Penetraatiotestauksen opetusohjelma: Mikä on PenTest?

Läpäisyn testaus

Läpäisyn testaus tai kynätestaus on eräänlainen Suojaustestaus käytetään suojaamaan haavoittuvuuksia, uhkia ja riskejä, joita hyökkääjä voi hyödyntää ohjelmistosovelluksissa, verkoissa tai verkkosovelluksissa. Läpäisytestauksen tarkoituksena on tunnistaa ja testata kaikki mahdolliset tietoturva-aukkoja, joita ohjelmistosovelluksessa on. Penetraatiotestausta kutsutaan myös kynätestiksi.

Läpäisyn testaus

Haavoittuvuus on riski, että hyökkääjä voi häiritä järjestelmää tai sen sisältämiä tietoja tai saada siihen luvan pääsyn. Haavoittuvuudet ilmaantuvat yleensä vahingossa ohjelmistokehitys- ja käyttöönottovaiheessa. Yleisiä haavoittuvuuksia ovat suunnitteluvirheet, konfigurointivirheet, ohjelmistovirheet jne. Penetration Analysis riippuu kahdesta mekanismista, nimittäin haavoittuvuuden arvioinnista ja penetraatiotestauksesta (VAPT).

Miksi penetraatiotestaus?

Tunkeutuminen on välttämätöntä yrityksessä, koska -

  • Rahoitussektorit, kuten pankit, investointipankkitoiminta ja pörssit, haluavat tietonsa suojattavan, ja penetraatiotestaus on välttämätöntä turvallisuuden takaamiseksi
  • Siinä tapauksessa, että ohjelmistojärjestelmä on jo hakkeroitu ja organisaatio haluaa selvittää, onko järjestelmässä vielä uhkia, jotta vältytään tulevilta hakkeroilta.
  • Ennakoiva tunkeutumistestaus on paras suoja hakkereita vastaan

Penetraatiotestien tyypit

Valitun penetraatiotestin tyyppi riippuu yleensä laajuudesta ja siitä, haluaako organisaatio simuloida työntekijän, verkonvalvojan (sisäiset lähteet) vai ulkoisten lähteiden hyökkäystä. Penetraatiotestauksia on kolmenlaisia ​​ja niitä on

Black-box-penetraatiotestauksessa testaajalla ei ole tietoa testattavista järjestelmistä. Hän vastaa kohdeverkon tai -järjestelmän tietojen keräämisestä.

Valkolaatikon penetraatiotestauksessa testaaja saa yleensä täydelliset tiedot testattavasta verkosta tai järjestelmistä, mukaan lukien IP-osoiteskeema, lähdekoodi, käyttöjärjestelmätiedot jne. Tätä voidaan pitää minkä tahansa hyökkäyksen simulaationa. Sisäiset lähteet (organisaation työntekijät).

Harmaan laatikon läpäisytestauksessa testaajalla on osittainen tieto järjestelmästä. Sitä voidaan pitää ulkopuolisen hakkerin hyökkäyksenä, joka oli saanut laittoman pääsyn organisaation verkkoinfrastruktuurin asiakirjoihin.

Kuinka tehdä tunkeutumistesti

Seuraavat toimenpiteet on suoritettava tunkeutumistestin suorittamiseksi -

Läpäisyn testaus

Vaihe 1) Suunnitteluvaihe

  1. Tehtävän laajuus ja strategia määritellään
  2. Soveltamisalan määrittelyssä käytetään olemassa olevia suojauskäytäntöjä, standardeja

Vaihe 2) Löytövaihe

  1. Kerää mahdollisimman paljon tietoa järjestelmästä, mukaan lukien järjestelmän tiedot, käyttäjätunnukset ja jopa salasanat. Tätä kutsutaan myös nimellä SORMENJÄLJÖT
  2. Skannaa ja tutki portit
  3. Tarkista järjestelmän haavoittuvuudet

Vaihe 3) Hyökkäysvaihe

  1. Etsi erilaisten haavoittuvuuksien hyväksikäyttöä Tarvitset tarvittavat suojausoikeudet järjestelmän hyödyntämiseen

Vaihe 4) Raportointivaihe

  1. Raportin tulee sisältää yksityiskohtaiset havainnot
  2. Haavoittuvuuksien riskit ja niiden vaikutukset liiketoimintaan
  3. Suosituksia ja ratkaisuja, jos sellaisia ​​on

Läpäisytestauksen tärkein tehtävä on kerätä järjestelmätietoja. On kaksi tapaa kerätä tietoa -

  • "Yksi yhteen" tai "yhdestä moneen" -malli suhteessa isäntään: Testaaja suorittaa tekniikoita lineaarisesti joko yhtä kohdeisäntäkonetta tai kohdeisäntien loogista ryhmää (esim. aliverkkoa) vastaan.
  • "Monet yhteen" tai "monet useisiin" -malli: Testauslaite käyttää useita isäntiä suorittaakseen tiedonkeruutekniikoita satunnaisesti, nopeusrajoitetulla ja epälineaarisella tavalla.

Esimerkkejä läpäisytestaustyökaluista

On olemassa laaja valikoima työkaluja, joita käytetään tunkeutumistestauksessa ja tärkeitä Pentest-työkaluja ovat:

1) Teramind

Teramind tarjoaa kattavan ohjelmistopaketin sisäpiiriuhkien ehkäisyyn ja työntekijöiden seurantaan. Se parantaa turvallisuutta käyttäytymisanalytiikan ja tietojen häviämisen eston avulla, varmistaa vaatimustenmukaisuuden ja optimoi liiketoimintaprosesseja. Sen muokattavissa oleva alusta sopii erilaisiin organisaation tarpeisiin ja tarjoaa käyttökelpoisia oivalluksia, jotka keskittyvät tuottavuuden parantamiseen ja tietojen eheyden turvaamiseen.

Teramind

Ominaisuudet:

  • Sisäpiiriuhan ehkäisy: Tunnistaa ja estää käyttäjien toimet, jotka voivat viitata tietoihin kohdistuviin sisäpiiriuhkiin.
  • Liiketoimintaprosessien optimointi: Käyttää tietopohjaista käyttäytymisanalytiikkaa toimintaprosessien uudelleenmäärittelyyn.
  • Työvoiman tuottavuus: Valvoo työvoiman tuottavuutta, turvallisuutta ja vaatimustenmukaisuutta.
  • Vaatimustenmukaisuuden hallinta: Auttaa hallitsemaan yhteensopivuutta yhdellä, skaalautuvalla ratkaisulla, joka sopii pienille yrityksille, yrityksille ja valtion virastoille.
  • Tapahtumarikostekniset tiedot: Tarjoaa todisteita vaaratilanteiden reagoinnin, tutkinnan ja uhkien tiedustelutietojen rikastamiseksi.
  • Tietojen menetyksen estäminen: Valvoo ja suojaa arkaluonteisten tietojen mahdolliselta katoamiselta.
  • Työntekijöiden seuranta: Tarjoaa mahdollisuuden seurata työntekijöiden suorituskykyä ja toimintaa.
  • Käyttäytymisanalyysi: Analysoi yksityiskohtaisia ​​asiakkaiden sovellusten käyttäytymistietoja saadakseen oivalluksia.
  • Mukautettavat valvonta-asetukset: Mahdollistaa valvonta-asetusten mukauttamisen tiettyihin käyttötapauksiin tai ennalta määritettyjen sääntöjen toteuttamiseen.
  • Hallintapaneelin tilastot: Tarjoaa näkyvyyttä ja käytännönläheisiä näkemyksiä työvoiman toiminnasta kattavan kojelaudan kautta.

Vierailla Teramind >>

  1. nmap– Tätä työkalua käytetään porttien skannaamiseen, käyttöjärjestelmän tunnistamiseen, reitin jäljittämiseen ja haavoittuvuusskannaukseen.
  2. Nessus– Tämä on perinteinen verkkopohjainen haavoittuvuuksien työkalu.
  3. Pass-The-Hash – Tätä työkalua käytetään pääasiassa salasanan murtamiseen.

Penetraatiotestaajien rooli ja vastuut

Penetration Testersin tehtävänä on:

  • Testaajien tulee kerätä tarvittavat tiedot organisaatiolta läpäisytestien mahdollistamiseksi
  • Etsi puutteita, joiden avulla hakkerit voivat hyökätä kohdekoneeseen
  • Kynätestaajien tulisi ajatella ja toimia kuin todelliset hakkerit, vaikkakin eettisesti.
  • Penetration-testaajien tekemän työn tulee olla toistettavissa, jotta kehittäjien on helppo korjata se
  • Testin alkamis- ja lopetuspäivämäärä tulee määrittää etukäteen.
  • Testaajan tulee olla vastuussa kaikista järjestelmän tai tietojen katoamisesta sen aikana Ohjelmistojen testaus
  • Testaajan tulee pitää tiedot luottamuksellisina

Manuaalinen läpäisy vs. automaattinen läpäisytestaus

Manuaalinen läpäisytestaus Automaattinen tunkeutumistestaus
Manuaalinen testaus vaatii kokeneita ammattilaisia ​​suorittamaan testit Automaattiset testityökalut tarjoavat selkeät raportit vähemmän kokeneiden ammattilaisten kanssa
Manuaalinen testaus vaatii Excelin ja muita työkaluja sen seuraamiseen Automaatiotestaus on keskitetyt ja vakiotyökalut
Manuaalisessa testauksessa näytetulokset vaihtelevat testistä toiseen Automaattisten testien tapauksessa tulokset eivät vaihtele testeistä toiseen
Käyttäjien tulee muistaa muistin puhdistaminen Automaattinen testaus sisältää kattavat siivoukset.

Läpäisytestauksen haitat

Penetration Testing ei löydä kaikkia järjestelmän haavoittuvuuksia. Penetraatiotestaajien aika, budjetti, laajuus ja taidot ovat rajoittuneet

Seuraavat ovat sivuvaikutuksia, kun teemme läpäisytestausta:

  • Tietojen menetys ja korruptio
  • Katkaisuaika
  • Kasvata kustannuksia

Yhteenveto

Testaajien tulee toimia kuin todellinen hakkeri ja testata sovellusta tai järjestelmää ja tarkistaa, onko koodi kirjoitettu turvallisesti. Läpäisytesti on tehokas, jos turvapolitiikka on hyvin toteutettu. Läpäisytestauspolitiikan ja -menetelmien tulisi olla paikka, jolla penetraatiotestausta voidaan tehostaa. Tämä on täydellinen opas tunkeutumistestauksen aloittelijoille.

Läpäisytestauksen haitat

Tutustu Live Penetration Testing Project