侵入テスト-制限

情報および技術の分野における開発の迅速なペースのために、侵入テストのサクセスストーリーは比較的短命です。 システムに対する保護がさらに必要となるため、攻撃が成功する可能性を企業が認めるレベルまで低下させるために、侵入テストを実行する必要がある場合よりも多くの場合です。

以下は、侵入テストの主な制限です-

• 時間の制限-私たち全員が知っているように、侵入テストは時間制限された運動ではありません。それにもかかわらず、侵入テストの専門家は各テストに一定の時間を割り当てています。 一方、攻撃者には時間的な制約はなく、1週間、1か月、さらには数年で計画を立てます。
• 範囲の制限-組織の多くは、リソースの制約、セキュリティの制約、予算の制約などを含む独自の制限があるため、すべてをテストしません 同様に、テスターの範囲は限られているため、システムの多くの部分を残す必要があります。これらの部分は、より脆弱であり、攻撃者にとって完璧なニッチになる可能性があります。
• アクセスの制限-より多くの場合、テスターはターゲット環境へのアクセスを制限しています。 たとえば、企業がインターネットネットワーク全体からDMZシステムに対して侵入テストを実施した場合、攻撃者が通常のインターネットゲートウェイを介して攻撃した場合はどうでしょう。
• 方法の制限-侵入テスト中にターゲットシステムがクラッシュする可能性があるため、特定の攻撃方法の一部はプロの侵入テスト担当者にとっては無効になる可能性があります。 たとえば、システムまたはネットワーク管理者を別の攻撃方法からそらすためにサービス拒否フラッドを生成します。これは通常、本当に悪者にとって理想的な戦術ですが、ほとんどのプロの侵入テスターの関与のルールから外れます。 。
• ペネトレーションテスターのスキルセットの制限-通常、プロのペネトレーションテスターは、専門知識や過去の経験に関係なくスキルが限られているため、制限されています。 それらのほとんどは、特定の技術に焦点を当てており、他の分野のまれな知識を持っています。
• 既知のエクスプロイトの制限-テスターの多くは、公開されているエクスプロイトのみを認識しています。 実際、彼らの想像力は攻撃者ほど発達していません。 攻撃者は通常、テスターの思考をはるかに超えて考え、攻撃する欠陥を発見します。
• 実験の制限-ほとんどのテスターは時間制限があり、組織またはシニアから既に与えられた指示に従います。 彼らは新しいことに挑戦しません。 彼らは与えられた指示を超えて考えていません。 一方、攻撃者は自由に考え、実験し、攻撃への新しいパスを作成できます。

さらに、侵入テストは、通常のITセキュリティテストを置き換えることも、一般的なセキュリティポリシーを置き換えることもできません。むしろ、侵入テストは、確立されたレビュー手順を補完し、新しい脅威を発見します。