ペネトレーション?テストは、セキュリティを评価するためにコンピュータ?システムで実行される、许可されたシミュレーション攻撃です。ペネトレーション?テスターは、システムの弱点がビジネスにもたらす影响を见つけて実証するために、攻撃者と同じツール、テクニック、プロセスを使用します。
ペネトレーション?テストでは、通常、ビジネスを胁かす可能性のあるさまざまな攻撃をシミュレーションします。ペネトレーション?テストでは、认証された状态と认証されていない状态、およびさまざまなシステム?ロールからの攻撃に対抗できるほどシステムが坚牢であるかどうかを确认できます。スコープが适切であれば、ペネトレーション?テストは评価する必要のあるシステムのあらゆる侧面を深く掘り下げることができます。
ペネトレーション?テストの目的に応じて、组织は、ターゲット?システムに関するさまざまなレベルの情报やアクセスをテスターに提供します。场合によっては、ペネトレーション?テスト?チームが最初に设定した1つのアプローチに従います。また、ペネトレーション?テスト中のシステムに対する意识向上に伴って、テスト?チームが戦略を进化させていく场合もあります。业界では、以下の3种类のペネトレーション?テストが注目されています。
ペネトレーション?テスターは、意欲的な敌対者によって行われた攻撃をシミュレーションすることを目指しています。これを行うには、通常、を含む计画を実行します。
ペネトレーション?テスト用の万能ソリューションはありません。ポート?スキャン、アプリケーション?スキャン、奥颈-贵颈への侵入、ネットワークへの直接侵入に対して、さまざまなツールセットが必要になり、必要なツールはターゲットによって异なります。しかし、大まかに言えば、ペネトレーション?テスト?ツールの种类は次の5つに分类されます。
ペネトレーション?テストは、主に手动で行う作业です。ペネトレーション?テスターは、その过程で自动スキャンおよびテスト?ツールを使用します。しかしそれだけではなく、最新の攻撃技术の知识を用いて、脆弱性评価(自动テスト)よりも详细なテストを行うために、セキュリティ障壁を乗り越える方法を考えます。手动ペネトレーション?テストと自动テストの利点を比较していくつか绍介します。
手动ペネトレーション?テスト
ペネトレーション?テストでは、一般的なリスト(OWASP Top 10など)に见つからない脆弱性と弱点を明らかにし、自动テストでは见落とされる可能性があるビジネス?ロジック(データ検証、整合性チェックなど)をテストします。また、手动によるペネトレーション?テストのレビューは、自动テストによって报告された误検知の発见に役立ちます。総じて、手动ペネトレーション?テスターは敌対者のように「考える」専门家であり、スクリプト化されたルーチンに従った自动テスト?ソリューションでは不可能な方法で、攻撃を标的にしてデータを分析し、システムや奥别产サイトをテストすることができます。
自动テスト
自动テストは、完全な手动ペネトレーション?テスト?プロセスよりも迅速に結果が得られ、必要な専門技術者も少なく済みます。自动テスト?ツールでは、結果を自動的に追跡し、場合によっては一元管理されたレポート?プラットフォームに出力することができます。また、手动ペネトレーション?テストの結果はテストによって異なる場合がありますが、同じシステムで自动テストを繰り返し実行すると、同じ結果が得られます。
セキュリティ侵害の頻度と深刻さが年々増していく中、攻撃に耐える方法を可視化する必要性がこれまでになく高まっています。PCI DSSやHIPAAなどの規制では、要件を最新の状態に保つために定期的なペネトレーション?テストが義務付けられています。こうした圧力を念頭に置いて、このタイプの欠陥発見手法の長所と短所の一部を紹介します。
ペネトレーション?テストの长所
ペネトレーション?テストの短所