Penetration Testing Tutorial: Mi az a PenTest?

Tartalomjegyzék:

Anonim

Penetrációs vizsgálat

A behatolási teszt vagy a toll tesztelése egyfajta biztonsági teszt, amelyet olyan sebezhetőségek, fenyegetések és kockázatok feltárására használnak, amelyeket a támadók kihasználhatnak szoftveralkalmazásokban, hálózatokban vagy webes alkalmazásokban. A behatolási teszt célja a szoftveralkalmazásban előforduló összes lehetséges biztonsági rés azonosítása és tesztelése. A behatolási tesztet Pen Testnek is nevezik.

A biztonsági rés annak a kockázata, hogy a támadók megzavarhatják vagy engedélyezett hozzáférést kaphatnak a rendszerhez vagy a benne lévő adatokhoz. A biztonsági réseket általában véletlenül vezetik be a szoftverfejlesztés és a megvalósítás szakaszában. A leggyakoribb biztonsági rések közé tartoznak a tervezési hibák, a konfigurációs hibák, a szoftverhibák stb. A behatolási elemzés két mechanizmustól függ, nevezetesen a Vulnerability Assessment és a Penetration Testing (VAPT).

Miért pont a behatolás tesztelése?

A behatolás elengedhetetlen egy vállalkozásnál, mert -

  • Az olyan pénzügyi szektorok, mint a bankok, a befektetési bankok, a tőzsdei tőzsdék szeretnék, hogy az adataik biztonságban legyenek, és a penetráció tesztelése elengedhetetlen a biztonság érdekében
  • Abban az esetben, ha a szoftverrendszert már feltörték, és a szervezet meg akarja állapítani, hogy vannak-e még fenyegetések a rendszerben a jövőbeni feltörések elkerülése érdekében.
  • A proaktív behatolási teszt a legjobb védelem a hackerek ellen

A behatolási tesztek típusai:

A kiválasztott penetrációs teszt típusa általában a hatókörtől függ, és hogy a szervezet egy alkalmazott, a hálózati rendszergazda (belső források) vagy a külső források támadását akarja-e szimulálni. A behatolási teszteknek három típusa van, és azok is

  • Fekete doboz tesztelése
  • Fehér doboz behatolási teszt
  • Szürke doboz behatolási teszt

A fekete doboz behatolási tesztelés során a tesztelőnek nincsenek ismeretei a tesztelni kívánt rendszerekről. Feladata a célhálózattal vagy rendszerrel kapcsolatos információk gyűjtése.

A fehér dobozos behatolási teszt során a tesztelőnek teljes körű információt nyújtanak a tesztelendő hálózatról vagy rendszerekről, ideértve az IP-sémát, a forráskódot, az operációs rendszer részleteit stb. Belső források (egy szervezet alkalmazottai).

A szürke doboz behatolási teszt során a tesztelő részleges ismeretekkel rendelkezik a rendszerről. Egy külső hacker támadásának tekinthető, aki törvénytelen hozzáférést kapott a szervezet hálózati infrastruktúra-dokumentumaihoz.

Hogyan kell elvégezni a behatolási tesztet

A behatolási teszt végrehajtásához a következő tevékenységeket kell elvégezni:

1. lépés: Tervezési szakasz

  1. A feladat hatóköre és stratégiája meg van határozva
  2. A hatály meghatározásához a meglévő biztonsági irányelveket, szabványokat használják

2. lépés) Felfedezési szakasz

  1. Gyűjtse össze a lehető legtöbb információt a rendszerről, beleértve a rendszerben lévő adatokat, a felhasználóneveket és még a jelszavakat is. Ezt UJJlenyomatnak is nevezik
  2. Beolvasás és szonda a portokba
  3. Ellenőrizze a rendszer sebezhetőségét

3. lépés: Támadási fázis

  1. Különféle biztonsági rések kihasználásának megkeresése A rendszer kihasználásához szükséges biztonsági jogosultságokra van szükség

4. lépés) Jelentési szakasz

  1. A jelentésnek tartalmaznia kell a részletes megállapításokat
  2. A feltárt sebezhetőségek kockázatai és azok hatása az üzleti életre
  3. Ajánlások és megoldások, ha vannak ilyenek

A penetrációs tesztek elsődleges feladata a rendszerinformációk összegyűjtése. Kétféleképpen lehet információt gyűjteni -

  • „Egytől egyig” vagy „egy a sokhoz” modell a gazdagép vonatkozásában: A tesztelő lineáris módon végez technikákat akár egy célgazdával, akár a célgazdák logikai csoportosításával (pl. Egy alhálózat).
  • „Sok az egyhez” vagy a „sok a sokhoz” modell: A tesztelő több gazdagépet használ az információgyűjtési technikák véletlenszerű, sebességkorlátozott és nem lineáris végrehajtására.

Példák a behatolásvizsgálati eszközökre

A penetrációs tesztelés során sokféle eszközt használnak, és a fontos eszközök a következők:

  1. NMap- Ezt az eszközt a portok vizsgálatára, az operációs rendszer azonosítására, az útvonal nyomon követésére és a biztonsági rés vizsgálatára használják.
  2. Nessus- Ez egy hagyományos hálózati alapú sebezhetőség eszköz.
  3. Pass-The-Hash - Ezt az eszközt elsősorban jelszó feltörésére használják.

A behatolási tesztelők szerepe és felelőssége:

A behatolási tesztelők feladata:

  • A tesztelőknek be kell gyűjteniük a szükséges információkat a Szervezettől a behatolási tesztek lehetővé tételéhez
  • Keressen olyan hibákat, amelyek lehetővé tehetik a hackerek számára a célgép megtámadását
  • A toll tesztelőknek úgy kell gondolkodniuk és viselkedniük, mint valódi hackereknek, bár etikailag.
  • A Penetration tesztelők által végzett munkának megismételhetőnek kell lennie, hogy a fejlesztők számára könnyű legyen kijavítani
  • A teszt végrehajtásának kezdő és befejező dátumát előre meg kell határozni.
  • A tesztelőnek kell felelnie a szoftver tesztelése során a rendszerben vagy az információkban bekövetkezett veszteségekért
  • A tesztelőnek bizalmasan kell kezelnie az adatokat és információkat

Manuális behatolás és automatizált behatolási teszt:

Manuális behatolási teszt Automatizált behatolási tesztelés
A kézi teszteléshez szakértőkre van szükség a tesztek futtatásához Az automatizált teszteszközök egyértelmű jelentéseket nyújtanak a kevésbé tapasztalt szakemberek számára
A kézi teszteléshez Excel és más eszközök szükségesek a nyomon követéshez Az Automation Testing központosított és szabványos eszközökkel rendelkezik
A kézi tesztelésnél a minták eredményei tesztenként változnak Automatizált tesztek esetén az eredmények tesztenként nem változnak
A felhasználóknak emlékezniük kell a memória tisztítására Az Automatizált tesztelés átfogó tisztításokat fog végrehajtani.

A behatolási teszt hátrányai

A behatolási tesztelés nem talál minden sérülékenységet a rendszerben. A behatolási tesztelők időbeli korlátai, költségvetése, hatóköre és képességei korlátozottak

A következők lesznek mellékhatások, amikor penetrációs tesztet végzünk:

  • Adatvesztés és korrupció
  • Leállási idő
  • Növelje a költségeket

Következtetés:

A tesztelőknek úgy kell viselkedniük, mint egy igazi hackernek, és tesztelniük kell az alkalmazást vagy a rendszert, és ellenőrizniük kell, hogy egy kódot biztonságosan írtak-e. A behatolási teszt akkor lesz hatékony, ha jól végrehajtott biztonsági irányelv van. A behatolási tesztelési politikának és módszertannak kell lennie annak a helynek, ahol hatékonyabbá kell tenni a behatolási tesztet. Ez egy teljes kezdő útmutató a behatolási teszteléshez.

Ellenőrizze az élő behatolás tesztelő projektünket