Penetration-testing-quick-guide
侵入テスト-はじめに
侵入テストとは何ですか?
侵入テストは、アプリケーションのセキュリティをテストするために使用されるセキュリティテストの一種です。 システムに存在する可能性のあるセキュリティリスクを見つけるために実施されます。
システムがセキュリティで保護されていない場合、攻撃者はそのシステムへのアクセスを中断または許可することができます。 セキュリティリスクは通常、ソフトウェアの開発および実装中に発生する偶発的なエラーです。 たとえば、構成エラー、設計エラー、ソフトウェアのバグなど。
侵入テストが必要な理由
侵入テストでは、通常、ネットワーク、アプリケーション、エンドポイント、およびユーザーを外部または内部の脅威から保護するシステムの能力を評価します。 また、セキュリティ制御を保護しようとし、許可されたアクセスのみを保証します。
侵入テストは不可欠です-
- シミュレーション環境、つまり、侵入者が white hat attack によってシステムを攻撃する方法を識別します。
- 侵入者が攻撃してコンピュータの機能やデータにアクセスできる弱点を見つけるのに役立ちます。
- *ブラックハット攻撃*を回避し、元のデータを保護します。
- 潜在的なビジネスに対する攻撃の規模を推定します。
- 技術のセキュリティ面への投資を増やすことが重要である理由、提案する証拠を提供します
侵入テストを実行するタイミング
侵入テストは、システムの機能を保護するために定期的に実行する必要がある重要な機能です。 これに加えて、それはいつでも実行する必要があります-
- セキュリティシステムは、攻撃者による新しい脅威を発見します。
- 新しいネットワークインフラストラクチャを追加します。
- システムを更新するか、新しいソフトウェアをインストールします。
- オフィスを移転します。
- 新しいエンドユーザープログラム/ポリシーを設定します。
侵入テストはどのように有益ですか?
侵入テストには次の利点があります-
- 管理システムの強化-セキュリティの脅威に関する詳細情報を提供します。 これに加えて、脆弱性の程度も分類し、脆弱性がより高いものと低いものを示します。 したがって、セキュリティリソースを適切に割り当てることにより、セキュリティシステムを簡単かつ正確に管理できます。
- 罰金を回避-侵入テストは、組織の主要な活動を常に最新の状態に保ち、監査システムに準拠しています。 そのため、侵入テストにより罰金を科せられません。
- 経済的損害からの保護-セキュリティシステムの単純な侵害は、数百万ドルの損害を引き起こす可能性があります。 侵入テストは、このような損害から組織を保護できます。
- 顧客の保護-1人の顧客のデータにさえ違反すると、大きな金銭的損害と評判の損害が発生する可能性があります。 顧客に対処し、データをそのまま保持する組織を保護します。
侵入テスト-メソッド
侵入テストは、システムおよびテスト、分析のさまざまな問題を考慮し、ソリューションを提供する手法の組み合わせです。 これは、侵入テストを段階的に実行する構造化された手順に基づいています。
この章では、侵入テスト方法のさまざまなステップまたはフェーズについて説明します。
侵入テスト方法の手順
以下は、侵入テストの7つのステップです-
計画と準備
計画と準備は、侵入テストの目標と目的を定義することから始まります。
クライアントとテスターが共同で目標を定義し、両者が同じ目標と理解を持つようにします。 侵入テストの一般的な目的は次のとおりです-
- 脆弱性を特定し、技術システムのセキュリティを向上させるため。
- ITセキュリティを外部の第三者に確認してもらいます。
- 組織/人員のインフラストラクチャのセキュリティを強化します。
偵察
偵察には、予備情報の分析が含まれます。 多くの場合、テスターは予備情報(IPアドレスまたはIPアドレスブロック)以外の情報をあまり持っていません。 テスターは、利用可能な情報を分析し、必要に応じて、システムの説明、ネットワーク計画などの詳細情報を要求することから始めます。 クライアントから。 このステップは、ある種の受動的侵入テストです。 唯一の目的は、システムの完全かつ詳細な情報を取得することです。
発見
このステップでは、ペネトレーションテスターが自動ツールを使用して、ターゲット資産をスキャンし、脆弱性を発見する可能性が高いでしょう。 これらのツールには通常、最新の脆弱性の詳細を提供する独自のデータベースがあります。 ただし、テスターは発見する
- ネットワーク検出-追加のシステム、サーバー、その他のデバイスの検出など。
- ホスト検出-これらのデバイスで開いているポートを決定します。
- Service Interrogation -ポートに問い合わせて、ポートで実行されている実際のサービスを検出します。
情報とリスクの分析
このステップでは、テスターはシステムを動的に貫通するためのテストステップの前に収集された情報を分析および評価します。 システムの数が多く、インフラストラクチャのサイズが大きいため、非常に時間がかかります。 分析中、テスターは次の要素を考慮します-
- 侵入テストの定義された目標。
- システムに対する潜在的なリスク。
- 後続のアクティブな侵入テストの潜在的なセキュリティ欠陥を評価するために必要な推定時間。
ただし、特定されたシステムのリストから、テスターは潜在的な脆弱性を含むシステムのみをテストすることを選択できます。
アクティブな侵入の試み
これは、慎重に実行する必要がある最も重要な手順です。 このステップには、実際のリスクを抱える発見ステップで特定された潜在的な脆弱性の程度が伴います。 潜在的な脆弱性の検証が必要な場合、この手順を実行する必要があります。 整合性要件が非常に高いシステムでは、重要なクリーンアップ手順を実行する前に、潜在的な脆弱性とリスクを慎重に検討する必要があります。
最終分析
このステップでは、主にその時点までに実行されたすべてのステップ(上記)と潜在的なリスクの形で存在する脆弱性の評価を考慮します。 さらに、テスターは脆弱性とリスクを排除することを推奨します。 何よりも、テスターは、テストの透明性と開示した脆弱性を保証する必要があります。
レポート準備
レポートの準備は、全体的なテスト手順から始まり、その後に脆弱性とリスクの分析が続きます。 高いリスクと重大な脆弱性には優先順位があり、次に低い順序が必要です。
ただし、最終レポートを文書化する際には、次の点を考慮する必要があります-
- 侵入テストの全体的な要約。
- 各ステップの詳細と、ペンテスト中に収集された情報。
- 発見されたすべての脆弱性とリスクの詳細。
- システムのクリーニングと修正の詳細。
- 将来のセキュリティに関する提案。
侵入テスト対。 脆弱性
一般的に、これらの2つの用語、つまり侵入テストと脆弱性評価は、誤解や宣伝のせいで、多くの人が同じ意味で使用しています。 しかし、両方の用語は、目的と他の手段の点で互いに異なっています。 ただし、違いを説明する前に、両方の用語を1つずつ理解してみましょう。
侵入テスト
侵入テストは、情報セキュリティを破り、貴重なデータをハッキングしたり、組織の通常の機能を妨害したりすることを目的とした外部または内部サイバー攻撃者の行動を再現します。 そのため、高度なツールとテクニックを使用して、侵入テスト( ethical hacker )が重要なシステムを制御し、機密データへのアクセスを取得する努力をします。
脆弱性評価
一方、脆弱性評価とは、特定の環境でセキュリティの脆弱性を特定(検出)および測定(スキャン)する手法です。 これは、情報セキュリティの位置の包括的な評価です(結果分析)。 さらに、潜在的な弱点を特定し、それらの弱点を除去するか、リスクレベルを下回って低減するための適切な緩和策(修復)を提供します。
次の図は、脆弱性評価をまとめたものです-
次の表は、侵入テストと脆弱性評価の基本的な違いを示しています-
| Penetration Testing | Vulnerability Assessments |
|---|---|
| Determines the scope of an attack. | Makes a directory of assets and resources in a given system. |
| Tests sensitive data collection. | Discovers the potential threats to each resource. |
| Gathers targeted information and/or inspect the system. | Allocates quantifiable value and significance to the available resources. |
| Cleans up the system and gives final report. | Attempts to mitigate or eliminate the potential vulnerabilities of valuable resources. |
| It is non-intrusive, documentation and environmental review and analysis. | Comprehensive analysis and through review of the target system and its environment. |
| It is ideal for physical environments and network architecture. | It is ideal for lab environments. |
| It is meant for critical real-time systems. | It is meant for non-critical systems. |
どのオプションが理想的ですか?
どちらの方法も機能とアプローチが異なるため、それぞれのシステムのセキュリティの位置に依存します。 ただし、侵入テストと脆弱性評価の基本的な違いにより、2番目の手法は最初の手法よりも有益です。
脆弱性評価では、弱点を特定し、それらを修正するソリューションを提供します。 一方、侵入テストは、「だれかがシステムのセキュリティを破ることができますか?
さらに、脆弱性評価はセキュリティシステムの改善を試み、より成熟した統合セキュリティプログラムを開発します。 一方、侵入テストでは、セキュリティプログラムの有効性の画像のみが提供されます。
ここで見てきたように、脆弱性評価は侵入テストと比較してより有益であり、より良い結果をもたらします。 しかし、専門家は、セキュリティ管理システムの一部として、完全な安全な環境を確保するために両方の技術を定期的に実行する必要があることを示唆しています。
侵入テストの種類
侵入テストの種類は通常、範囲と組織の要望と要件によって異なります。 この章では、さまざまなタイプの侵入テストについて説明します。 Pen Testing とも呼ばれます。
ペンテストの種類
以下は、ペンテストの重要なタイプです-
- ブラックボックス侵入テスト
- ホワイトボックス侵入テスト
- グレーボックス侵入テスト
より良い理解のために、それらのそれぞれについて詳細に議論しましょう-
ブラックボックス侵入テスト
ブラックボックス侵入テストでは、テスターはテストするシステムについて何も知りません。 彼は、ターゲットのネットワークまたはシステムに関する情報を収集することに興味があります。 たとえば、このテストでは、テスターは予想される結果がどうあるべきかを知っているだけであり、結果がどのように到着するかを知りません。 彼はプログラミングコードを調べません。
ブラックボックス侵入テストの利点
次の利点があります-
- 特定の言語知識を必要としないため、テスターは必ずしも専門家である必要はありません
- テスターは実際のシステムと仕様の矛盾を検証します
- テストは一般に、デザイナーではなくユーザーの視点で行われます
ブラックボックス侵入テストの欠点
その欠点は-
- 特に、この種のテストケースは設計が困難です。
- おそらく、デザイナーが既にテストケースを実施している場合、それは価値がありません。
- すべてを行うわけではありません。
ホワイトボックス侵入テスト
テスターには、スキーマ、ソースコード、OSの詳細、IPアドレスなど、システムやネットワークに関するすべての情報が提供されているため、これは包括的なテストです。 通常、内部ソースによる攻撃のシミュレーションと見なされます。 また、構造、ガラスボックス、クリアボックス、およびオープンボックステストとしても知られています。
ホワイトボックス侵入テストは、コードカバレッジを調べ、データフローテスト、パステスト、ループテストなどを行います。
ホワイトボックス侵入テストの利点
次の利点があります-
- これにより、モジュールのすべての独立したパスが確実に実行されます。
- これにより、すべての論理的決定が真および偽の値とともに検証されます。
- 誤植を発見し、構文チェックを行います。
- プログラムの論理フローと実際の実行の違いにより発生した可能性のある設計エラーを検出します。
グレーボックス侵入テスト
このタイプのテストでは、テスターは通常、システムのプログラムの内部詳細に関する部分的または限定的な情報を提供します。 これは、組織のネットワークインフラストラクチャドキュメントに不正アクセスした外部ハッカーによる攻撃と見なすことができます。
グレーボックス侵入テストの利点
次の利点があります-
- テスターはソースコードへのアクセスを必要としないため、非侵入的で公平です
- 開発者とテスターの間には明確な違いがあるため、個人的な競合のリスクは最小限です
- プログラムの機能やその他の操作に関する内部情報を提供する必要はありません
侵入テストの領域
侵入テストは通常、次の3つの領域で行われます-
- ネットワーク侵入テスト-このテストでは、ネットワークのセキュリティを確保する脆弱性とリスクを特定するために、システムの物理構造をテストする必要があります。 ネットワーク環境では、テスターはそれぞれの会社/組織のネットワークの設計、実装、または運用におけるセキュリティの欠陥を特定します。 テスターによってテストされるデバイスは、コンピューター、モデム、またはリモートアクセスデバイスなどです。
- アプリケーション侵入テスト-このテストでは、システムの論理構造をテストする必要があります。 これは、脆弱性とリスクを特定することにより、アプリケーションのセキュリティ制御の効率を明らかにするために設計された攻撃シミュレーションです。 ファイアウォールおよびその他の監視システムは、セキュリティシステムを保護するために使用されますが、場合によっては、特にトラフィックがファイアウォールを通過することが許可されている場合、集中的なテストが必要です。
- システムの応答またはワークフロー-これは、テストが必要な3番目の領域です。 ソーシャルエンジニアリングは、人間の相互作用に関する情報を収集して、組織とそのコンピューターに関する情報を取得します。 各組織の情報システムへの不正アクセスを防止する能力をテストすることは有益です。 同様に、このテストは組織/会社のワークフロー専用に設計されています。
侵入テスト-手動および自動化
手動侵入テストと自動侵入テストの両方が同じ目的で実施されます。 それらの間の唯一の違いは、それらが行われる方法です。 名前が示すように、手動侵入テストは人間(この分野の専門家)によって行われ、自動侵入テストはマシン自体によって行われます。
この章は、両方の用語の概念、相違点、および適用性を学習するのに役立ちます。
手動侵入テストとは何ですか?
手動侵入テストは、人間が行うテストです。 この種のテストでは、マシンの脆弱性とリスクが専門技術者によってテストされます。
一般的に、テストエンジニアは次の方法を実行します-
- データ収集-データ収集はテストで重要な役割を果たします。 手動でデータを収集するか、オンラインで無料で入手できるツールサービス(Webページのソースコード分析手法など)を使用できます。 これらのツールは、テーブル名、DBバージョン、データベース、ソフトウェア、ハードウェア、またはさまざまなサードパーティプラグインなどの情報を収集するのに役立ちます
- 脆弱性評価-データが収集されると、テスターがセキュリティの弱点を特定し、それに応じて予防措置を講じるのに役立ちます。
- 実際のエクスプロイト-これは、専門のテスターがターゲットシステムで攻撃を開始するために使用する典型的な方法であり、同様に攻撃のリスクを減らします。
- レポートの準備-侵入が完了すると、テスターはシステムに関するすべてを説明する最終レポートを準備します。 最後に、レポートを分析して、ターゲットシステムを保護するための修正手順を実行します。
手動侵入テストの種類
手動侵入テストは通常、次の2つの方法で分類されます-
- Focused Manual Penetration Testing -特定の脆弱性とリスクをテストする非常に焦点を絞った方法です。 自動化された侵入テストでは、このテストを実行できません。特定のドメイン内の特定のアプリケーションの脆弱性を調査する人間の専門家によってのみ行われます。
- 包括的な手動侵入テスト-相互に接続されたシステム全体のテストを通じて、あらゆる種類のリスクと脆弱性を特定します。 ただし、このテストの機能は、複数の低リスク障害がより脆弱な攻撃シナリオをもたらす可能性があるかどうかを調査するなど、より状況に応じたものです。
自動化された侵入テストとは何ですか?
自動化された侵入テストは、マシンの脆弱性とリスクを自動的にテストする、はるかに速く、効率的で、簡単で、信頼性があります。 この技術は専門技術者を必要とせず、この分野の知識がほとんどない人でも実行できます。
自動化された侵入テストのツールは、Nessus、Metasploit、OpenVA、backtract(シリーズ5)などです。 これらは、侵入テストの効率と意味を変えた非常に効率的なツールです。
ただし、次の表は、手動と自動の侵入テストの基本的な違いを示しています-
| Manual Penetration Testing | Automated Penetration Testing |
|---|---|
| It requires expert engineer to perform the test. | It is automated so even a learner can run the test. |
| It requires different tools for the testing. | It has integrated tools does required anything from outside. |
| In this type of testing, results can vary from test to test. | It has fixed result. |
| This test requires to remember cleaning up memory by the tester. | It does not. |
| It is exhaustive and time taking. | It is more efficient and fast. |
| It has additional advantages i.e. if an expert does pen test, then he can analyze better, he can think what a hacker can think and where he can attack. Hence, he can put security accordingly. | It cannot analyze the situation. |
| As per the requirement, an expert can run multiple testing. | It cannot. |
| For critical condition, it is more reliable. | It is not. |
侵入テスト-ツール
侵入テストは、通常、情報収集、脆弱性およびリスク分析、脆弱性の悪用、最終レポートの準備で構成されます。
また、侵入テストで利用可能なさまざまなツールの機能を学ぶことも不可欠です。 この章では、これらの機能に関する情報と洞察を提供します。
侵入テストツールとは何ですか?
次の表は、最も重要な侵入ツールのいくつかを収集し、それらの機能を示しています-
| Tool Name | Purpose | Portability | Expected Cost |
|---|---|---|---|
| Hping |
Port Scanning リモートOCフィンガープリンティング a |
Linux、NetBSD、 FreeBSD、 OpenBSD、 |
Free |
| Nmap |
Network Scanning ポートスキャン OS検出 |
Linux, Windows, FreeBSD, OS X, HP-UX, NetBSD, Sun, OpenBSD, Solaris, IRIX, Mac, etc. | Free |
| SuperScan |
Runs queries including ping, whois, hostname lookups, etc. 開いているUDP/TCPポートを検出し、それらのポートで実行されているサービスを判別します。 |
Windows 2000/XP/Vista/7 | Free |
| p0f |
Os fingerprinting ファイアウォール検出 |
Linux, FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris, Windows, and AIX | Free |
| Xprobe |
Remote active OS fingerprinting ポートスキャン TCPフィンガープリント |
Linux | Free |
| Httprint |
Web server fingerprinting SSL detection Web対応デバイス(ワイヤレスアクセスポイント、スイッチ、モデム、ルーターなど)を検出する |
Linux, Mac OS X, FreeBSD, Win32 (command line & GUI | Free |
| Nessus | Detect vulnerabilities that allow remote cracker to control/access sensitive data | Mac OS X, Linux, FreeBSD, Apple, Oracle Solaris, Windows | Free to limited edition |
| GFI LANguard | Detect network vulnerabilities | Windows Server 2003/2008, Windows 7 Ultimate/Vista, Windows 2000 Professional, Business/XP, Sever 2000/2003/2008 | Only Trial Version Free |
| Iss Scanner | Detect network vulnerabilities | Windows 2000 Professional with SP4, Windows Server 2003 Standard with SO1, Windows XP Professional with SP1a | Only Trial Version Free |
| Shadow Security Scanner | Detect network vulnerabilities, audit proxy and LDAP servers | Windows but scan servers built on any platform | Only Trial Version Free |
| Metasploit Framework |
Develop and execute exploit code against a remote target コンピューターシステムの脆弱性をテストする |
All versions of Unix and Windows | Free |
| Brutus | Telnet, ftp, and http password cracker | Windows 9x/NT/2000 | Free |
侵入テスト-インフラストラクチャ
通常、コンピュータシステムと関連するネットワークは多数のデバイスで構成され、それらのほとんどは、それぞれのシステムの全体的な作業とビジネスを行う上で主要な役割を果たします。 いつでも、またこれらのデバイスのいずれかの部分に小さな欠陥があると、ビジネスに大きな損害を与える可能性があります。 したがって、それらはすべてリスクに対して脆弱であり、適切に保護する必要があります。
インフラストラクチャ侵入テストとは何ですか?
インフラストラクチャ侵入テストには、すべての内部コンピューターシステム、関連する外部デバイス、インターネットネットワーキング、クラウドおよび仮想化のテストが含まれます。
内部の企業ネットワークに隠されているか、パブリックビューから隠されているかに関係なく、攻撃者がインフラストラクチャに害を及ぼす可能性があることを常に利用できます。 ですから、後悔するよりも前もって安全である方が良いです。
インフラストラクチャ侵入テストの種類
以下は、インフラ侵入テストの重要なタイプです-
- 外部インフラストラクチャ侵入テスト
- 内部インフラ侵入テスト
- クラウドおよび仮想化の侵入テスト
- ワイヤレスセキュリティ侵入テスト
外部インフラストラクチャのテスト
外部インフラストラクチャをターゲットとする侵入テストは、ハッカーがネットワークで何ができるかを発見します。これはインターネットから簡単にアクセスできます。
このテストでは、テスターは通常、外部インフラストラクチャのセキュリティ欠陥を見つけてマッピングすることにより、ハッカーが使用できるのと同じ種類の攻撃を複製します。
それとして、外部インフラストラクチャ侵入テストを活用することにはさまざまな利点があります-
- 悪用される可能性のあるファイアウォール構成内の欠陥を識別します
- 攻撃者がシステムから情報を漏らす方法を見つけます。
- これらの問題を修正する方法を提案します
- 境界ネットワークのセキュリティリスクを強調する包括的なレポートを作成し、解決策を提案します
- ビジネスの全体的な効率と生産性を確保します
内部インフラ侵入テスト
いくつかのマイナーな内部セキュリティ欠陥のために、ハッカーは大規模な組織で不正に不正行為を行っています。 したがって、内部インフラストラクチャの侵入テストでは、テスターはセキュリティの可能性と、どの従業員からこの問題が発生したかを特定できます。
内部インフラストラクチャ侵入テストは、それ自体が利点です-
- 内部の攻撃者が軽微なセキュリティ上の欠陥を利用する方法を特定します。
- 内部攻撃者が負わせる潜在的なビジネスリスクと損害を特定します。
- 内部インフラストラクチャのセキュリティシステムを改善します。
- 内部ネットワークのセキュリティ露出の詳細と、その対処方法に関する詳細なアクションプランを提供する包括的なレポートを作成します。
クラウドおよび仮想化の侵入テスト
パブリックサーバーまたはウェーブスペースを購入すると、データ侵害のリスクが大幅に増加します。 さらに、クラウド環境で攻撃者を特定することは困難です。 攻撃者は、クラウド機能のホスティングを購入して、新しいクラウドデータにアクセスすることもできます。
実際、クラウドホスティングのほとんどは仮想インフラストラクチャに実装されているため、攻撃者が簡単にアクセスできる仮想化リスクが発生します。
クラウドと仮想化の侵入テストには、それ自体の利点があります-
- 仮想環境内の実際のリスクを発見し、脅威と欠陥を修正する方法とコストを提案します。
- 問題を解決する方法のガイドラインとアクションプランを提供します。
- 全体的な保護システムを改善します。
- クラウドコンピューティングと仮想化の包括的なセキュリティシステムレポートを作成し、セキュリティの欠陥、原因、および考えられる解決策の概要を説明します。
ワイヤレスセキュリティ侵入テスト
ラップトップやその他のデバイスのワイヤレス技術により、さまざまなネットワークに簡単かつ柔軟にアクセスできます。 簡単にアクセスできる技術は、固有のリスクに対して脆弱です。物理的なセキュリティを使用してネットワークアクセスを制限することはできません。 攻撃者は遠隔地からハッキングできます。 したがって、企業/組織にはワイヤレスセキュリティ侵入テストが必要です。
以下は、ワイヤレス技術を持っている理由です-
- ワイヤレスデバイスによって引き起こされる潜在的なリスクを見つけるため。
- 外部の脅威から保護する方法に関するガイドラインと行動計画を提供する。
- セキュリティシステム全体を改善するため。
- ワイヤレスネットワーキングの包括的なセキュリティシステムレポートを作成し、セキュリティの欠陥、原因、および考えられる解決策の概要を説明します。
侵入テスト-テスター
組織の最も重要なデータを保護する問題があります。したがって、ペネトレーションテスターの役割は非常に重要であり、軽微なエラーが当事者(テスターとそのクライアント)を危険にさらす可能性があります。
したがって、この章では、資格、経験、責任など、侵入テストのさまざまな側面について説明します。
ペネトレーションテスターの資格
このテストは、資格のある侵入テスターのみが実行できます。したがって、ペネトレーションテスターの資格は非常に重要です。
資格のある内部専門家または資格のある外部専門家が組織的に独立するまで侵入テストを実行できます。 つまり、ペネトレーションテスターは、ターゲットシステムの管理から組織的に独立している必要があります。 たとえば、サードパーティ企業がターゲットシステムのインストール、メンテナンス、またはサポートに関与している場合、そのパーティは侵入テストを実行できません。
ペネトレーションテスターを呼び出す際に役立つガイドラインを次に示します。
認証
認定された人は、侵入テストを実行できます。 テスターが保持する認定は、彼のスキルセットと有能なペネトレーションテスターの能力の指標です。
以下は、侵入テスト認証の重要な例です-
- 認定倫理的ハッカー(CEH)。
- 攻撃的セキュリティ認定プロフェッショナル(OSCP)。
- CREST侵入テスト認定。
- 通信電子セキュリティグループ(CESG)ITヘルスチェックサービス認定。
- グローバル情報保証認証(GIAC)認定。たとえば、GIAC認定侵入テスト(GPEN)、GIAC Webアプリケーション侵入テスト(GWAPT)、アドバンス侵入テスト(GXPN)、およびGIAC Exploit Researcher。
過去の経験
次の質問は、効果的な侵入テスターを雇うのに役立ちます-
- ペネトレーションテスターには何年の経験がありますか?
- 彼は独立した侵入テスト担当者ですか、それとも組織で働いていますか?
- いくつの会社でペネトレーションテスターとして働いていましたか?
- 彼はあなたと似たような規模と範囲を持つ組織に対して侵入テストを実施しましたか?
- ペネトレーションテスターにはどのような経験がありますか? たとえば、ネットワーク層の侵入テストなどの実施
- また、彼が働いた他の顧客からの参照を求めることができます。
ペネトレーションテスターを雇用する場合、彼(テスター)が対象環境内で具体的に展開したテクノロジーに関連するため、彼(テスター)が働いた組織の過去1年間のテスト経験を評価することが重要です。
上記に加えて、複雑な状況と典型的なクライアントの要件のために、テスターの以前のプロジェクトで同様の環境を処理する能力を評価することをお勧めします。
ペネトレーションテスターの役割
侵入テスターには次の役割があります-
- ツールとテクノロジーの非効率的な割り当てを特定します。
- 内部セキュリティシステム全体のテスト。
- 最も重要なデータを保護するために露出を特定します。
- インフラストラクチャ全体の脆弱性とリスクに関する貴重な知識を発見してください。
- 最大のセキュリティギャップを保護しながら、セキュリティチームが最も効果的な方法で時間を活用できるように、修復の推奨事項を報告および優先順位付けします。
侵入テスト-レポート作成
侵入テストのレポートを作成することは、個別に学習する必要がある技術であるため、経験豊富な侵入テスターが良いレポートを作成できる必要はありません。
レポート作成とは何ですか?
侵入テストでは、レポート作成は、方法論、手順、レポートの内容と設計の適切な説明、テストレポートの詳細な例、およびテスターの個人的な経験を含む包括的なタスクです。 レポートが作成されると、上級管理スタッフと対象組織の技術チームで共有されます。 将来そのような種類のニーズが発生した場合、このレポートは参照として使用されます。
レポート作成段階
包括的な執筆作業が関係しているため、浸透レポートの執筆は次の段階に分類されます-
- レポート計画
- 情報収集
- 最初のドラフトを書く
- レビューと最終化
レポート計画
レポートの計画は、読者が侵入テストの主要なポイントを理解するのに役立つ目標から始まります。 このパートでは、テストが実施される理由、ペンテストの利点などについて説明します。 第二に、レポートの計画にはテストにかかった時間も含まれます。
レポート作成の主要な要素は次のとおりです-
- 目的-ペンテストの全体的な目的と利点について説明します。
- 時間-システムの正確なステータスを提供するため、時間を含めることは非常に重要です。 レポートに特定の期間における侵入テストの範囲のリスクと脆弱性が示されるため、後で何か問題が発生した場合にこのレポートがテスターを救うと仮定します。
- 対象読者-ペンテストレポートには、情報セキュリティマネージャー、情報技術マネージャー、最高情報セキュリティ責任者、技術チームなどの対象読者も含める必要があります。
- レポート分類-サーバーIPアドレス、アプリケーション情報、脆弱性、脅威を運ぶのは非常に機密性が高いため、適切に分類する必要があります。 ただし、この分類は、情報分類ポリシーを持つターゲット組織に基づいて行う必要があります。
- レポート配布-コピーの数とレポート配布は、作業範囲で言及されるべきです。 また、ハードコピーは、その番号と受信者の名前を添付した限られた数のコピーを印刷することで制御できることにも言及する必要があります。
情報収集
複雑で時間のかかるプロセスのため、ペンテスターは、テストのすべての段階ですべての情報を収集したことを確認するために、すべての手順に言及する必要があります。 メソッドに加えて、彼はシステムとツール、スキャン結果、脆弱性評価、彼の発見の詳細などについても言及する必要があります。
最初のドラフトを書く
テスターはすべてのツールと情報を準備できたので、最初のドラフトを開始する必要があります。 主に、彼は詳細の最初のドラフトを書く必要があります-すべてに言及する すべてのアクティビティ、プロセス、および経験。
レビューと最終化
レポートを作成したら、最初に作成者自身がレビューし、次に彼を支援した可能性のある先輩または同僚がレビューする必要があります。 レビュー中、レビュー担当者はレポートのすべての詳細を確認し、修正が必要な欠陥を見つけることが期待されます。
侵入テストレポートの内容
以下は、侵入テストレポートの典型的な内容です-
エグゼクティブサマリー
方法論
詳細調査結果
参考文献
|
侵入テスト-倫理的ハッキング
インターネットの急速な成長は、すべての人の生活様式を変えました。 最近では、私的および公共の作品のほとんどはインターネットに依存しています。 政府のすべての秘密の作業計画、および運用はインターネットに基づいています。 これらすべてのことが、人生を非常にシンプルにし、簡単にアクセスできるようにしました。
しかし、幸いなことに、この開発の暗い顔、つまり犯罪ハッカーもいます。 これらの犯罪ハッカーには地政学的な制限はありません。彼らは世界のあらゆる場所のシステムをハッキングできます。 機密データと信用履歴に非常に大きな損害を与える可能性があります。
したがって、犯罪ハッカーから保護するために、倫理的ハッカーの概念が進化しました。 この章では、倫理的ハッカーの概念と役割について説明します。
倫理的ハッカーとは誰ですか?
倫理的ハッカーとは、犯罪ハッカーから保護する目的でコンピューターシステムをハッキングすることを法的に許可されているコンピューターの専門家です。 倫理的なハッカーは、システムの脆弱性とリスクを特定し、それらを排除する方法を提案します。
犯罪ハッカーとは誰ですか?
犯罪ハッカーとは、データを盗む、お金を盗む、他人の信用をdef損する、他人のデータを破壊する、誰かを脅迫するなどの目的で他のシステムをハッキングするコンピュータープログラミングの専門家です。
犯罪ハッカーは何ができますか?
システムがハッキングされると、犯罪ハッカーはそのシステムで何でもできます。 次の2つの画像C.C. pdf.textfiles.comで公開されているPalmerは、ハッキングされたページの簡単な例を示しています-
これは、ハッキングされる前に撮影されたウェブページのスクリーンショットです-
そして、これはハッキングされた後の同じウェブページのスクリーンショットです-
倫理的ハッカーのスキルセットとは何ですか?
専門の倫理的ハッカーには、システムを倫理的にハッキングするための次のスキルセットがあります
- それらは信頼できるものでなければなりません。
- リスクや脆弱性が何であれ、システムのテスト中に発見し、それらを機密に保つ必要があります。
- クライアントは、IPアドレス、パスワードなどのシステムインフラストラクチャに関する機密情報を提供します。 倫理的なハッカーは、この情報を秘密にする必要があります。
- 倫理的なハッカーは、コンピュータープログラミング、ネットワーク、およびハードウェアに関する十分な知識を持っている必要があります。
- 状況を分析し、リスクを事前に推測するための優れた分析スキルが必要です。
- ペンのテストには1日、1週間、またはそれ以上かかる場合があるため、管理スキルと忍耐が必要です。
倫理的ハッカーは何をしますか?
倫理的なハッカーは、侵入テストを実行しながら、基本的に次の質問に対する答えを見つけようとします-
- 犯罪ハッカーが攻撃できる弱点は何ですか?
- 犯罪者のハッカーはターゲットシステムで何を見ることができますか?
- 犯罪ハッカーはその機密情報で何ができますか?
さらに、倫理的なハッカーは、ターゲットシステムに存在する脆弱性とリスクに適切に対処する必要があります。 彼は回避手順を説明し提案する必要があります。 最後に、侵入テストの実行中に彼が行って観察したすべての倫理的活動の最終レポートを作成します。
ハッカーの種類
ハッカーは通常3つのカテゴリに分類されます。
ブラックハットハッカー
「ブラックハットハッカー」とは、大規模なコンピューターソフトウェアとハードウェアを所有している個人のことであり、その目的は他人のインターネットセキュリティを侵害またはバイパスすることです。 ブラックハットハッカーは、クラッカーまたはダークサイドハッカーとしても人気があります。
ホワイトハットハッカー
「ホワイトハットハッカー」という用語は、侵入テストおよびその他の関連するテスト手法に特化した、コンピューターセキュリティの専門家である倫理的なコンピューターハッカーを指します。 彼の主な役割は、組織の情報システムのセキュリティを確保することです。
グレイハットハッカー
「グレイハットハッカー」という用語は、倫理基準が純粋に倫理的なものと悪意のあるものとの間のどこかにあるコンピューターセキュリティシステムをクラックするコンピューターハッカーを指します。
侵入テスト対。 倫理的ハッキング
侵入テストは倫理的ハッキングと密接に関連しているため、これらの2つの用語はしばしば同じ意味で使用されます。 ただし、これら2つの用語にはわずかな違いがあります。 この章では、侵入テストと倫理的ハッキングの基本的な概念と基本的な違いについて考察します。
侵入テスト
侵入テストは特定の用語であり、システムの保護と制御を目的として、脆弱性、リスク、およびターゲット環境を発見することにのみ焦点を当てています。 言い換えれば、侵入テストは、すべてのコンピューターシステムとそのインフラストラクチャで構成される各組織の防衛システムを対象としています。
倫理的ハッキング
一方、倫理的ハッキングは、すべてのハッキング技術、およびその他の関連するコンピューター攻撃技術を網羅する広範な用語です。 したがって、セキュリティの欠陥と脆弱性を発見し、ターゲットシステムのセキュリティを確保するとともに、システムをハッキングするだけでなく、将来の目的のためにセキュリティを保護するための許可を得ます。 したがって、それは包括的な用語であり、侵入テストは倫理的ハッキングの機能の1つです。
以下は、侵入テストと次の表に記載されている倫理的ハッキングの主な違いです-
| Penetration Testing | Ethical Hacking |
|---|---|
| A narrow term focuses on penetration testing only to secure the security system. | A comprehensive term and penetration testing is one of its features. |
| A tester essentially does need to have a comprehensive knowledge of everything rather required to have the knowledge of only the specific area for which he conducts pen testing. | An ethical hacker essentially needs to have a comprehensive knowledge of software programming as well as hardware. |
| A tester not necessarily required to be a good report writer. | An ethical hacker essentially needs to be an expert on report writing. |
| Any tester with some inputs of penetration testing can perform pen test. | It requires to be an expert professional in the subject, who has the obligatory certification of ethical hacking to be effective. |
| Paper work in less compared to Ethical hacking. | A detailed paper works are required, including legal agreement etc. |
| To perform this type of testing, less time required. | Ethical hacking involves lot of time and effort compared to Penetration testing. |
| Normally, accessibility of whole computer systems and its infrastructure doesn’t require. Accessibility is required only for the part for which the tester performing pen testing. | As per the situation, it normally requires a whole range of accessibility all computer systems and its infrastructure. |
侵入技術は脅威から保護するために使用されるため、潜在的な攻撃者も急速に巧妙になり、現在のアプリケーションに新たな弱点を生み出しています。 したがって、特定の種類の単一侵入テストでは、テスト対象システムのセキュリティを保護するのに十分ではありません。
レポートによると、場合によっては、新しいセキュリティの抜け穴が発見され、侵入テストの直後に攻撃が成功しました。 ただし、侵入テストが役に立たないという意味ではありません。 これは、徹底的な侵入テストでは、攻撃が成功しないという保証はないということだけを意味しますが、テストが攻撃の成功の可能性を大幅に減らすことは間違いありません。
侵入テスト-制限
情報および技術の分野における開発の迅速なペースのために、侵入テストのサクセスストーリーは比較的短命です。 システムに対する保護がさらに必要となるため、攻撃が成功する可能性を企業が認めるレベルまで低下させるために、侵入テストを実行する必要がある場合よりも多くの場合です。
以下は、侵入テストの主な制限です-
- 時間の制限-私たち全員が知っているように、侵入テストは時間制限された運動ではありません。それにもかかわらず、侵入テストの専門家は各テストに一定の時間を割り当てています。 一方、攻撃者には時間的な制約はなく、1週間、1か月、さらには数年で計画を立てます。
- 範囲の制限-組織の多くは、リソースの制約、セキュリティの制約、予算の制約などを含む独自の制限があるため、すべてをテストしません 同様に、テスターの範囲は限られているため、システムの多くの部分を残す必要があります。これらの部分は、より脆弱であり、攻撃者にとって完璧なニッチになる可能性があります。
- アクセスの制限-より多くの場合、テスターはターゲット環境へのアクセスを制限しています。 たとえば、企業がインターネットネットワーク全体からDMZシステムに対して侵入テストを実施した場合、攻撃者が通常のインターネットゲートウェイを介して攻撃した場合はどうでしょう。
- 方法の制限-侵入テスト中にターゲットシステムがクラッシュする可能性があるため、特定の攻撃方法の一部はプロの侵入テスト担当者にとっては無効になる可能性があります。 たとえば、システムまたはネットワーク管理者を別の攻撃方法からそらすためにサービス拒否フラッドを生成します。これは通常、本当に悪者にとって理想的な戦術ですが、ほとんどのプロの侵入テスターの関与のルールから外れます。 。
- ペネトレーションテスターのスキルセットの制限-通常、プロのペネトレーションテスターは、専門知識や過去の経験に関係なくスキルが限られているため、制限されています。 それらのほとんどは、特定の技術に焦点を当てており、他の分野のまれな知識を持っています。
- 既知のエクスプロイトの制限-テスターの多くは、公開されているエクスプロイトのみを認識しています。 実際、彼らの想像力は攻撃者ほど発達していません。 攻撃者は通常、テスターの思考をはるかに超えて考え、攻撃する欠陥を発見します。
- 実験の制限-ほとんどのテスターは時間制限があり、組織またはシニアから既に与えられた指示に従います。 彼らは新しいことに挑戦しません。 彼らは与えられた指示を超えて考えていません。 一方、攻撃者は自由に考え、実験し、攻撃への新しいパスを作成できます。
さらに、侵入テストは、通常のITセキュリティテストを置き換えることも、一般的なセキュリティポリシーを置き換えることもできません。むしろ、侵入テストは、確立されたレビュー手順を補完し、新しい脅威を発見します。
侵入テスト-修復
侵入テストの取り組みは、たとえ徹底的であっても、セキュリティコントロールの有効性が不十分なすべてのインスタンスを網羅的に発見できるとは限りません。 アプリケーションの1つの領域でクロスサイトスクリプティングの脆弱性またはリスクを特定しても、アプリケーションに存在するこの脆弱性のすべてのインスタンスが完全に公開されるとは限りません。 この章では、修復の概念と有用性について説明します。
修復とは何ですか?
修復とは、間違いを置き換えて正しく設定するための改善を提供する行為です。 多くの場合、1つの領域に脆弱性が存在することは、他の場所で同様の脆弱性を複製または有効化できるプロセスまたは開発プラクティスの脆弱性を示している可能性があります。 したがって、修復中、テスターは、効果のないセキュリティ制御を念頭に置いて、テスト対象のエンティティまたはアプリケーションを慎重に調査することが重要です。
これらの理由により、それぞれの企業は、最初の侵入テスト後の妥当な期間内に、悪用可能な脆弱性を修正するための措置を講じる必要があります。 実際、会社がこれらの手順を完了するとすぐに、ペンテスターは再テストを実行して、元のリスクを軽減できる新しく実装されたコントロールを検証する必要があります。
最初のペンテスト後の長期間にわたる修復作業では、最新の環境の正確な結果を確保するために、新しいテストを実行する必要があります。 この決定は、元のテストが完了してからどれだけの変化が発生したかをリスク分析した後に行う必要があります。
さらに、特定の状況では、フラグが設定されたセキュリティ問題は、それぞれの環境またはアプリケーションの基本的な欠陥を示している場合があります。 したがって、再テストの範囲では、テストで特定された修復に起因する変更が重要と分類されるかどうかを考慮する必要があります。 すべての変更を再テストする必要があります。ただし、システム全体の再テストが必要かどうかは、変更のリスク評価によって決定されます。
侵入テスト-法的問題
機密データのテストを許可する前に、企業は通常、データの可用性、機密性、整合性に関する措置を講じます。 この合意が成立するためには、法的コンプライアンスは組織にとって必要な活動です。
セキュリティおよび認可システムを確立および維持する際に遵守する必要がある最も重要な法的規制を、侵入テストの実装に使用するためのコンテキストで以下に示します。
法的問題とは何ですか?
以下は、テスターと彼のクライアントの間で発生する可能性のある問題の一部です-
- テスターはクライアントに知られていないため、どのような理由で機密データへのアクセスを許可する必要があります
- 誰が失われたデータのセキュリティを保証しますか?
- クライアントは、データの損失またはテスターへの機密性を非難する可能性があります
侵入テストはシステムのパフォーマンスに影響を与える可能性があり、機密性と整合性の問題を引き起こす可能性があります。したがって、書面による許可を得るために内部スタッフが実施する内部侵入テストにおいても、これは非常に重要です。 データのセキュリティ、開示などに関するすべてのポイントを明確にするために、テスターと会社/組織/個人の間で書面による合意が必要です。 テストを開始する前に。
- 意図のステートメント*を作成し、テスト作業の前に両方の当事者が正式に署名する必要があります。 ジョブの範囲と、脆弱性テストの実行中に実行する場合と実行しない場合があることを明確に概説する必要があります。
テスターにとって、作業を依頼されているビジネスまたはシステムの所有者、およびペンテストによって潜在的に影響を受ける可能性のあるテストシステムとターゲット間のインフラストラクチャを知ることが重要です。 アイデアは確認することです。
- *テスター*は、明確に定義されたパラメーターを使用して、書面による許可を取得しています。
- *会社*にはペンテスターの詳細と、機密データを漏らさないという保証があります。
法的合意は双方にとって有益です。 規制は国によって異なるため、それぞれの国の法律に遅れないようにしてください。 それぞれの法律を検討した後にのみ契約に署名してください。
