Что такое тесты на проникновение?

Тестирование на проникновение может быть определено как законная и авторизованная попытка найти ииспользовать уязвимости безопасности в компьютерных системах для повышения безопасности этих систем. Этот процесс включает в себя тестирование уязвимостей, а также предоставление полных доказательств так называемой атаки «уязвимости». POC (доказательство концепции). Это необходимо для подтверждения того, что зарегистрированные ошибки безопасности можно использовать. Кроме того, тесты на проникновение заканчиваются конкретными рекомендациями. К ним относятся способы исправления ошибок, обнаруженных во время теста. Подводя итог, можно сказать, что этот процесс призван помочь защитить компьютеры и сети от будущих атак. Тесты на проникновение также известны под такими названиями, как pentesty, PT, Hacking,Ethical Hacking,White Hat Hacking. Важным выбором является наблюдение разницы между тестами на проникновение и оценкой рисков или аудитами. Аудитор спрашивает: «У вас есть резервные копии?», и пентестер сообщает вам: «У нас есть ваши резервные копии» ????. Многие люди (и предприятия) в сообществе безопасности используют эти понятия взаимозаменяемо.Оценка рисков — это процесс проверки служб и систем, ориентированный на потенциальные проблемы безопасности, в то время как тесты на проникновение через эксплуатацию и реальные атаки указывают на ошибки безопасности, которые действительно существуют. Проведение тестов на проникновение выходит за рамки оценки уязвимостей путем моделирования хакерской активности и предоставления готовых векторов атак. Тесты на проникновение можно разделить на несколько категорий с учетом следующих факторов:

  • уровень имеющихся знаний;
  • объем испытания;
  • состав тестовой группы;
  • как проводятся испытания;
  • место проведения испытаний;
  • местоположение в цикле SDLC (жизненный цикл разработки);

Ниже приводится классификация тестов на проникновение, основанная на вышеуказанных критериях: а) уровень имеющихся знаний:

  • blackbox – метод, при котором тестер имеет минимальное количество информации об атакуемой системе. Как правило, это только информация об объеме тестов. Это имитация хакерской атаки извне (злоумышленник пытается взломать систему, о которой он ничего не знает);
  • greybox – метод, при котором тестировщик обладает определенным уровнем знаний о системе, но без доступа к исходным кодам. Он обычно имеет видимость структуры данных, например, через учетную запись пользователя с низкими привилегиями, которая совместно с ним используется. Данная атака предназначена для имитации хакерской атаки изнутри компании (злоумышленник является сотрудником компании, либо имеет аккаунт в системе);
  • whitebox – метод, при котором тестируемый человек имеет полный доступ к технической документации. Этот тест в основном предназначен для просмотра исходного кода и обнаружения в нем ошибок безопасности;

b) сфера применения испытания:

  • инвазивные тесты, которые заключаются в имитации реальной атаки, например, изменение данных или блокировка сервиса. Таким образом, они влияют на функционирование системы;
  • неинвазивные тесты, которые являются противоположностью инвазивных тестов, поэтому они не влияют на функционирование системы. Они полагаются на поиск уязвимостей без практической проверки, например, путем просмотра исходного кода.

с) состав испытательной группы:

  • испытания, проводимые внутренними сотрудниками компании;
  • сторонние исследования;
  • испытания, проводимые смешанным составом, т.е. внутренними сотрудниками компании и сотрудниками третьего лица;

d) каким образом проводятся испытания:

  • экспертные испытания, проводимые вручную, то есть вручную квалифицированным специалистом;
  • автоматизированные тесты, проводимые с использованием специальных инструментов, например, сетевых сканеров, анализаторов исходного кода;
  • смешанные тесты включали как ручные, так и автоматизированные тесты;

e) места проведения испытаний:

  • внутренние тесты, состоящие из имитации атаки внутри компании в обход безопасности, такой как брандмауэры, чаще всего с использованием интрасетей;
  • внешние тесты, состоящие из моделирования внешней атаки, например, через Интернет. В этом случае злоумышленнику приходится на своем пути преодолевать механизмы брандмауэра или фильтры приложений;

f) жизненныйцикл разработки системы (ДНР):

  • тесты во время разработки программного обеспечения. так называемая разработка на основе тестирования;
  • приемо-сдаточные испытания, выполняемые на уже созданном программном обеспечении.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Закладка Постоянная ссылка.

Podziel się swoją opinią na temat artykułu