Vadnica za preizkušanje penetracije: Kaj je PenTest?

Kazalo:

Anonim

Testiranje penetracije

Testiranje penetracije ali testiranje s peresom je vrsta varnostnega testiranja, ki se uporablja za odkrivanje ranljivosti, groženj in tveganj, ki bi jih napadalci lahko izkoristili v programskih aplikacijah, omrežjih ali spletnih aplikacijah. Namen testiranja penetracije je prepoznati in preizkusiti vse možne varnostne ranljivosti, ki so prisotne v programski aplikaciji. Testiranje na prodor se imenuje tudi Pen test.

Ranljivost je tveganje, da lahko napadalec moti ali pridobi pooblaščen dostop do sistema ali kakršnih koli podatkov v njem. Ranljivosti se običajno pojavijo po naključju med fazo razvoja in implementacije programske opreme. Pogoste ranljivosti vključujejo napake pri načrtovanju, konfiguracijske napake, napake v programski opremi itd. Analiza penetracije je odvisna od dveh mehanizmov, in sicer ocene ranljivosti in testiranja penetracije (VAPT).

Zakaj testiranje penetracije?

Prodor je v podjetju bistvenega pomena, ker -

  • Finančni sektorji, kot so banke, investicijsko bančništvo, borze vrednostnih papirjev, želijo, da so njihovi podatki zavarovani, testiranje penetracije pa je bistvenega pomena za zagotovitev varnosti
  • Če je sistem programske opreme že vdrl in organizacija želi ugotoviti, ali so v sistemu še vedno prisotne kakršne koli grožnje, da bi se izognili vdoru v prihodnosti.
  • Testiranje proaktivnega prodora je najboljši zaščitni ukrep pred hekerji

Vrste preskusov penetracije:

Izbrana vrsta preizkusa penetracije je običajno odvisna od obsega in od tega, ali želi organizacija simulirati napad zaposlenega, skrbnika omrežja (notranji viri) ali zunanjih virov. Obstajajo tri vrste testiranja penetracije in so

  • Testiranje črne škatle
  • Preskušanje penetracije bele škatle
  • Testiranje penetracije sive škatle

Pri preizkušanju penetracije črne škatle preizkuševalec nima znanja o sistemih, ki jih je treba preskusiti. Odgovoren je za zbiranje informacij o ciljnem omrežju ali sistemu.

Pri preizkušanju penetracije v beli škatli ima tester navadno popolne informacije o omrežju ali sistemih, ki jih je treba preskusiti, vključno s shemo naslovov IP, izvorno kodo, podrobnostmi OS itd. To lahko štejemo za simulacijo napada s strani katerega koli Notranji viri (zaposleni v organizaciji).

Pri preizkušanju penetracije sive škatle ima tester delno znanje o sistemu. Lahko se šteje za napad zunanjega hekerja, ki je dobil nezakonit dostop do dokumentov omrežne infrastrukture organizacije.

Kako narediti testiranje penetracije

Za izvedbo preizkusa penetracije je treba izvesti naslednje dejavnosti -

Korak 1) Faza načrtovanja

  1. Določi se obseg in strategija naloge
  2. Za določitev področja uporabe se uporabljajo obstoječe varnostne politike in standardi

2. korak) Faza odkrivanja

  1. Zberite čim več informacij o sistemu, vključno s podatki v sistemu, uporabniškimi imeni in celo gesli. Temu pravimo tudi TISKANJE
  2. Skenirajte in preizkusite vrata
  3. Preverite ranljivosti sistema

Korak 3) Faza napada

  1. Poiščite izkoriščanja za različne ranljivosti Za izkoriščanje sistema potrebujete potrebne varnostne privilegije

Korak 4) Faza poročanja

  1. Poročilo mora vsebovati podrobne ugotovitve
  2. Tveganja najdenih ranljivosti in njihov vpliv na poslovanje
  3. Priporočila in rešitve, če obstajajo

Glavna naloga pri testiranju penetracije je zbiranje sistemskih informacij. Obstajata dva načina zbiranja informacij -

  • Model "ena proti ena" ali "ena do več" glede na gostitelja: preizkuševalec izvaja tehnike na linearni način proti enemu ciljnemu gostitelju ali logični skupini ciljnih gostiteljev (npr. Podomrežje).
  • Model "veliko do enega" ali "veliko do veliko": tester uporablja več gostiteljev za izvajanje tehnik zbiranja informacij naključno, z omejeno hitrostjo in v nelinearnem načinu.

Primeri orodij za preizkušanje penetracije

Obstaja veliko različnih orodij, ki se uporabljajo pri testiranju penetracije, pomembna orodja pa so:

  1. NMap - To orodje se uporablja za skeniranje vrat, identifikacijo OS, sledenje poti in skeniranje ranljivosti.
  2. Nessus - to je tradicionalno omrežno orodje za ranljivosti.
  3. Pass-The-Hash - To orodje se uporablja predvsem za razbijanje gesel.

Vloga in odgovornosti preizkuševalcev penetracije:

Naloga preizkuševalcev penetracije je:

  • Preizkuševalci bi morali od organizacije zbrati zahtevane podatke, da omogočijo preizkuse penetracije
  • Poiščite napake, ki bi hekerjem lahko omogočile napad na ciljni stroj
  • Preizkuševalci pisala bi morali razmišljati in ravnati kot pravi hekerji, čeprav etično.
  • Delo, ki ga opravijo preizkuševalniki penetracije, mora biti ponovljivo, tako da ga bodo razvijalci lahko popravili
  • Začetni in končni datum izvedbe testa je treba določiti vnaprej.
  • Preizkuševalec mora biti odgovoren za kakršno koli izgubo sistema ali informacij med preskušanjem programske opreme
  • Preizkuševalec naj podatke in informacije hrani zaupne

Ročno penetracijsko vs samodejno testiranje penetracije:

Ročno testiranje penetracije Avtomatsko preskušanje penetracije
Ročno testiranje zahteva izvajanje strokovnih testov s strani strokovnjakov Avtomatizirana testna orodja zagotavljajo jasna poročila z manj izkušenimi strokovnjaki
Ročno testiranje zahteva Excel in druga orodja za sledenje Avtomatizirano testiranje ima centralizirana in standardna orodja
Pri ročnem testiranju se vzorčni rezultati razlikujejo od preskusa do testa V primeru avtomatiziranih testov se rezultati od preskusa do testa ne razlikujejo
Uporabniki si morajo zapomniti čiščenje spomina Avtomatizirano testiranje bo imelo obsežna čiščenja.

Slabosti penetracijskega preskušanja

Testiranje penetracije ne more najti vseh ranljivosti v sistemu. Obstajajo omejitve časa, proračuna, obsega, spretnosti preizkuševalcev penetracije

Naslednji bodo neželeni učinki pri izvajanju testiranja penetracije:

  • Izguba podatkov in korupcija
  • Čas izpada
  • Povečajte stroške

Zaključek:

Preizkuševalci bi se morali obnašati kot pravi heker in preizkusiti aplikacijo ali sistem in preveriti, ali je koda varno napisana. Preskus penetracije bo učinkovit, če obstaja dobro izvedena varnostna politika. Politika in metodologija testiranja penetracije bi morala biti mesto za učinkovitejše testiranje penetracije. To je popoln vodnik za preizkušanje penetracije.

Preverite naš projekt testiranja penetracije v živo