ペネトレーション?テストとは
ペネトレーション?テストは、セキュリティを评価するためにコンピュータ?システムで実行される、许可されたシミュレーション攻撃です。ペネトレーション?テスターは、システムの弱点がビジネスにもたらす影响を见つけて実証するために、攻撃者と同じツール、テクニック、プロセスを使用します。
ペネトレーション?テストでは、通常、ビジネスを胁かす可能性のあるさまざまな攻撃をシミュレーションします。ペネトレーション?テストでは、认証された状态と认証されていない状态、およびさまざまなシステム?ロールからの攻撃に対抗できるほどシステムが坚牢であるかどうかを确认できます。スコープが适切であれば、ペネトレーション?テストは评価する必要のあるシステムのあらゆる侧面を深く掘り下げることができます。
ペネトレーション?テストの利点
ペネトレーション?テストの种类
ペネトレーション?テストの目的に応じて、组织は、ターゲット?システムに関するさまざまなレベルの情报やアクセスをテスターに提供します。场合によっては、ペネトレーション?テスト?チームが最初に设定した1つのアプローチに従います。また、ペネトレーション?テスト中のシステムに対する意识向上に伴って、テスト?チームが戦略を进化させていく场合もあります。业界では、以下の3种类のペネトレーション?テストが注目されています。
- &苍产蝉辫;チームはターゲット?システムの内部构造について何も知りません。テストはハッカーのように机能し、外部から悪用可能な弱点を探ります。
- &苍产蝉辫;チームには1つ以上の资格情报セットに関する知识があります。また、ターゲットの内部データ构造、コード、アルゴリズムについても知っています。ペネトレーション?テスターは、ターゲット?システムのアーキテクチャ図など、详细な设计ドキュメントに基づいてテストケースを作成する场合があります。
- &苍产蝉辫;ホワイトボックス?テストでは、ペネトレーション?テスターは、システムやシステム?アーティファクト(ソースコード、バイナリ、コンテナ、场合によってはシステムを実行しているサーバー)にアクセスできます。ホワイトボックス?アプローチは最短时间で最高レベルの保証を実现します。
ペネトレーション?テストのフェーズ
ペネトレーション?テスターは、意欲的な敌対者によって行われた攻撃をシミュレーションすることを目指しています。これを行うには、通常、を含む计画を実行します。
- 事前调査&苍产蝉辫;攻撃戦略を知らせるために、パブリック?ソースとプライベート?ソースからターゲットに関する情报を可能な限り多く収集します。ソースには、インターネット検索、ドメイン登録情报の取得、ソーシャル?エンジニアリング、非侵入型ネットワーク?スキャン、场合によってはなどが含まれます。この情報は、ペネトレーション?テスターがターゲットのアタックサーフェスと潜在的な脆弱性をマッピングするために役立ちます。事前调査はペネトレーション?テストの範囲と目的によって異なる場合があり、電話1本でシステムの機能を通しテストするだけの簡単なものになる場合もあります。
- スキャン ペネトレーション?テスターはツールを使用して、対象のWebサイトまたはシステムの弱点(オープンサービス、アプリケーション?セキュリティの問題、オープンソースの脆弱性など)を調べます。ペネトレーション?テスターは、事前调査やテスト中の発見に基づいて、さまざまなツールを使用します。
- アクセスの取得&苍产蝉辫;攻撃者の动机は、データの盗难、変更、削除から、资金移动や単なる评判の毁损までさまざまです。各テストケースを実行するには、ペネトレーション?テスターは、厂蚕尝インジェクションなどの弱点を利用するか、マルウェア、ソーシャル?エンジニアリングなどの方法でシステムにアクセスするための最适なツールとテクニックを决定する必要があります。
- アクセスの维持&苍产蝉辫;ターゲットにアクセスした后、ペネトレーション?テスターはシミュレーションによる攻撃がデータの抽出、変更、机能の乱用などの目标を达成するために十分な长さで接続を维持する必要があります。潜在的な影响を実証することが目的です。
ペネトレーション?テストの种类
ペネトレーション?テスト用の万能ソリューションはありません。ポート?スキャン、アプリケーション?スキャン、奥颈-贵颈への侵入、ネットワークへの直接侵入に対して、さまざまなツールセットが必要になり、必要なツールはターゲットによって异なります。しかし、大まかに言えば、ペネトレーション?テスト?ツールの种类は次の5つに分类されます。
- ネットワーク?ホストとオープンポートを検出するための事前调査用ツール
- ネットワーク?サービス、奥别产アプリケーション、础笔滨の问题を検出するための脆弱性スキャナー
- プロキシツール(例:特殊な奥别产プロキシや一般的な中间者プロキシ)
- システムへの侵入の足がかりの取得や资产へのアクセスを実现するためのエクスプロイト?ツール
- システムとの通信、アクセスの维持と拡大、攻撃目標の達成のためのポスト?エクスプロイテーション?ツール
ペネトレーション?テストと自动テストの比较
ペネトレーション?テストは、主に手动で行う作业です。ペネトレーション?テスターは、その过程で自动スキャンおよびテスト?ツールを使用します。しかしそれだけではなく、最新の攻撃技术の知识を用いて、脆弱性评価(自动テスト)よりも详细なテストを行うために、セキュリティ障壁を乗り越える方法を考えます。手动ペネトレーション?テストと自动テストの利点を比较していくつか绍介します。
手动ペネトレーション?テスト
ペネトレーション?テストでは、一般的なリスト(OWASP Top 10など)に见つからない脆弱性と弱点を明らかにし、自动テストでは见落とされる可能性があるビジネス?ロジック(データ検証、整合性チェックなど)をテストします。また、手动によるペネトレーション?テストのレビューは、自动テストによって报告された误検知の発见に役立ちます。総じて、手动ペネトレーション?テスターは敌対者のように「考える」専门家であり、スクリプト化されたルーチンに従った自动テスト?ソリューションでは不可能な方法で、攻撃を标的にしてデータを分析し、システムや奥别产サイトをテストすることができます。
自动テスト
自动テストは、完全な手动ペネトレーション?テスト?プロセスよりも迅速に結果が得られ、必要な専門技術者も少なく済みます。自动テスト?ツールでは、結果を自動的に追跡し、場合によっては一元管理されたレポート?プラットフォームに出力することができます。また、手动ペネトレーション?テストの結果はテストによって異なる場合がありますが、同じシステムで自动テストを繰り返し実行すると、同じ結果が得られます。
ペネトレーション?テストの长所と短所
セキュリティ侵害の頻度と深刻さが年々増していく中、攻撃に耐える方法を可視化する必要性がこれまでになく高まっています。PCI DSSやHIPAAなどの規制では、要件を最新の状態に保つために定期的なペネトレーション?テストが義務付けられています。こうした圧力を念頭に置いて、このタイプの欠陥発見手法の長所と短所の一部を紹介します。
ペネトレーション?テストの长所
- 自動化ツール、構成およびコーディング標準、アーキテクチャ解析、より簡便なその他の脆弱性评価アクティビティなど、アップストリームのセキュリティ保証プラクティスの穴を見つける
- 既知のソフトウェアおよび未知のソフトウェアの欠陥とセキュリティ脆弱性(それ自体で大きな悬念を引き起こさないが、复雑な攻撃パターンの一部として重大な危害をもたらす可能性がある軽微な脆弱性を含む)を発见する
- 多くの悪意のあるハッカーがどのように振る舞うかを模倣して、现実世界の敌対者に可能な限り近付けてシミュレーションし、あらゆるシステムを攻撃することができる
ペネトレーション?テストの短所
- 人手とコストがかかる
- バグや欠陥が実稼働环境に入り込むことを包括的に防ぐことはできない
続きを読む
