Návod na penetrační testování: Co je PenTest?

Od: Thomas Hamilton Thomas Hamilton
Hours aktualizováno

Penetrační testování

Penetrační testování nebo Pen Testing je typ Testování bezpečnosti slouží k pokrytí zranitelností, hrozeb a rizik, které by útočník mohl zneužít v softwarových aplikacích, sítích nebo webových aplikacích. Účelem penetračního testování je identifikovat a otestovat všechny možné bezpečnostní chyby, které se v softwarové aplikaci vyskytují. Penetrační testování se také nazývá Pen Test.

Penetrační testování

Zranitelnost je riziko, že útočník může narušit nebo získat autorizovaný přístup k systému nebo jakýmkoli datům v něm obsaženým. Zranitelnosti jsou obvykle zavedeny náhodně během fáze vývoje a implementace softwaru. Mezi běžné zranitelnosti patří chyby návrhu, konfigurace, softwarové chyby atd. Analýza penetrace závisí na dvou mechanismech, jmenovitě na posouzení zranitelnosti a penetračním testování (VAPT).

Proč penetrační testování?

Penetrace je v podniku nezbytná, protože –

  • Finanční sektory, jako jsou banky, investiční bankovnictví, burzy cenných papírů, chtějí, aby jejich data byla zabezpečena, a pro zajištění bezpečnosti je nezbytné penetrační testování.
  • V případě, že softwarový systém je již hacknutý a organizace chce zjistit, zda jsou v systému stále přítomny nějaké hrozby, aby se zabránilo budoucím hackům.
  • Proaktivní penetrační testování je nejlepší ochranou proti hackerům

Typy penetračních zkoušek

Typ zvoleného penetračního testu obvykle závisí na rozsahu a na tom, zda chce organizace simulovat útok zaměstnance, správce sítě (interní zdroje) nebo externí zdroje. Existují tři typy penetračního testování a jsou

Při penetračním testování black-box nemá tester žádné znalosti o systémech, které mají být testovány. Je odpovědný za sběr informací o cílové síti nebo systému.

Při penetračním testování white-box je testerovi obvykle poskytnuta kompletní informace o síti nebo systémech, které mají být testovány, včetně schématu IP adresy, zdrojového kódu, podrobností o operačním systému atd. To lze považovat za simulaci útoku jakéhokoli Interní zdroje (zaměstnanci organizace).

Při penetračním testování v šedém boxu je testerovi poskytnuta částečná znalost systému. Lze to považovat za útok externího hackera, který získal nelegitimní přístup k dokumentům síťové infrastruktury organizace.

Jak provést penetrační testování

Níže jsou uvedeny činnosti, které je třeba provést k provedení penetračního testu –

Penetrační testování

Krok 1) Fáze plánování

  1. Je stanoven rozsah a strategie zadání
  2. Pro definování rozsahu se používají stávající bezpečnostní politiky, standardy

Krok 2) Fáze objevování

  1. Shromážděte co nejvíce informací o systému včetně dat v systému, uživatelských jmen a dokonce i hesel. To se také nazývá jako OTISK PRSTŮ
  2. Skenujte a sondujte do portů
  3. Zkontrolujte zranitelnost systému

Krok 3) Fáze útoku

  1. Najděte exploity pro různé zranitelnosti K zneužití systému potřebujete nezbytná bezpečnostní oprávnění

Krok 4) Fáze hlášení

  1. Zpráva musí obsahovat podrobná zjištění
  2. Rizika nalezených zranitelností a jejich dopad na podnikání
  3. Doporučení a řešení, pokud existují

Hlavním úkolem penetračního testování je shromáždit systémové informace. Existují dva způsoby, jak získat informace –

  • Model „jeden k jednomu“ nebo „jeden k mnoha“ s ohledem na hostitele: Tester provádí techniky lineárním způsobem buď proti jednomu cílovému hostiteli, nebo proti logickému seskupení cílových hostitelů (např. podsíť).
  • Model 'mnoho k jednomu' nebo 'mnoho k mnoha': Tester využívá více hostitelů k provádění technik shromažďování informací náhodně, s omezenou rychlostí a nelineární.

Příklady nástrojů pro penetrační testování

Existuje široká škála nástrojů, které se používají při penetračním testování a důležité nástroje Pentestu jsou:

1) Teramind

Teramind poskytuje komplexní sadu pro prevenci vnitřních hrozeb a monitorování zaměstnanců. Zvyšuje zabezpečení prostřednictvím analýzy chování a prevence ztráty dat, zajišťuje dodržování předpisů a optimalizuje obchodní procesy. Jeho přizpůsobitelná platforma vyhovuje různým organizačním potřebám a poskytuje užitečné poznatky, které se zaměřují na zvýšení produktivity a ochranu integrity dat.

Teramind

Funkce:

  • Prevence vnitřních hrozeb: Detekuje a zabraňuje akcím uživatelů, které mohou naznačovat vnitřní hrozby pro data.
  • Optimalizace obchodních procesů: Využívá analýzy chování založené na datech k předefinování provozních procesů.
  • Produktivita pracovní síly: Monitoruje produktivitu, zabezpečení a chování zaměstnanců v souladu s předpisy.
  • Řízení dodržování předpisů: Pomáhá řídit shodu s jediným, škálovatelným řešením vhodným pro malé podniky, podniky a vládní agentury.
  • Kriminalita incidentů: Poskytuje důkazy pro obohacení reakce na incidenty, vyšetřování a zpravodajství o hrozbách.
  • Prevence ztráty dat: Monitoruje a chrání před potenciální ztrátou citlivých dat.
  • Monitoring zaměstnanců: Nabízí možnosti sledování výkonu a aktivit zaměstnanců.
  • Behaviorální analýza: Analyzuje podrobné údaje o chování zákaznických aplikací pro získání statistik.
  • Přizpůsobitelné nastavení monitorování: Umožňuje přizpůsobení nastavení monitorování tak, aby vyhovovalo konkrétním případům použití nebo implementovala předdefinovaná pravidla.
  • Statistiky řídicího panelu: Poskytuje přehled a přehled o činnostech pracovníků prostřednictvím komplexního řídicího panelu.

Návštěva Teramind >>

  1. Nmap– Tento nástroj se používá ke skenování portů, identifikaci OS, sledování trasy a skenování zranitelnosti.
  2. Nessus– Toto je tradiční síťový nástroj pro zranitelnosti.
  3. Pass-The-Hash – Tento nástroj se používá hlavně k prolomení hesla.

Role a odpovědnosti penetračních testerů

Úkolem penetračních testerů je:

  • Testeři by měli shromažďovat požadované informace od organizace, aby umožnili penetrační testy
  • Najděte chyby, které by mohly hackerům umožnit zaútočit na cílový stroj
  • Testeři per by měli myslet a jednat jako skuteční hackeři, i když eticky.
  • Práce provedená testery Penetration by měla být reprodukovatelná, aby ji vývojáři mohli snadno opravit
  • Datum zahájení a datum ukončení provádění testu by mělo být definováno předem.
  • Tester by měl být odpovědný za jakoukoli ztrátu systému nebo informací v průběhu Testování softwaru
  • Tester by měl uchovávat data a informace v tajnosti

Manuální penetrace vs. automatizované penetrační testování

Manuální penetrační testování Automatizované penetrační testování
Ruční testování vyžaduje, aby testy provedli odborníci Automatizované testovací nástroje poskytují jasné zprávy s méně zkušenými profesionály
Ruční testování vyžaduje Excel a další nástroje k jeho sledování Testování automatizace má centralizované a standardní nástroje
Při ručním testování se výsledky vzorků liší test od testu V případě automatických testů se výsledky test od testu neliší
Uživatelé by měli mít na paměti čištění paměti Automatizované testování bude mít komplexní čištění.

Nevýhody penetračního testování

Penetration Testing nemůže najít všechny zranitelnosti v systému. Existují omezení času, rozpočtu, rozsahu, dovedností penetračních testerů

Když provádíme penetrační testování, budou následující vedlejší účinky:

  • Ztráta a poškození dat
  • Čas Down
  • Zvyšte náklady

Proč investovat do čističky vzduchu?

Testeři by se měli chovat jako skutečný hacker a testovat aplikaci nebo systém a potřebují zkontrolovat, zda je kód bezpečně napsán. Penetrační test bude účinný, pokud existuje dobře implementovaná bezpečnostní politika. Politika a metodika penetračního testování by měly být místem, kde bude penetrační testování efektivnější. Toto je kompletní průvodce penetračním testováním pro začátečníky.

Nevýhody penetračního testování

Podívejte se na náš Projekt živého penetračního testování

Máš rád: