倫理的ハッキング-ペンテスト

侵入テストは、多くの企業がセキュリティ侵害を最小限に抑えるために従う方法です。 これは、システムをハッキングして修正すべき抜け穴を見せようとする専門家を雇う管理された方法です。

侵入テストを行う前に、次のパラメータを明示的に言及する合意を持つことが必須です-

• 侵入テストの時間はどうなりますか、
• 攻撃のIPソースはどこですか
• システムの浸透フィールドはどうなりますか。

侵入テストは、主に商用のオープンソースツール、自動化ツール、および手動チェックを使用するプロの倫理的ハッカーによって実施されます。 制限はありません。ここで最も重要な目的は、可能な限り多くのセキュリティ上の欠陥を発見することです。

侵入テストの種類

5種類の侵入テストがあります-

• ブラックボックス-ここでは、倫理的なハッカーは、彼が侵入しようとしている組織のインフラストラクチャまたはネットワークに関する情報を持っていません。 ブラックボックス侵入テストでは、ハッカーは自分の手段で情報を見つけようとします。
• グレイボックス-これは、倫理的なハッカーがドメイン名サーバーのようなインフラストラクチャの部分的な知識を持っている侵入テストの一種です。
• ホワイトボックス-ホワイトボックス侵入テストでは、倫理的ハッカーは、侵入する必要がある組織のインフラストラクチャおよびネットワークに関するすべての必要な情報を提供されます。
• 外部侵入テスト-このタイプの侵入テストは、主にネットワークインフラストラクチャまたはサーバー、およびインフラストラクチャで動作するソフトウェアに焦点を当てています。 この場合、倫理的なハッカーはインターネットを介してパブリックネットワークを使用して攻撃を試みます。 ハッカーは、ウェブページ、ウェブサーバー、パブリックDNSサーバーなどを攻撃することにより、企業のインフラストラクチャをハッキングしようとします。
• 内部侵入テスト-このタイプの侵入テストでは、倫理的なハッカーが会社のネットワーク内にいて、そこからテストを実施します。

侵入テストは、システムの誤動作、システムのクラッシュ、データの損失などの問題も引き起こす可能性があります。 したがって、企業は侵入テストを進める前に、計算されたリスクを取る必要があります。 リスクは次のように計算され、管理リスクです。

リスク=脅威×脆弱性

例

実稼働中のオンラインeコマースWebサイトがあります。 あなたはそれをライブにする前に侵入テストをしたい。 ここでは、まず長所と短所を比較検討する必要があります。 侵入テストを進めると、サービスが中断する可能性があります。 それどころか、侵入テストを実行したくない場合は、パッチされていない脆弱性が常に脅威として残るリスクを負う可能性があります。

侵入テストを行う前に、プロジェクトの範囲を書面で書き留めておくことをお勧めします。 何をテストするかについて明確にする必要があります。 たとえば-

• 会社にはVPNまたはその他のリモートアクセス技術があり、その特定のポイントをテストする必要があります。
• アプリケーションにはデータベースを備えたWebサーバーがあるため、Webサーバーで最も重要なテストの1つであるSQLインジェクション攻撃についてテストすることをお勧めします。 さらに、WebサーバーがDoS攻撃の影響を受けないかどうかを確認できます。

クイックヒント

侵入テストを進める前に、次の点に留意する必要があります-

• 最初に要件を理解し、すべてのリスクを評価します。
• ネットワークまたはWebアプリケーションの潜在的な抜け穴を発見するために、すべての可能な方法と手法を適用するように訓練されているため、侵入テストを実施する認定者を雇います。
• 侵入テストを行う前に、常に契約書に署名してください。