倫理的ハッキング-ペンテスト

ペネトレーションテストは、セキュリティ違反を最小限に抑えるために多くの企業が従う方法です。これは、システムをハッキングして修正すべき抜け穴を見せようとする専門家を雇うための管理された方法です。

ペネトレーションテストを行う前に、次のパラメータについて明示的に言及する合意が必要です。

  • ペネトレーションテストの時期はどうなりますか、

  • 攻撃のIPソースはどこになりますか。

  • システムの浸透フィールドはどうなりますか。

ペネトレーションテストは、主に商用のオープンソースツールを使用し、ツールを自動化し、手動でチェックするプロの倫理的ハッカーによって実施されます。制限はありません。ここでの最も重要な目的は、できるだけ多くのセキュリティ上の欠陥を明らかにすることです。

ペネトレーションテストの種類

5種類の侵入テストがあります-

  • Black Box−ここでは、倫理的ハッカーは、侵入しようとしている組織のインフラストラクチャまたはネットワークに関する情報を持っていません。ブラックボックス侵入テストでは、ハッカーは自分の手段で情報を見つけようとします。

  • Grey Box −これは、倫理的ハッカーがドメインネームサーバーなどのインフラストラクチャについて部分的な知識を持っている侵入テストの一種です。

  • White Box −ホワイトボックス侵入テストでは、倫理的ハッカーには、侵入する必要のある組織のインフラストラクチャとネットワークに関する必要なすべての情報が提供されます。

  • External Penetration Testing−このタイプの侵入テストは、主にネットワークインフラストラクチャまたはサーバーとそのインフラストラクチャで動作するソフトウェアに焦点を当てています。この場合、倫理的ハッカーはインターネットを介したパブリックネットワークを使用して攻撃を試みます。ハッカーは、Webページ、Webサーバー、パブリックDNSサーバーなどを攻撃して、会社のインフラストラクチャをハッキングしようとします。

  • Internal Penetration Testing −このタイプの侵入テストでは、倫理的ハッカーは会社のネットワーク内にいて、そこからテストを実施します。

ペネトレーションテストは、システムの誤動作、システムのクラッシュ、データの損失などの問題を引き起こす可能性もあります。したがって、企業は侵入テストを進める前に、計算されたリスクを取る必要があります。リスクは以下のように計算され、管理リスクです。

RISK = Threat × Vulnerability

制作中のオンラインeコマースウェブサイトがあります。公開する前に侵入テストを実行する必要があります。ここでは、最初に長所と短所を比較検討する必要があります。ペネトレーションテストを進めると、サービスが中断する可能性があります。逆に、侵入テストを実行したくない場合は、パッチが適用されていない脆弱性が常に脅威として残るリスクを冒す可能性があります。

ペネトレーションテストを行う前に、プロジェクトの範囲を書面で書き留めておくことをお勧めします。何がテストされるのかを明確にする必要があります。例-

  • あなたの会社にはVPNまたはその他のリモートアクセス技術があり、その特定のポイントをテストしたいと考えています。

  • アプリケーションにはデータベースを備えたWebサーバーがあるため、Webサーバーで最も重要なテストの1つであるSQLインジェクション攻撃についてアプリケーションをテストすることをお勧めします。さらに、WebサーバーがDoS攻撃の影響を受けないかどうかを確認できます。

クイックヒント

ペネトレーションテストを進める前に、次の点に注意する必要があります。

  • まず、要件を理解し、すべてのリスクを評価します。

  • ネットワークまたはWebアプリケーションの抜け穴を発見するために、考えられるすべての方法と手法を適用するように訓練されているため、侵入テストを実施する認定者を雇います。

  • 侵入テストを行う前に、必ず契約に署名してください。