, dan ben je waarschijnlijk tevreden dat alle basisprincipes aanwezig zijn, zodat een willekeurige sociopaat niet alleen kan inloggen op je netwerk, je kritieke informatie kan weggooien, misschien wat malware kan planten en dan kan vertrekken. Vraag is: Weet je het zeker?
Kortom, je moet jezelf laten hacken zodat je weet waar je zwakke punten zijn, en dan moet je repareren wat die (hopelijk) white hat hackers hebben gevonden. White hat-hackers zijn degenen die u bezoekt wanneer u de kwaliteit van uw netwerkbescherming wilt testen zonder echte slechteriken of black hat-hackers te betrekken. Wat white hat hackers doen, is de beveiliging van uw netwerk op elke mogelijke manier onderzoeken, onderweg uw beveiliging beoordelen en vastleggen. Dat wordt penetratietesten of 'pentesten' genoemd en wat veel IT-professionals zich niet realiseren, is dat je daarvoor niet meteen een dure professional hoeft in te huren. U kunt zelf beginnen met de basisprincipes van een penetratietest.
Hoogste prioriteitstaken voor IT- en beveiligingsprofessionals in 2018
(Afbeelding tegoed: Statista)
"Het allerbelangrijkste is echt een kwetsbaarheidsbeoordeling, een risicobeoordeling", zegt Georgia Weidman, auteur van Penetration Testing: een praktische introductie tot hacking . Weidman is ook de oprichter en Chief Technology Officer (CTO) van Shevirah, een beveiligingsbedrijf dat gespecialiseerd is in penetratietests. "Die worden over het hoofd gezien. Bedrijven verspillen veel geld aan penetratietests, wanneer ze fundamentele kwetsbaarheden hebben." Ze zei dat het eerste wat een organisatie zou moeten doen, elementaire kwetsbaarheidstests uitvoeren en vervolgens de kwetsbaarheden oplossen voordat ze doorgaan met penetratietesten. "Penetratietests zouden niet je eerste stap moeten zijn, " zei ze.
Weidman stelde ook voor ervoor te zorgen dat uw bedrijf de eerste stappen heeft gezet op het gebied van beveiligingsbewustzijn, inclusief training in phishing en social engineering. Ze wees erop dat het veiligste netwerk nog steeds kan worden gepenetreerd als iemand de inloggegevens weggeeft om toegang te krijgen. Dit zijn allemaal dingen die een goede penetratietester zou controleren voordat hij aan een echte test begint.
"Als ze geïnteresseerd zijn in hoe goed hun medewerkers zijn getraind in veiligheidsbewustzijn, stel dan uw eigen phishingtest op, " zei Weidman. "Je hoeft daarvoor niet iemand te betalen en het is een van de grootste manieren waarop mensen binnenkomen." Ze zei ook phishing te gebruiken via sms en sociale media.
Test uw wachtwoorden
Weidman zei dat de volgende stap is om de wachtwoorden en identiteitsbeheermogelijkheden van uw organisatie te testen. "Download Active Directory-hashes van wachtwoorden en test ze met wachtwoordtesters. Dat doen we bij penetratietests, " zei ze.
Volgens Weidman zijn belangrijke tools voor het testen van wachtwoorden Hashcat en John the Ripper wachtwoordcracker, waarvan ze zei dat ze vaak worden gebruikt bij penetratietesten. Ze zei dat ze, naast het controleren van wachtwoorden van Microsoft Azure Active Directory, ook kunnen worden gesnuffeld in het netwerk met behulp van een netwerkprotocolanalysator zoals Wireshark. Het doel hier is om ervoor te zorgen dat uw gebruikers niet gemakkelijk geraden wachtwoorden, zoals 'wachtwoord', gebruiken voor hun inloggegevens.
Terwijl u uw netwerkverkeer onderzoekt, moet u zoeken naar Link-Local Multicast Name Resolution (LLMNR) en ervoor zorgen dat dit indien mogelijk wordt uitgeschakeld. Weidman zei dat je wachtwoordhashes kunt vastleggen met behulp van LLMNR. "Ik luister op het netwerk en haal de hashes op, en kraak ze dan, " zei ze.
Verifieer uw machines
Weidman zei dat zodra ze de wachtwoorden heeft gekraakt, ze deze vervolgens gebruikt om zich te verifiëren met de machines op het netwerk. "Er kan een lokale beheerder zijn omdat ze allemaal hetzelfde zijn afgebeeld", zei ze. "Hopelijk is er een domeinbeheerder."
Nadat Weidman de beheerdersreferenties heeft verkregen, kan ze deze vervolgens gebruiken om in de geheime gebieden op de machine te komen. Ze zei dat er soms een secundaire authenticatie is, dus ze zou die wachtwoorden ook moeten kraken.
Weidman zei dat je voorzichtig moet zijn als je je eigen penetratietest doet. "Als ik penetratietests doe, doe ik mijn best om niets te breken, " zei ze en voegde eraan toe: "Er is geen 100 procent zekerheid dat er niets fout gaat."
Vermijd het downloaden van malware
Weidman zei dat een zeer nuttige penetratietesttool de gratis versie van Metasploit is, maar ze waarschuwt tegen het downloaden van een exploit van internet omdat deze ook malware kan bevatten. "Val jezelf niet per ongeluk aan, " waarschuwde ze. Ze zei dat exploitaties die voor het testen worden aangeboden, vaak malware bevatten die je zal aanvallen.
- De beste wachtwoordbeheerders voor 2019 De beste wachtwoordbeheerders voor 2019
- De beste software voor het verwijderen en beschermen van malware voor 2019 De beste software voor het verwijderen en beschermen van malware voor 2019
- De beste Ransomware-beveiliging voor bedrijven voor 2019 De beste Ransomware-beveiliging voor bedrijven voor 2019
Overigens biedt Microsoft ook een kwetsbaarheidstoets voor Windows, de Microsoft Security Compliance Toolkit v1.0, die Microsoft Windows 10, Windows Server 2012R2 en Office 2016 ondersteunt.
Weidman waarschuwt tegen het denken dat penetratie een soort diepe donkere magie is. Ze zei dat het in plaats daarvan belangrijk is om eerst de basis te behandelen. "Iedereen springt in penetratietesten omdat het een sexy naam heeft, " zei ze. "Maar er is veel waarde aan het vinden van het laaghangende fruit en het eerst repareren."
