ペネトレーションテストの種類トップ5

エスカレートするハッカーの脅威は、日々深刻さを増している。 400 人以上の IT セキュリティ専門家を対象とした TechRepublic の調査によると、71% が COVID-19 の発生以来、セキュリティ脅威や攻撃が増加していることを確認しているとのことです。 サイバーセキュリティの防御力を測定し、重要な IT システムの脆弱性を発見するためには、さまざまなタイプの侵入テストを検討する必要があります。 そして、あなたの会社にはどれが必要ですか。

復習しましょう。

ペネトレーション・テストとは何ですか?

ペン テストとも呼ばれる侵入テストは、通常、セキュリティ専門家のチームが、企業のネットワークやサーバーに侵入するために作業を行います。 彼らは、脆弱性を特定し、それを悪用することによってこれを達成します。 このため、ペン テストはしばしば倫理的ハッキングの一種と呼ばれます。

ペン テストは現実世界の攻撃を模倣するため、効果的な防御メカニズムです。 OS のバックドア、コードの意図しない設計上の欠陥、またはソフトウェアの不適切な設定など、サイバーセキュリティの境界の弱点を確認することができるのです。

定期的にテストを実施する利点は次のとおりです。

  • アプリケーション構成およびネットワーク インフラストラクチャの露出を明らかにする
  • IP、および機密データや個人データを保護する
  • 実際のハッカーが防御を突破した場合の実際のリスクを明らかにする
  • サイバー防御能力 (攻撃を検知してタイムリーに対応する能力) を評価する
  • ネットワークと運用が 24 時間 365 日円滑に稼働し、予期せぬダウンタイムが発生しないようにする

  • PCI や ISO などの規制や認証へのコンプライアンスを維持する
  • サイバー セキュリティの取り組みの有効性に関する第三者の意見を提供する

侵入テストは強烈で侵襲的であるように設計されています。 目標は、できるだけ多くの実用的な情報を得るために、境界の全体をテストすることです。 SC Magazine

Penetration Testは、ハードウェア、ソフトウェア、またはファームウェアのコンポーネントに対して実施することができ、物理的および技術的なセキュリティ制御を適用することができます。 多くの場合、ターゲットシステムに基づく予備的な分析、そして以前の分析に基づく潜在的な脆弱性のテスト前の特定という順序を踏みます。 それが完了すると、事前テストは特定された脆弱性の悪用を決定するのに役立つかもしれません。

テストを開始する前に、両当事者は一連のルールに同意しなければなりません。 その後、テストをネットワーク全体に適用する必要があります。

ペネトレーション・テストが必要ですか? 詳細はこちら。

ペネトレーションテストの3つの形態

ペネトレーションテストを実施するには、主に3つの方法があります。

  • Black-box test
  • White-box test
  • Gray-box test

ブラックボックステスト

ブラックボックステスト(外部侵入テストとしても知られる)では、組織の外部からの攻撃をシミュレートします。

ペン テスターは、実際のハッカーと同じ立場で開始します。 つまり、ITインフラストラクチャやセキュリティ防御について、ほとんど、あるいはまったく情報がない状態から始めます。

  • Web アプリケーション
  • ソフトウェア アーキテクチャ
  • ソース コード

この形式のテストでは、外部の人間が防御を破るために何をしなければならないかについてのアイデアを得ることができます。 しかし、テストはその時点だけで終わりません。 学ぶべきことはまだあります。 テスト者は、彼らがシステムに侵入した後、どれだけの損害を与えることができるかを確認したいのです。 インフォセック研究所によると、

ブラックボックス侵入テストは、ターゲットネットワーク内で現在実行中のプログラムとシステムの動的分析に依存しています。 ブラックボックス侵入テスト担当者は、自動スキャンツールおよび手動侵入テストの方法論に精通している必要があります。 ブラックボックス侵入テストでは、そのような図は提供されないため、観察に基づいてターゲット ネットワークの独自のマップを作成する能力も必要です。

通常、テスト者はインターネットからルーターに入り、ファイアウォール防御を迂回しようとします。 これは、IT インフラストラクチャに対して全面的なブルートフォース攻撃を開始することによって達成されます。

ブラックボックス テストは、プロジェクトの範囲やテストの厳密さによってはさらに長くかかることもありますが、完全に完了するまでに最大で 6 週間かかることがあります。

ペンのテスト者は、認可されたユーザーが持つのと同じ権限で開始します。 そこから、システムレベルのセキュリティや設定の弱点を突こうとする。 このテストの目標は、さまざまなシステムの詳細な監査を実行し、次の 2 つの重要な質問に答えることです。

内部テストの終了には2~3週間かかります。

グレーボックス侵入テスト

その名が示すように、グレーボックス・テストは内部テストと外部テストの中間のようなものです。 テスト者は外部からの攻撃をシミュレートしていますが、この場合、ハッカーはユーザーの部分的な知識レベルを持っています。

その目的は、ホワイトボックスとブラックボックスの方法論のブレンドを使用して、コード構造またはアプリケーションの欠陥を検索することです。 ハイブリッド テストでは、ユーザーの入力を測定し、それに対してソフトウェアがどのような出力を生成するかを確認します。 一般的に、テストは手動プロセスと自動化されたプログラムの組み合わせで実施される。

グレー ボックス テストが対象とする一般的なシナリオは以下のとおりです。

  • ハッカーがログインできるユーザーまたは管理者アカウントを持っている
  • ハッカーがアプリケーションのデータフローとアーキテクチャを深く理解している
  • ハッカーがソースコードの一部にアクセスできる

両方の手法を混合して使用しているので、時間とリソースに対して最高の ROI だとみなす人もいます。 これは、内部テストと外部テストの両方の利点の多くを提供します。 とはいえ、グレーボックステストは、アプリケーションとソースコードの限られた範囲を提供するだけです。

5種類のペンテスト

さて、侵入テストを実行する主な方法をカバーしたので、最も一般的なテストの種類に飛び込むことが可能です。 これらのほとんどは、ホワイトボックスとブラックボックスのテスト手法の組み合わせを利用します。 ネットワーク サービス ペネトレーション テスト

ネットワーク ペネトレーション テストは、ネットワーク内の悪用可能な弱点を特定するために使用されます。

  • Network
  • Systems
  • Hosts
  • Network devices

任務は、ハッカーが利用する前にそれを発見し、閉鎖することです。 正しく行われれば、ハッカーが機密データへのアクセスやシステムの制御を行うために利用できるかもしれない現実の脆弱性を示すことができます。 発見プロセスにより、チームは個人データを保護し、システムの乗っ取りを防止するためのより良い方法を見つけることができます。

その内容は?

ほとんどの侵入テストは、侵入テスト実行基準(PTES)の7ステップに従います:

  • 契約前のやりとり-内部チームとセキュリティパートナーは契約範囲を話し合い、定義するために会合します。
  • 情報収集 – テスト者は、できるだけ多くの情報を得るために、アクセス可能なすべてのシステムとそのさまざまなサービスを発見しようとします。
  • 脅威モデリング – テスト者は、手動テストと自動スキャンによって、システム内の攻略可能な脆弱性を識別します。
  • 脆弱性の分析 – 攻撃の計画を立てるために、最も顕著な脆弱性を文書化し分析します。
  • Exploitation – 脆弱性を利用しようと、実際にテストを行います。
  • 報告 – テスト者は発見をまとめ、脆弱性を格付けし、優先順位をつけ、証拠を示し、対応策を推奨します。

ウェブアプリケーション侵入テスト

ウェブアプリケーションの拡大により、ソフトウェアの開発とアプリケーションが正しく動作するための設定により、インターネットリソースが多く費やさなければならないようになりました。 しかし、これはハッカーにとって重要な新しい攻撃のベクトルでもあり、特に一部のウェブアプリケーションは機密データを保持する可能性があります。 最終目標は、Web アプリケーションを完全に侵害することです。

これは、Web Application Penetration Testing (WAPT) とも呼ばれています。 次のようなシナリオをテストすることが可能です。

  • Cross Site Scripting
  • SQL Injection
  • Broken authentication and session management
  • File Upload flaws
  • Caching Server Attacks
  • Security Misconfigurations
  • Cross-

  • Cross-
  • Certification
  • Security Failure File Upload

  • File Upload Certification
  • Certification

  • Certification
  • Certification

  • パスワードクラッキング

多くの場合、「より深く掘り下げる」テストと見なされます。 WAPTは、特にWebベースのアプリケーションの脆弱性や弱点を特定する場合、より徹底的かつ詳細に行われます。 そのため、Webアプリケーション全体を適切にテストするためには、相当量の時間とリソースを割く必要があります。

ワイヤレス侵入テスト

ワイヤレス侵入テストの目的は、ビジネス無線LANネットワークに接続されているすべてのデバイスを特定し、その間の接続を測定することです。

  • Laptops
  • Tablets
  • Mobile devices
  • IoT devices

ペンテスターがアクセスするには無線ネットワークの範囲内にいる必要があるのでテストはオンサイトで実施されます。 そして、テストの目標は、無線 LAN アクセス ポイントの脆弱性を見つけるという、比較的単純なものです。

  • ワイヤレス ネットワークの特定 – テスターは、パケット キャプチャとワイヤレス カード監視を使用してワイヤレス ネットワークをスキャンして特定します。
  • 脆弱性の研究 – テスターがワイヤレス アクセス ポイントを見つけた後、そのアクセス ポイントの脆弱性を特定しようとします。
    • 正規クライアントの認証解除
    • 最初の 4 ウェイ ハンドシェイクのキャプチャ
    • キャプチャ キーに対するオフライン辞書攻撃の実行
  • レポート作成 – テスト者は、プロセスのすべてのステップを文書化し、詳しい調査結果と緩和策も含めて報告します。
  • ソーシャル エンジニアリング ペネトレーション テスト

    組織にとって最も重大なセキュリティ リスクは、他でもない、従業員です。 Security Magazine によれば、

    サイバー犯罪者は、詐欺メールを送信したり、認証情報を盗んだり、クラウド アプリケーションに悪意のある添付ファイルをアップロードすることは、失敗する確率が高く、高価で時間のかかる悪用を作成するより簡単ではるかに収益性が高いため、積極的に人々を標的にしています。 サイバー攻撃の 99% 以上が人との関わり合いに依存しているため、個々のユーザーが最後の防衛線となります。

    セキュリティを改善しようとするときに、従業員が含まれていなければ、すべての努力は無駄になります。

    ソーシャル・エンジニアリング侵入テストでは、テスト者は従業員を説得するか騙して、ユーザー名やパスワードなどの機密情報を提供させようと試みます。

    ソーシャル エンジニアリング侵入攻撃には、次のようなさまざまなものがあります。

    • Phishing
    • Vishing
    • Smishing
    • Impersonation
    • Tailgating
    • USB Drop
    • Watering hole
    • Whaling attack
    • Pretexting
    • Quid pro quo attack
    • Baiting
    • Dumperster diving

    従業員の意識を向上させ、よくあるソーシャル エンジニアリング攻撃に関するトレーニングを提供することは、攻撃の発生や成功を防ぐための最も良い方法の 1 つとなります。

    物理的な侵入テスト

    物理的な侵入テストは、昔ながらのセキュリティ侵害の方法をシミュレートします。 これは、あなたが実施しているさまざまな物理的コントロールをテストします。

    • Barriers
    • Cameras
    • Sensors
    • Locks
    • Alarms
    • Security guards

    後付けとみなされることが多いですが、このようなこともあります。 もし、ハッカーが物理的にセキュリティを回避してサーバールームにアクセスできれば、簡単にネットワークをコントロールすることができます。 そのため、物理的なセキュリティの姿勢は、サイバーセキュリティの境界と同様に厳格に保護することが重要です。

    RSI Security – The Pen Testing Experts

    ペン テストは、サイバーセキュリティと物理セキュリティの効果を測定できる非常に優れた方法の 1 つです。 ホワイト ボックス、ブラック ボックス、またはグレー ボックスのいずれの方法論を使用する場合でも、各ペン テストは現実世界の攻撃をシミュレートしようとしますが、その結果は伴いません。

    今日、ペネトレーション テストには、次のような 5 つの基本的な種類があります。

    1. ネットワーク サービス
    2. Web アプリケーション
    3. ワイヤレス
    4. ソーシャル エンジニアリング
    5. 物理的

    これらのすべてのテストを定期的に実行すれば、サイバー防衛が健全であることを確認することができます。

    しかし、これらのさまざまなテストを適切に実行するために、誰に頼ることができるでしょうか。

    RSI Securityは侵入テストサービスの専門家です。 数十年にわたる経験により、私たちは、お客様のサイバーセキュリティの防御を評価し、顕著な弱点に対処するために何が必要かを正確に把握しています。 私たちもそうです。

    コメントを残す

    メールアドレスが公開されることはありません。