Výukový program pre testovanie penetrácie: Čo je to PenTest?

Obsah:

Anonim

Testovanie prieniku

Penetračné testovanie alebo Pen testovanie je typ bezpečnostného testovania používaného na odhalenie zraniteľností, hrozieb a rizík, ktoré by mohol útočník zneužiť v softvérových aplikáciách, sieťach alebo webových aplikáciách. Účelom penetračného testovania je identifikovať a otestovať všetky možné chyby zabezpečenia, ktoré sa v softvérovej aplikácii nachádzajú. Penetračné testovanie sa nazýva aj Pen Test.

Zraniteľnosťou je riziko, že útočník môže narušiť alebo získať oprávnený prístup k systému alebo akýmkoľvek údajom v ňom obsiahnutým. Zraniteľnosti sú zvyčajne spôsobené náhodou počas fázy vývoja a implementácie softvéru. Medzi bežné chyby zabezpečenia patria chyby návrhu, chyby konfigurácie, chyby softvéru atď. Analýza penetrácie závisí od dvoch mechanizmov, konkrétne od posúdenia zraniteľnosti a testovania penetrácie (VAPT).

Prečo testovanie penetrácie?

Penetrácia je v podniku nevyhnutná, pretože -

  • Finančné sektory ako banky, investičné bankovníctvo, burzy cenných papierov požadujú zabezpečenie svojich údajov a na zaistenie bezpečnosti je nevyhnutné penetračné testovanie.
  • V prípade, že je softvérový systém už hacknutý a organizácia chce zistiť, či v systéme stále existujú nejaké hrozby, aby sa zabránilo budúcim hackerom.
  • Proaktívne testovanie prieniku je najlepšou ochranou pred hackermi

Typy testovania penetrácie:

Typ vybraného penetračného testu zvyčajne závisí od rozsahu a od toho, či chce organizácia simulovať útok zamestnanca, správcu siete (interné zdroje) alebo externých zdrojov. Existujú tri typy penetračného testovania a sú to

  • Testovanie čiernej skrinky
  • Penetračné testovanie bielej skrinky
  • Testovanie prieniku šedej skrinky

Pri penetračnom testovaní čiernej skrinky nemá tester žiadne vedomosti o testovaných systémoch. Je zodpovedný za zhromažďovanie informácií o cieľovej sieti alebo systéme.

Pri penetračnom testovaní v bielej skrinke sú testerovi zvyčajne poskytované úplné informácie o sieti alebo systémoch, ktoré sa majú testovať, vrátane schémy adries IP, zdrojového kódu, podrobností OS atď. To možno považovať za simuláciu útoku ľubovoľného Interné zdroje (zamestnanci organizácie).

Pri penetračnom testovaní šedej skrinky je tester vybavený čiastočnými znalosťami systému. Môže sa to považovať za útok externého hackera, ktorý získal nelegitímny prístup k dokumentom o sieťovej infraštruktúre organizácie.

Ako vykonať penetračné testovanie

Nasledujú činnosti, ktoré je potrebné vykonať, aby sa vykonal penetračný test -

Krok 1) Fáza plánovania

  1. Je určený rozsah a stratégia zadania
  2. Na vymedzenie rozsahu sa používajú existujúce bezpečnostné politiky

Krok 2) Fáza objavenia

  1. Zhromažďujte čo najviac informácií o systéme vrátane údajov v systéme, používateľských mien a dokonca aj hesiel. Toto sa tiež nazýva FINGERPRINTING
  2. Skenujte a sondujte do portov
  3. Skontrolujte zraniteľnosť systému

Krok 3) Fáza útoku

  1. Vyhľadanie zneužitia rôznych zraniteľností Na zneužitie systému potrebujete potrebné bezpečnostné oprávnenia

Krok 4) Fáza hlásenia

  1. Správa musí obsahovať podrobné zistenia
  2. Nájdené riziká zraniteľností a ich vplyv na podnikanie
  3. Odporúčania a riešenia, ak existujú

Hlavnou úlohou pri penetračnom testovaní je zhromažďovať informácie o systéme. Existujú dva spôsoby zhromažďovania informácií -

  • Model „jeden na jedného“ alebo „jeden na veľa“ vzhľadom na hostiteľa: Tester vykonáva techniky lineárne proti jednému cieľovému hostiteľovi alebo logickému zoskupeniu cieľových hostiteľov (napr. Podsiete).
  • Model „veľa k jednému“ alebo „mnoho k mnohým“: Tester využíva viac počítačov na vykonávanie techník zhromažďovania informácií náhodným spôsobom, s obmedzenou rýchlosťou a nelineárnym spôsobom.

Príklady nástrojov na testovanie penetrácie

Pri penetračnom testovaní sa používa široká škála nástrojov a dôležité sú tieto nástroje:

  1. NMap - Tento nástroj sa používa na skenovanie portov, identifikáciu OS, na sledovanie trasy a na skenovanie zraniteľností.
  2. Nessus - Toto je tradičný nástroj na zabezpečenie slabých miest založený na sieti.
  3. Pass-The-Hash - tento nástroj sa používa hlavne na prelomenie hesla.

Úloha a zodpovednosť testerov penetrácie:

Úlohou testerov penetrácie je:

  • Testéri by mali zhromaždiť požadované informácie od organizácie, aby umožnili penetračné testy
  • Nájdite chyby, ktoré by hackerom mohli umožniť útok na cieľový počítač
  • Testéri pera by mali myslieť a správať sa ako skutoční hackeri, aj keď eticky.
  • Práca vykonaná testermi penetrácie by mala byť reprodukovateľná, aby ju vývojári mohli ľahko opraviť
  • Počiatočný dátum a konečný dátum vykonania testu by mali byť definované vopred.
  • Za každú stratu v systéme alebo informáciách počas testovania softvéru by mal byť zodpovedný tester
  • Tester by mal zachovávať dôvernosť údajov a informácií

Manuálny penetrácia vs. automatizované penetračné testovanie:

Ručné testovanie penetrácie Automatizované testovanie prieniku
Ručné testovanie vyžaduje, aby testy vykonali odborníci Automatizované testovacie nástroje poskytujú jasné správy s menej skúsenými odborníkmi
Ručné testovanie vyžaduje na sledovanie program Excel a ďalšie nástroje Automatizačné testovanie má centralizované a štandardné nástroje
Pri manuálnom testovaní sa výsledky vzoriek líšia od testu k testu V prípade automatizovaných testov sa výsledky od testu k testu nelíšia
Používatelia by si mali pamätať Vyčistenie pamäte Automatické testovanie bude mať komplexné čistenie.

Nevýhody penetračného testovania

Penetračným testovaním sa nedajú nájsť všetky chyby zabezpečenia v systéme. Existujú obmedzenia času, rozpočtu, rozsahu a schopností penetračných testerov

Nasledujú vedľajšie účinky, keď robíme penetračné testy:

  • Strata a korupcia údajov
  • Čas nadol
  • Zvýšiť náklady

Záver:

Testéri by sa mali správať ako skutoční hackeri a testovať aplikáciu alebo systém a musia skontrolovať, či je kód napísaný bezpečne. Penetračný test bude účinný, ak bude dobre implementovaná bezpečnostná politika. Politika a metodika penetračného testovania by mali byť miestom na zefektívnenie penetračného testovania. Toto je kompletný sprievodca pre začiatočníkov pre penetračné testovanie.

Skontrolujte náš projekt testovania prenikania naživo