ペネトレーションテスト-手動および自動
手動侵入テストと自動侵入テストはどちらも同じ目的で実施されます。それらの間の唯一の違いは、それらが行われる方法です。名前が示すように、手動の侵入テストは人間(この分野の専門家)によって行われ、自動の侵入テストは機械自体によって行われます。
この章は、両方の用語の概念、違い、および適用可能性を学習するのに役立ちます。
手動侵入テストとは何ですか?
手動侵入テストは、人間が行うテストです。このようなタイプのテストでは、マシンの脆弱性とリスクが専門のエンジニアによってテストされます。
一般的に、テストエンジニアは次の方法を実行します-
Data Collection−データ収集はテストにおいて重要な役割を果たします。データを手動で収集することも、オンラインで無料で利用できるツールサービス(Webページのソースコード分析手法など)を使用することもできます。これらのツールは、テーブル名、DBバージョン、データベース、ソフトウェア、ハードウェア、さらにはさまざまなサードパーティのプラグインなどの情報を収集するのに役立ちます。
Vulnerability Assessment −データが収集されると、テスターがセキュリティの弱点を特定し、それに応じて予防措置を講じるのに役立ちます。
Actual Exploit −これは、エキスパートテスターがターゲットシステムへの攻撃を開始するために使用する一般的な方法であり、同様に、攻撃のリスクを軽減します。
Report Preparation−侵入が完了すると、テスターはシステムに関するすべてを説明する最終レポートを作成します。最後に、レポートを分析して、ターゲットシステムを保護するための修正手順を実行します。
手動侵入テストの種類
手動侵入テストは通常、次の2つの方法で分類されます。
Focused Manual Penetration Testing−これは、特定の脆弱性とリスクをテストする非常に焦点を絞った方法です。自動侵入テストでは、このテストを実行できません。これは、特定のドメイン内の特定のアプリケーションの脆弱性を調査する人間の専門家によってのみ行われます。
Comprehensive Manual Penetration Testing−あらゆる種類のリスクと脆弱性を特定するために、相互に接続されたシステム全体をテストします。ただし、このテストの機能は、複数の低リスクの障害がより脆弱な攻撃シナリオをもたらす可能性があるかどうかを調査するなど、より状況に応じたものです。
自動侵入テストとは何ですか?
自動侵入テストは、マシンの脆弱性とリスクを自動的にテストする、はるかに高速、効率的、簡単、かつ信頼性の高いものです。この技術は専門の技術者を必要とせず、この分野の知識が最も少ない人なら誰でも実行できます。
自動侵入テストのツールは、Nessus、Metasploit、OpenVA、backtract(シリーズ5)などです。これらは、侵入テストの効率と意味を変えた非常に効率的なツールです。
ただし、次の表は、手動侵入テストと自動侵入テストの基本的な違いを示しています。
| 手動侵入テスト | 自動侵入テスト |
|---|---|
| テストを実行するには、専門のエンジニアが必要です。 | 自動化されているため、学習者でもテストを実行できます。 |
| テストにはさまざまなツールが必要です。 | それは統合されたツールを持っており、外部から何でも必要とします。 |
| このタイプのテストでは、結果はテストごとに異なる可能性があります。 | 結果は修正されました。 |
| このテストでは、テスターによるメモリのクリーンアップを覚えておく必要があります。 | そうではありません。 |
| それは網羅的で時間がかかります。 | それはより効率的で高速です。 |
| それには追加の利点があります。つまり、専門家が侵入テストを行うと、より適切に分析でき、ハッカーが何を考え、どこを攻撃できるかを考えることができます。したがって、彼はそれに応じてセキュリティをかけることができます。 | 状況を分析することはできません。 |
| 要件に応じて、専門家は多重検定を実行できます。 | できない。 |
| 危険な状態の場合は、より信頼性が高くなります。 | そうではない。 |