การทดสอบการเจาะ - คู่มือฉบับย่อ
Penetration Testing คืออะไร?
การทดสอบการเจาะเป็นการทดสอบความปลอดภัยประเภทหนึ่งที่ใช้เพื่อทดสอบความไม่ปลอดภัยของแอปพลิเคชัน ดำเนินการเพื่อค้นหาความเสี่ยงด้านความปลอดภัยที่อาจมีอยู่ในระบบ
หากระบบไม่ได้รับการรักษาความปลอดภัยผู้โจมตีใด ๆ สามารถขัดขวางหรือใช้สิทธิ์เข้าถึงระบบนั้นได้ โดยปกติความเสี่ยงด้านความปลอดภัยเป็นข้อผิดพลาดโดยบังเอิญที่เกิดขึ้นขณะพัฒนาและใช้งานซอฟต์แวร์ ตัวอย่างเช่นข้อผิดพลาดในการกำหนดค่าข้อผิดพลาดในการออกแบบและข้อบกพร่องของซอฟต์แวร์เป็นต้น
เหตุใดจึงจำเป็นต้องมีการทดสอบการเจาะ
การทดสอบการเจาะโดยปกติจะประเมินความสามารถของระบบในการปกป้องเครือข่ายแอปพลิเคชันปลายทางและผู้ใช้จากภัยคุกคามภายนอกหรือภายใน นอกจากนี้ยังพยายามป้องกันการควบคุมความปลอดภัยและรับรองการเข้าถึงที่ได้รับอนุญาตเท่านั้น
การทดสอบการเจาะเป็นสิ่งสำคัญเนื่องจาก -
เป็นการระบุสภาพแวดล้อมจำลองเช่นวิธีที่ผู้บุกรุกสามารถโจมตีระบบผ่าน white hat attack.
ช่วยในการค้นหาพื้นที่อ่อนแอที่ผู้บุกรุกสามารถโจมตีเพื่อเข้าถึงคุณสมบัติและข้อมูลของคอมพิวเตอร์
สนับสนุนให้หลีกเลี่ยง black hat attack และปกป้องข้อมูลเดิม
ประมาณการขนาดของการโจมตีธุรกิจที่อาจเกิดขึ้น
เป็นหลักฐานที่ชี้ให้เห็นว่าเหตุใดการเพิ่มการลงทุนด้านความปลอดภัยของเทคโนโลยีจึงมีความสำคัญ
เมื่อใดควรทำการทดสอบการเจาะ
การทดสอบการเจาะเป็นคุณสมบัติสำคัญที่ต้องดำเนินการเป็นประจำเพื่อรักษาความปลอดภัยในการทำงานของระบบ นอกจากนี้ควรดำเนินการทุกครั้ง -
- ระบบรักษาความปลอดภัยค้นพบภัยคุกคามใหม่โดยผู้โจมตี
- คุณเพิ่มโครงสร้างพื้นฐานเครือข่ายใหม่
- คุณอัปเดตระบบของคุณหรือติดตั้งซอฟต์แวร์ใหม่
- คุณย้ายที่ตั้งสำนักงานของคุณ
- คุณตั้งค่าโปรแกรม / นโยบายสำหรับผู้ใช้ปลายทางใหม่
การทดสอบการเจาะมีประโยชน์อย่างไร?
การทดสอบการเจาะมีประโยชน์ดังต่อไปนี้ -
Enhancement of the Management System- ให้ข้อมูลโดยละเอียดเกี่ยวกับภัยคุกคามด้านความปลอดภัย นอกจากนี้ยังจัดหมวดหมู่ระดับของช่องโหว่และแนะนำคุณว่าอันไหนเสี่ยงกว่าและอันไหนน้อยกว่า ดังนั้นคุณสามารถจัดการระบบความปลอดภัยของคุณได้อย่างง่ายดายและแม่นยำโดยการจัดสรรทรัพยากรด้านความปลอดภัยให้เหมาะสม
Avoid Fines- การทดสอบการเจาะช่วยให้กิจกรรมที่สำคัญขององค์กรของคุณอัปเดตและสอดคล้องกับระบบการตรวจสอบ ดังนั้นการทดสอบการเจาะจะช่วยปกป้องคุณจากการจ่ายค่าปรับ
Protection from Financial Damage- การละเมิดระบบรักษาความปลอดภัยง่ายๆอาจทำให้เกิดความเสียหายหลายล้านดอลลาร์ การทดสอบการเจาะสามารถป้องกันองค์กรของคุณจากความเสียหายดังกล่าวได้
Customer Protection- การละเมิดข้อมูลของลูกค้าแม้แต่รายเดียวอาจก่อให้เกิดความเสียหายทางการเงินขนาดใหญ่รวมทั้งความเสียหายต่อชื่อเสียง ช่วยปกป้ององค์กรที่จัดการกับลูกค้าและรักษาข้อมูลของพวกเขาให้ครบถ้วน
การทดสอบการเจาะเป็นการรวมกันของเทคนิคที่พิจารณาประเด็นต่างๆของระบบและการทดสอบการวิเคราะห์และการแก้ปัญหา มันขึ้นอยู่กับขั้นตอนที่มีโครงสร้างซึ่งทำการทดสอบการเจาะทีละขั้นตอน
บทนี้อธิบายขั้นตอนต่างๆหรือขั้นตอนของวิธีการทดสอบการเจาะ
ขั้นตอนของวิธีการทดสอบการเจาะ
ต่อไปนี้เป็นเจ็ดขั้นตอนของการทดสอบการเจาะ -
การวางแผนและการเตรียมการ
การวางแผนและการเตรียมการเริ่มต้นด้วยการกำหนดเป้าหมายและวัตถุประสงค์ของการทดสอบการเจาะ
ลูกค้าและผู้ทดสอบร่วมกันกำหนดเป้าหมายเพื่อให้ทั้งสองฝ่ายมีวัตถุประสงค์และความเข้าใจเดียวกัน วัตถุประสงค์ทั่วไปของการทดสอบการเจาะคือ -
- เพื่อระบุช่องโหว่และปรับปรุงความปลอดภัยของระบบทางเทคนิค
- มีการยืนยันความปลอดภัยด้านไอทีโดยบุคคลภายนอกภายนอก
- เพิ่มความปลอดภัยของโครงสร้างพื้นฐานขององค์กร / บุคลากร
การลาดตระเวน
การลาดตระเวนรวมถึงการวิเคราะห์ข้อมูลเบื้องต้น หลายครั้งผู้ทดสอบไม่มีข้อมูลมากนักนอกจากข้อมูลเบื้องต้นเช่นที่อยู่ IP หรือบล็อกที่อยู่ IP ผู้ทดสอบเริ่มต้นด้วยการวิเคราะห์ข้อมูลที่มีอยู่และหากจำเป็นให้ร้องขอข้อมูลเพิ่มเติมเช่นคำอธิบายระบบแผนเครือข่าย ฯลฯ จากไคลเอนต์ ขั้นตอนนี้คือการทดสอบการเจาะแบบพาสซีฟประเภทของ วัตถุประสงค์เพียงอย่างเดียวคือเพื่อให้ได้ข้อมูลที่ครบถ้วนและมีรายละเอียดของระบบ
การค้นพบ
ในขั้นตอนนี้ผู้ทดสอบการเจาะมักจะใช้เครื่องมืออัตโนมัติเพื่อสแกนสินทรัพย์เป้าหมายเพื่อค้นหาช่องโหว่ โดยปกติเครื่องมือเหล่านี้จะมีฐานข้อมูลของตัวเองเพื่อให้รายละเอียดของช่องโหว่ล่าสุด อย่างไรก็ตามผู้ทดสอบค้นพบ
Network Discovery - เช่นการค้นพบระบบเซิร์ฟเวอร์และอุปกรณ์อื่น ๆ เพิ่มเติม
Host Discovery - กำหนดพอร์ตที่เปิดบนอุปกรณ์เหล่านี้
Service Interrogation - ตรวจสอบพอร์ตเพื่อค้นหาบริการจริงที่กำลังทำงานอยู่
การวิเคราะห์ข้อมูลและความเสี่ยง
ในขั้นตอนนี้ผู้ทดสอบจะวิเคราะห์และประเมินข้อมูลที่รวบรวมก่อนขั้นตอนการทดสอบเพื่อเจาะระบบแบบไดนามิก เนื่องจากระบบและขนาดของโครงสร้างพื้นฐานมีจำนวนมากขึ้นจึงใช้เวลานานมาก ในขณะที่ทำการวิเคราะห์ผู้ทดสอบจะพิจารณาองค์ประกอบต่อไปนี้ -
เป้าหมายที่กำหนดไว้ของการทดสอบการเจาะ
ความเสี่ยงที่อาจเกิดขึ้นกับระบบ
เวลาโดยประมาณที่จำเป็นสำหรับการประเมินข้อบกพร่องด้านความปลอดภัยที่อาจเกิดขึ้นสำหรับการทดสอบการเจาะที่ใช้งานในภายหลัง
อย่างไรก็ตามจากรายการระบบที่ระบุผู้ทดสอบอาจเลือกทดสอบเฉพาะระบบที่มีช่องโหว่ที่อาจเกิดขึ้น
ความพยายามในการบุกรุกที่ใช้งานอยู่
นี่เป็นขั้นตอนที่สำคัญที่สุดที่ต้องดำเนินการด้วยความระมัดระวัง ขั้นตอนนี้เกี่ยวข้องกับขอบเขตของช่องโหว่ที่อาจเกิดขึ้นซึ่งถูกระบุในขั้นตอนการค้นพบซึ่งมีความเสี่ยงที่แท้จริง ขั้นตอนนี้ต้องดำเนินการเมื่อจำเป็นต้องมีการตรวจสอบช่องโหว่ที่อาจเกิดขึ้น สำหรับระบบเหล่านั้นที่มีข้อกำหนดด้านความสมบูรณ์สูงมากความเสี่ยงและความเสี่ยงที่อาจเกิดขึ้นจะต้องได้รับการพิจารณาอย่างรอบคอบก่อนดำเนินการขั้นตอนการล้างข้อมูลที่สำคัญ
การวิเคราะห์ขั้นสุดท้าย
ขั้นตอนนี้จะพิจารณาขั้นตอนทั้งหมดที่ดำเนินการเป็นหลัก (กล่าวไว้ข้างต้น) จนถึงเวลานั้นและการประเมินช่องโหว่ที่มีอยู่ในรูปแบบของความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ผู้ทดสอบแนะนำให้กำจัดช่องโหว่และความเสี่ยง เหนือสิ่งอื่นใดผู้ทดสอบต้องมั่นใจในความโปร่งใสของการทดสอบและช่องโหว่ที่เปิดเผย
การจัดทำรายงาน
การจัดทำรายงานต้องเริ่มต้นด้วยขั้นตอนการทดสอบโดยรวมตามด้วยการวิเคราะห์ช่องโหว่และความเสี่ยง ความเสี่ยงสูงและช่องโหว่ที่สำคัญต้องมีลำดับความสำคัญแล้วตามด้วยลำดับที่ต่ำกว่า
อย่างไรก็ตามในขณะที่จัดทำเอกสารรายงานขั้นสุดท้ายต้องพิจารณาประเด็นต่อไปนี้ -
- สรุปโดยรวมของการทดสอบการเจาะ
- รายละเอียดของแต่ละขั้นตอนและข้อมูลที่รวบรวมระหว่างการทดสอบปากกา
- รายละเอียดของช่องโหว่และความเสี่ยงทั้งหมดที่ค้นพบ
- รายละเอียดการทำความสะอาดและแก้ไขระบบ
- คำแนะนำสำหรับการรักษาความปลอดภัยในอนาคต
โดยทั่วไปคำสองคำนี้ ได้แก่ การทดสอบการเจาะและการประเมินช่องโหว่จะใช้แทนกันได้โดยหลาย ๆ คนไม่ว่าจะเป็นเพราะความเข้าใจผิดหรือการโฆษณาเกินจริง แต่ทั้งสองคำมีความแตกต่างกันในแง่ของวัตถุประสงค์และวิธีการอื่น ๆ อย่างไรก็ตามก่อนที่จะอธิบายความแตกต่างก่อนอื่นให้เราเข้าใจคำศัพท์ทั้งสองคำทีละคำ
การทดสอบการเจาะ
การทดสอบการเจาะจะจำลองการกระทำของผู้โจมตีทางไซเบอร์ภายนอกหรือ / และภายในที่มีจุดประสงค์เพื่อทำลายความปลอดภัยของข้อมูลและแฮ็กข้อมูลที่มีค่าหรือขัดขวางการทำงานปกติขององค์กร ดังนั้นด้วยความช่วยเหลือของเครื่องมือและเทคนิคขั้นสูงเครื่องทดสอบการเจาะ (หรือที่เรียกว่าethical hacker) ใช้ความพยายามในการควบคุมระบบที่สำคัญและเข้าถึงข้อมูลที่ละเอียดอ่อน
การประเมินความเสี่ยง
ในทางกลับกันการประเมินช่องโหว่เป็นเทคนิคในการระบุ (การค้นพบ) และการวัดช่องโหว่ด้านความปลอดภัย (การสแกน) ในสภาพแวดล้อมที่กำหนด เป็นการประเมินตำแหน่งความปลอดภัยของข้อมูลอย่างครอบคลุม (การวิเคราะห์ผลลัพธ์) นอกจากนี้ยังระบุจุดอ่อนที่อาจเกิดขึ้นและให้มาตรการบรรเทาที่เหมาะสม (การแก้ไข) เพื่อลบจุดอ่อนเหล่านั้นหรือลดระดับความเสี่ยงที่ต่ำกว่า
แผนภาพต่อไปนี้สรุปการประเมินช่องโหว่ -
ตารางต่อไปนี้แสดงความแตกต่างพื้นฐานระหว่างการทดสอบการเจาะและการประเมินช่องโหว่ -
การทดสอบการเจาะ | การประเมินช่องโหว่ |
---|---|
กำหนดขอบเขตของการโจมตี | สร้างไดเร็กทอรีของสินทรัพย์และทรัพยากรในระบบที่กำหนด |
ทดสอบการรวบรวมข้อมูลที่ละเอียดอ่อน | ค้นพบภัยคุกคามที่อาจเกิดขึ้นกับทรัพยากรแต่ละรายการ |
รวบรวมข้อมูลเป้าหมายและ / หรือตรวจสอบระบบ | จัดสรรมูลค่าและความสำคัญเชิงปริมาณให้กับทรัพยากรที่มีอยู่ |
ทำความสะอาดระบบและรายงานขั้นสุดท้าย | พยายามลดหรือกำจัดช่องโหว่ที่อาจเกิดขึ้นของทรัพยากรที่มีค่า |
ไม่ใช่การล่วงล้ำเอกสารและการตรวจสอบและวิเคราะห์สิ่งแวดล้อม | การวิเคราะห์ที่ครอบคลุมและผ่านการทบทวนระบบเป้าหมายและสภาพแวดล้อม |
เหมาะอย่างยิ่งสำหรับสภาพแวดล้อมทางกายภาพและสถาปัตยกรรมเครือข่าย | เหมาะสำหรับสภาพแวดล้อมในห้องปฏิบัติการ |
มีไว้สำหรับระบบเรียลไทม์ที่สำคัญ | มีไว้สำหรับระบบที่ไม่สำคัญ |
ตัวเลือกใดเหมาะที่จะปฏิบัติ
ทั้งสองวิธีมีฟังก์ชันการทำงานและแนวทางที่แตกต่างกันดังนั้นจึงขึ้นอยู่กับตำแหน่งความปลอดภัยของระบบนั้น ๆ อย่างไรก็ตามเนื่องจากความแตกต่างพื้นฐานระหว่างการทดสอบการเจาะและการประเมินช่องโหว่เทคนิคที่สองจึงมีประโยชน์มากกว่าแบบแรก
การประเมินช่องโหว่จะระบุจุดอ่อนและให้แนวทางแก้ไข ในทางกลับกันการทดสอบการเจาะจะตอบคำถามที่ว่า "ทุกคนสามารถเจาะระบบความปลอดภัยของระบบได้หรือไม่ถ้าเป็นเช่นนั้นเขาจะทำอันตรายอะไรได้บ้าง"
นอกจากนี้การประเมินช่องโหว่ยังพยายามปรับปรุงระบบรักษาความปลอดภัยและพัฒนาโปรแกรมความปลอดภัยแบบบูรณาการที่เป็นผู้ใหญ่มากขึ้น ในทางกลับกันการทดสอบการเจาะจะให้ภาพของประสิทธิภาพของโปรแกรมรักษาความปลอดภัยของคุณเท่านั้น
ดังที่เราได้เห็นที่นี่การประเมินช่องโหว่มีประโยชน์มากกว่าและให้ผลลัพธ์ที่ดีกว่าเมื่อเปรียบเทียบกับการทดสอบการเจาะ แต่ผู้เชี่ยวชาญแนะนำว่าในฐานะส่วนหนึ่งของระบบการจัดการความปลอดภัยควรใช้เทคนิคทั้งสองอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามีสภาพแวดล้อมที่ปลอดภัยสมบูรณ์แบบ
ประเภทของการทดสอบการเจาะโดยปกติขึ้นอยู่กับขอบเขตและความต้องการขององค์กรและข้อกำหนด บทนี้จะกล่าวถึงการทดสอบการเจาะประเภทต่างๆ เป็นที่รู้จักกันในชื่อPen Testing.
ประเภทของการทดสอบปากกา
ต่อไปนี้เป็นประเภทที่สำคัญของการทดสอบปากกา -
- การทดสอบการเจาะกล่องดำ
- การทดสอบการเจาะกล่องสีขาว
- การทดสอบการเจาะกล่องสีเทา
เพื่อความเข้าใจที่ดีขึ้นให้เราคุยรายละเอียดแต่ละเรื่อง -
การทดสอบการเจาะกล่องดำ
ในการทดสอบการเจาะกล่องดำผู้ทดสอบไม่รู้เกี่ยวกับระบบที่เขากำลังจะทดสอบ เขาสนใจที่จะรวบรวมข้อมูลเกี่ยวกับเครือข่ายเป้าหมายหรือระบบ ตัวอย่างเช่นในการทดสอบนี้ผู้ทดสอบจะรู้เพียงว่าผลลัพธ์ที่คาดหวังควรเป็นอย่างไรและเขาไม่รู้ว่าผลลัพธ์จะมาถึงอย่างไร เขาไม่ตรวจสอบรหัสการเขียนโปรแกรมใด ๆ
ข้อดีของการทดสอบการเจาะกล่องดำ
มีข้อดีดังต่อไปนี้ -
ผู้ทดสอบไม่จำเป็นต้องเป็นผู้เชี่ยวชาญเนื่องจากไม่ต้องการความรู้เฉพาะด้านภาษา
ผู้ทดสอบจะตรวจสอบความขัดแย้งในระบบจริงและข้อมูลจำเพาะ
โดยทั่วไปการทดสอบจะดำเนินการโดยใช้มุมมองของผู้ใช้ไม่ใช่ผู้ออกแบบ
ข้อเสียของการทดสอบการเจาะกล่องดำ
ข้อเสียคือ -
โดยเฉพาะกรณีทดสอบประเภทนี้ออกแบบได้ยาก
เป็นไปได้ว่ามันไม่คุ้มค่านักออกแบบในกรณีที่ได้ทำการทดสอบแล้ว
มันไม่ได้ดำเนินการทุกอย่าง
การทดสอบการเจาะกล่องสีขาว
นี่คือการทดสอบที่ครอบคลุมเนื่องจากผู้ทดสอบได้รับข้อมูลทั้งหมดเกี่ยวกับระบบและ / หรือเครือข่ายเช่นสคีมาซอร์สโค้ดรายละเอียดระบบปฏิบัติการที่อยู่ IP ฯลฯ โดยปกติถือว่าเป็นการจำลองการโจมตีโดย แหล่งภายใน เป็นที่รู้จักกันในชื่อโครงสร้างกล่องแก้วกล่องใสและการทดสอบกล่องเปิด
การทดสอบการเจาะกล่องสีขาวจะตรวจสอบความครอบคลุมของรหัสและทำการทดสอบการไหลของข้อมูลการทดสอบเส้นทางการทดสอบลูป ฯลฯ
ข้อดีของการทดสอบการเจาะกล่องขาว
มีข้อดีดังต่อไปนี้ -
เพื่อให้แน่ใจว่ามีการใช้เส้นทางอิสระทั้งหมดของโมดูล
ช่วยให้มั่นใจได้ว่าการตัดสินใจเชิงตรรกะทั้งหมดได้รับการตรวจสอบพร้อมกับค่าจริงและเท็จ
พบข้อผิดพลาดในการพิมพ์และตรวจสอบไวยากรณ์
พบข้อผิดพลาดในการออกแบบที่อาจเกิดขึ้นเนื่องจากความแตกต่างระหว่างขั้นตอนทางตรรกะของโปรแกรมและการดำเนินการจริง
การทดสอบการเจาะกล่องสีเทา
ในการทดสอบประเภทนี้ผู้ทดสอบมักจะให้ข้อมูลบางส่วนหรือ จำกัด เกี่ยวกับรายละเอียดภายในของโปรแกรมของระบบ ถือได้ว่าเป็นการโจมตีโดยแฮ็กเกอร์ภายนอกที่ได้รับสิทธิ์ในการเข้าถึงเอกสารโครงสร้างพื้นฐานเครือข่ายขององค์กร
ข้อดีของการทดสอบการเจาะกล่องสีเทา
มีข้อดีดังต่อไปนี้ -
เนื่องจากผู้ทดสอบไม่ต้องการการเข้าถึงซอร์สโค้ดจึงไม่ล่วงล้ำและไม่เป็นกลาง
เนื่องจากผู้พัฒนาและผู้ทดสอบมีความแตกต่างกันอย่างชัดเจนจึงมีความเสี่ยงน้อยที่สุดที่จะเกิดความขัดแย้งส่วนตัว
คุณไม่จำเป็นต้องให้ข้อมูลภายในเกี่ยวกับฟังก์ชันของโปรแกรมและการดำเนินการอื่น ๆ
พื้นที่ของการทดสอบการเจาะ
โดยปกติการทดสอบการเจาะจะทำในสามด้านต่อไปนี้ -
Network Penetration Testing- ในการทดสอบนี้จำเป็นต้องทดสอบโครงสร้างทางกายภาพของระบบเพื่อระบุช่องโหว่และความเสี่ยงซึ่งช่วยให้มั่นใจได้ถึงความปลอดภัยในเครือข่าย ในสภาพแวดล้อมเครือข่ายผู้ทดสอบระบุข้อบกพร่องด้านความปลอดภัยในการออกแบบการใช้งานหรือการดำเนินการของเครือข่ายของ บริษัท / องค์กรนั้น ๆ อุปกรณ์ที่ทดสอบโดยผู้ทดสอบอาจเป็นคอมพิวเตอร์โมเด็มหรือแม้แต่อุปกรณ์การเข้าถึงระยะไกลเป็นต้น
Application Penetration Testing- ในการทดสอบนี้จำเป็นต้องทดสอบโครงสร้างเชิงตรรกะของระบบ เป็นการจำลองการโจมตีที่ออกแบบมาเพื่อเปิดเผยประสิทธิภาพของการควบคุมความปลอดภัยของแอปพลิเคชันโดยการระบุช่องโหว่และความเสี่ยง ไฟร์วอลล์และระบบตรวจสอบอื่น ๆ ใช้เพื่อป้องกันระบบรักษาความปลอดภัย แต่บางครั้งก็ต้องการการทดสอบที่เน้นโดยเฉพาะเมื่อทราฟฟิกได้รับอนุญาตให้ผ่านไฟร์วอลล์
The response or workflow of the system- นี่คือพื้นที่ที่สามที่ต้องทดสอบ วิศวกรรมสังคมรวบรวมข้อมูลเกี่ยวกับปฏิสัมพันธ์ของมนุษย์เพื่อให้ได้ข้อมูลเกี่ยวกับองค์กรและคอมพิวเตอร์ เป็นประโยชน์ในการทดสอบความสามารถขององค์กรที่เกี่ยวข้องในการป้องกันการเข้าถึงระบบข้อมูลโดยไม่ได้รับอนุญาต ในทำนองเดียวกันการทดสอบนี้ได้รับการออกแบบมาโดยเฉพาะสำหรับขั้นตอนการทำงานขององค์กร / บริษัท
ทั้งการทดสอบการเจาะด้วยตนเองและการทดสอบการเจาะอัตโนมัติจะดำเนินการเพื่อวัตถุประสงค์เดียวกัน ความแตกต่างเพียงอย่างเดียวระหว่างพวกเขาคือวิธีการดำเนินการ ตามชื่อที่แนะนำการทดสอบการเจาะด้วยมือจะทำโดยมนุษย์ (ผู้เชี่ยวชาญในสาขานี้) และการทดสอบการเจาะอัตโนมัติทำได้ด้วยเครื่องเอง
บทนี้จะช่วยให้คุณเรียนรู้แนวคิดความแตกต่างและการบังคับใช้ของทั้งสองคำ
Manual Penetration Testing คืออะไร?
การทดสอบการเจาะด้วยมือเป็นการทดสอบที่กระทำโดยมนุษย์ ในการทดสอบประเภทนี้จะมีการทดสอบความเสี่ยงและความเสี่ยงของเครื่องจักรโดยวิศวกรผู้เชี่ยวชาญ
โดยทั่วไปวิศวกรทดสอบจะปฏิบัติตามวิธีการดังต่อไปนี้ -
Data Collection- การรวบรวมข้อมูลมีบทบาทสำคัญสำหรับการทดสอบ เราสามารถรวบรวมข้อมูลด้วยตนเองหรือสามารถใช้บริการเครื่องมือ (เช่นเทคนิคการวิเคราะห์ซอร์สโค้ดของเว็บเพจเป็นต้น) ที่มีให้บริการทางออนไลน์ได้อย่างอิสระ เครื่องมือเหล่านี้ช่วยในการรวบรวมข้อมูลเช่นชื่อตารางเวอร์ชัน DB ฐานข้อมูลซอฟต์แวร์ฮาร์ดแวร์หรือแม้แต่เกี่ยวกับปลั๊กอินของบุคคลที่สามอื่น ๆ เป็นต้น
Vulnerability Assessment - เมื่อรวบรวมข้อมูลแล้วจะช่วยให้ผู้ทดสอบระบุจุดอ่อนด้านความปลอดภัยและดำเนินการป้องกันตามขั้นตอน
Actual Exploit - นี่เป็นวิธีการทั่วไปที่ผู้ทดสอบผู้เชี่ยวชาญใช้ในการโจมตีระบบเป้าหมายและในทำนองเดียวกันจะช่วยลดความเสี่ยงในการโจมตี
Report Preparation- เมื่อเจาะเสร็จแล้วผู้ทดสอบจะจัดเตรียมรายงานขั้นสุดท้ายที่อธิบายทุกอย่างเกี่ยวกับระบบ ในที่สุดรายงานจะได้รับการวิเคราะห์เพื่อดำเนินการแก้ไขเพื่อปกป้องระบบเป้าหมาย
ประเภทของการทดสอบการเจาะด้วยมือ
โดยปกติการทดสอบการเจาะด้วยมือแบ่งออกเป็นสองวิธีดังต่อไปนี้:
Focused Manual Penetration Testing- เป็นวิธีการที่เน้นมากในการทดสอบช่องโหว่และความเสี่ยงที่เฉพาะเจาะจง การทดสอบการเจาะอัตโนมัติไม่สามารถทำการทดสอบนี้ได้ ดำเนินการโดยผู้เชี่ยวชาญที่เป็นมนุษย์เท่านั้นที่ตรวจสอบช่องโหว่ของแอปพลิเคชันเฉพาะภายในโดเมนที่กำหนด
Comprehensive Manual Penetration Testing- ผ่านการทดสอบระบบทั้งหมดที่เชื่อมต่อกันเพื่อระบุความเสี่ยงและช่องโหว่ทุกประเภท อย่างไรก็ตามฟังก์ชั่นของการทดสอบนี้เป็นไปตามสถานการณ์เช่นการตรวจสอบว่าข้อผิดพลาดที่มีความเสี่ยงต่ำหลาย ๆ ครั้งสามารถทำให้สถานการณ์โจมตีที่มีช่องโหว่มากขึ้นหรือไม่เป็นต้น
การทดสอบการเจาะอัตโนมัติคืออะไร?
การทดสอบการเจาะอัตโนมัตินั้นเร็วกว่ามีประสิทธิภาพง่ายและเชื่อถือได้มากซึ่งจะทดสอบช่องโหว่และความเสี่ยงของเครื่องโดยอัตโนมัติ เทคโนโลยีนี้ไม่จำเป็นต้องมีวิศวกรผู้เชี่ยวชาญ แต่สามารถดำเนินการได้โดยบุคคลที่มีความรู้น้อยที่สุดในสาขานี้
เครื่องมือสำหรับการทดสอบการเจาะอัตโนมัติ ได้แก่ Nessus, Metasploit, OpenVAs, backtract (series 5) เป็นต้นซึ่งเป็นเครื่องมือที่มีประสิทธิภาพมากซึ่งเปลี่ยนประสิทธิภาพและความหมายของการทดสอบการเจาะ
อย่างไรก็ตามตารางต่อไปนี้แสดงให้เห็นความแตกต่างพื้นฐานระหว่างการทดสอบการเจาะด้วยมือและแบบอัตโนมัติ -
การทดสอบการเจาะด้วยตนเอง | การทดสอบการเจาะอัตโนมัติ |
---|---|
ต้องใช้วิศวกรผู้เชี่ยวชาญในการทดสอบ | เป็นแบบอัตโนมัติเพื่อให้ผู้เรียนสามารถทำการทดสอบได้ |
ต้องใช้เครื่องมือที่แตกต่างกันสำหรับการทดสอบ | มีเครื่องมือแบบบูรณาการไม่จำเป็นต้องมีอะไรจากภายนอก |
ในการทดสอบประเภทนี้ผลลัพธ์อาจแตกต่างกันไปในแต่ละการทดสอบ | มีผลคงที่ |
การทดสอบนี้ต้องจำไว้ว่าการล้างหน่วยความจำโดยผู้ทดสอบ | มันไม่ใช่. |
หมดจดและใช้เวลา | มีประสิทธิภาพและรวดเร็วมากขึ้น |
มีข้อดีเพิ่มเติมคือถ้าผู้เชี่ยวชาญทำการทดสอบด้วยปากกาแล้วเขาสามารถวิเคราะห์ได้ดีขึ้นเขาสามารถคิดว่าแฮ็กเกอร์คิดอะไรได้และสามารถโจมตีได้ที่ไหน ดังนั้นเขาสามารถรักษาความปลอดภัยได้ | มันวิเคราะห์สถานการณ์ไม่ได้ |
ตามข้อกำหนดผู้เชี่ยวชาญสามารถทำการทดสอบได้หลายครั้ง | มันไม่สามารถ |
สำหรับสภาวะวิกฤตมีความน่าเชื่อถือมากขึ้น | มันไม่ใช่. |
การทดสอบการเจาะข้อมูลโดยปกติจะประกอบด้วยการรวบรวมข้อมูลการวิเคราะห์ช่องโหว่และความเสี่ยงช่องโหว่และการจัดทำรายงานขั้นสุดท้าย
นอกจากนี้ยังจำเป็นอย่างยิ่งที่จะต้องเรียนรู้คุณสมบัติของเครื่องมือต่างๆที่มีให้ในการทดสอบการเจาะ บทนี้ให้ข้อมูลและข้อมูลเชิงลึกเกี่ยวกับคุณสมบัติเหล่านี้
Penetration Testing Tools คืออะไร?
ตารางต่อไปนี้รวบรวมเครื่องมือเจาะที่สำคัญที่สุดและแสดงคุณสมบัติ -
ชื่อเครื่องมือ | วัตถุประสงค์ | การพกพา | ค่าใช้จ่ายที่คาดหวัง |
---|---|---|---|
Hping | การสแกนพอร์ต ลายนิ้วมือ OC ระยะไกล |
ลินุกซ์, NetBSD, FreeBSD, OpenBSD, |
ฟรี |
Nmap | การสแกนเครือข่าย การสแกนพอร์ต การตรวจจับระบบปฏิบัติการ |
Linux, Windows, FreeBSD, OS X, HP-UX, NetBSD, Sun, OpenBSD, Solaris, IRIX, Mac ฯลฯ | ฟรี |
SuperScan | เรียกใช้การสืบค้นรวมถึง ping, whois, การค้นหาชื่อโฮสต์ ฯลฯ ตรวจจับพอร์ต UDP / TCP ที่เปิดอยู่และกำหนดว่าบริการใดกำลังทำงานบนพอร์ตเหล่านั้น |
Windows 2000 / XP / Vista / 7 | ฟรี |
p0f | ระบบพิมพ์ลายนิ้วมือ การตรวจจับไฟร์วอลล์ |
Linux, FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris, Windows และ AIX | ฟรี |
Xprobe | ลายนิ้วมือระบบปฏิบัติการระยะไกลที่ใช้งานอยู่ การสแกนพอร์ต ลายนิ้วมือ TCP |
ลินุกซ์ | ฟรี |
Httprint | การตรวจจับ SSL บนเว็บเซิร์ฟเวอร์ ตรวจจับอุปกรณ์ที่เปิดใช้งานเว็บ (เช่นจุดเชื่อมต่อไร้สายสวิตช์โมเด็มเราเตอร์) |
Linux, MacOS X, FreeBSD, Win32 (บรรทัดคำสั่งและ GUI | ฟรี |
Nessus | ตรวจหาช่องโหว่ที่อนุญาตให้แคร็กเกอร์จากระยะไกลควบคุม / เข้าถึงข้อมูลที่ละเอียดอ่อน | Mac OS X, Linux, FreeBSD, Apple, Oracle Solaris, Windows | ฟรีจำนวน จำกัด |
GFI LANguard | ตรวจหาช่องโหว่ของเครือข่าย | Windows Server 2003/2008, Windows 7 Ultimate / Vista, Windows 2000 Professional, Business / XP, Sever 2000/2003/2008 | เฉพาะรุ่นทดลองใช้ฟรี |
Iss Scanner | ตรวจหาช่องโหว่ของเครือข่าย | Windows 2000 Professional พร้อม SP4, Windows Server 2003 Standard พร้อม SO1, Windows XP Professional พร้อม SP1a | เฉพาะรุ่นทดลองใช้ฟรี |
เครื่องสแกน Shadow Security | ตรวจหาช่องโหว่ของเครือข่ายตรวจสอบพร็อกซีและเซิร์ฟเวอร์ LDAP | Windows แต่สแกนเซิร์ฟเวอร์ที่สร้างบนแพลตฟอร์มใดก็ได้ | เฉพาะรุ่นทดลองใช้ฟรี |
Metasploit Framework | พัฒนาและเรียกใช้รหัสการใช้ประโยชน์จากเป้าหมายระยะไกล ทดสอบช่องโหว่ของระบบคอมพิวเตอร์ |
Unix และ Windows ทุกรุ่น | ฟรี |
Brutus | ตัวถอดรหัสรหัสผ่าน Telnet, ftp และ http | Windows 9x / NT / 2000 | ฟรี |
ระบบคอมพิวเตอร์และเครือข่ายที่เกี่ยวข้องโดยปกติจะประกอบด้วยอุปกรณ์จำนวนมากและส่วนใหญ่มีบทบาทสำคัญในการดำเนินงานทั้งหมดและธุรกิจของระบบนั้น ๆ ข้อบกพร่องเล็กน้อย ณ เวลาใดก็ได้และที่ส่วนใดส่วนหนึ่งของอุปกรณ์เหล่านี้อาจทำให้เกิดความเสียหายอย่างมากต่อธุรกิจของคุณ ดังนั้นทุกคนจึงมีความเสี่ยงและจำเป็นต้องได้รับการรักษาความปลอดภัยอย่างเหมาะสม
การทดสอบการรุกของโครงสร้างพื้นฐานคืออะไร?
การทดสอบการเจาะโครงสร้างพื้นฐานรวมถึงระบบคอมพิวเตอร์ภายในอุปกรณ์ภายนอกที่เกี่ยวข้องเครือข่ายอินเทอร์เน็ตการทดสอบระบบคลาวด์และการจำลองเสมือน
ไม่ว่าจะซ่อนอยู่ในเครือข่ายภายในองค์กรของคุณหรือจากมุมมองสาธารณะมีความเป็นไปได้เสมอที่ผู้โจมตีสามารถใช้ประโยชน์จากสิ่งที่อาจเป็นอันตรายต่อโครงสร้างพื้นฐานของคุณ ดังนั้นจะดีกว่าที่จะปลอดภัยไว้ล่วงหน้าแทนที่จะเสียใจในภายหลัง
ประเภทของการทดสอบการรุกของโครงสร้างพื้นฐาน
ต่อไปนี้เป็นประเภทที่สำคัญของการทดสอบการเจาะโครงสร้างพื้นฐาน -
- การทดสอบการรุกของโครงสร้างพื้นฐานภายนอก
- การทดสอบการเจาะโครงสร้างพื้นฐานภายใน
- การทดสอบการเจาะระบบคลาวด์และ Virtualization
- การทดสอบการเจาะระบบความปลอดภัยแบบไร้สาย
การทดสอบโครงสร้างพื้นฐานภายนอก
การทดสอบการเจาะโดยกำหนดเป้าหมายโครงสร้างพื้นฐานภายนอกจะค้นพบว่าแฮ็กเกอร์สามารถทำอะไรกับเครือข่ายของคุณได้บ้างซึ่งสามารถเข้าถึงได้ง่ายผ่านทางอินเทอร์เน็ต
ในการทดสอบนี้ผู้ทดสอบจะจำลองการโจมตีแบบเดียวกับที่แฮกเกอร์ใช้ได้โดยการค้นหาและจับคู่ข้อบกพร่องด้านความปลอดภัยในโครงสร้างพื้นฐานภายนอกของคุณ
มีประโยชน์หลายประการของการใช้ประโยชน์จากการทดสอบการเจาะโครงสร้างพื้นฐานภายนอกเช่น -
ระบุข้อบกพร่องภายในการกำหนดค่าไฟร์วอลล์ที่อาจนำไปใช้ในทางที่ผิด
ค้นหาว่าผู้โจมตีสามารถรั่วไหลข้อมูลออกจากระบบของคุณได้อย่างไร
ชี้ให้เห็นว่าปัญหาเหล่านี้สามารถแก้ไขได้อย่างไร
จัดทำรายงานที่ครอบคลุมโดยเน้นถึงความเสี่ยงด้านความปลอดภัยของเครือข่ายชายแดนและแนะนำแนวทางแก้ไข
มั่นใจในประสิทธิภาพและประสิทธิผลโดยรวมของธุรกิจของคุณ
การทดสอบการเจาะโครงสร้างพื้นฐานภายใน
เนื่องจากข้อบกพร่องด้านความปลอดภัยภายในเล็กน้อยแฮกเกอร์จึงทำการฉ้อโกงอย่างผิดกฎหมายในองค์กรขนาดใหญ่ ดังนั้นด้วยการทดสอบการเจาะโครงสร้างพื้นฐานภายในผู้ทดสอบสามารถระบุความเป็นไปได้ของการรักษาความปลอดภัยและจากพนักงานคนใดปัญหานี้จึงเกิดขึ้น
การทดสอบการเจาะโครงสร้างพื้นฐานภายในมีประโยชน์เหมือนกัน -
ระบุว่าผู้โจมตีภายในสามารถใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยเล็กน้อยได้อย่างไร
ระบุความเสี่ยงทางธุรกิจที่อาจเกิดขึ้นและความเสียหายที่ผู้โจมตีภายในสามารถทำได้
ปรับปรุงระบบความปลอดภัยของโครงสร้างพื้นฐานภายใน
จัดทำรายงานที่ครอบคลุมโดยให้รายละเอียดเกี่ยวกับความเสี่ยงด้านความปลอดภัยของเครือข่ายภายในพร้อมกับแผนปฏิบัติการโดยละเอียดเกี่ยวกับวิธีจัดการกับมัน
การทดสอบการเจาะระบบคลาวด์และ Virtualization
ในขณะที่คุณซื้อเซิร์ฟเวอร์สาธารณะหรือ Wave Space จะเพิ่มความเสี่ยงของการละเมิดข้อมูลอย่างมาก นอกจากนี้การระบุผู้โจมตีบนสภาพแวดล้อมระบบคลาวด์เป็นเรื่องยาก ผู้โจมตียังสามารถซื้อโฮสติ้งสิ่งอำนวยความสะดวกระบบคลาวด์เพื่อเข้าถึงข้อมูลคลาวด์ใหม่ของคุณ
ในความเป็นจริงคลาวด์โฮสติ้งส่วนใหญ่ใช้งานบนโครงสร้างพื้นฐานเสมือนทำให้เกิดความเสี่ยงด้าน Virtualization ที่ผู้โจมตีสามารถเข้าถึงได้ง่าย
การทดสอบการเจาะระบบคลาวด์และ Virtualization มีประโยชน์เหมือนกัน -
ค้นพบความเสี่ยงที่แท้จริงภายในสภาพแวดล้อมเสมือนจริงและแนะนำวิธีการและค่าใช้จ่ายในการแก้ไขภัยคุกคามและข้อบกพร่อง
ให้แนวทางและแผนปฏิบัติการว่าจะแก้ไขปัญหาอย่างไร
ปรับปรุงระบบป้องกันโดยรวม
จัดทำรายงานระบบความปลอดภัยที่ครอบคลุมของการประมวลผลแบบคลาวด์และการจำลองเสมือนโดยสรุปข้อบกพร่องด้านความปลอดภัยสาเหตุและแนวทางแก้ไขที่เป็นไปได้
การทดสอบการเจาะระบบความปลอดภัยแบบไร้สาย
เทคโนโลยีไร้สายของแล็ปท็อปและอุปกรณ์อื่น ๆ ช่วยให้เข้าถึงเครือข่ายต่างๆได้ง่ายและยืดหยุ่น เทคโนโลยีที่เข้าถึงได้ง่ายมีความเสี่ยงต่อความเสี่ยงเฉพาะ เนื่องจากความปลอดภัยทางกายภาพไม่สามารถใช้เพื่อ จำกัด การเข้าถึงเครือข่ายได้ ผู้โจมตีสามารถแฮ็คจากสถานที่ห่างไกล ดังนั้นการทดสอบการเจาะระบบความปลอดภัยไร้สายจึงจำเป็นสำหรับ บริษัท / องค์กรของคุณ
ต่อไปนี้เป็นสาเหตุของการมีเทคโนโลยีไร้สาย -
เพื่อค้นหาความเสี่ยงที่อาจเกิดขึ้นจากอุปกรณ์ไร้สายของคุณ
เพื่อให้แนวทางและแผนปฏิบัติการเกี่ยวกับวิธีการป้องกันภัยคุกคามจากภายนอก
เพื่อปรับปรุงระบบความปลอดภัยโดยรวม
สำหรับการจัดทำรายงานระบบความปลอดภัยที่ครอบคลุมของเครือข่ายไร้สายเพื่อสรุปข้อบกพร่องด้านความปลอดภัยสาเหตุและแนวทางแก้ไขที่เป็นไปได้
มีประเด็นในการปกป้องข้อมูลที่สำคัญที่สุดขององค์กร ดังนั้นบทบาทของผู้ทดสอบการเจาะจึงมีความสำคัญมากข้อผิดพลาดเล็กน้อยสามารถทำให้ทั้งสองฝ่าย (ผู้ทดสอบและลูกค้าของเขา) ตกอยู่ในความเสี่ยง
ดังนั้นบทนี้จะกล่าวถึงแง่มุมต่างๆของผู้ทดสอบการเจาะรวมทั้งคุณสมบัติประสบการณ์และความรับผิดชอบของเขา
คุณสมบัติของผู้ทดสอบการเจาะ
การทดสอบนี้สามารถทำได้โดยผู้ทดสอบการเจาะที่มีคุณสมบัติเหมาะสมเท่านั้น ดังนั้นคุณสมบัติของเครื่องทดสอบการเจาะจึงมีความสำคัญมาก
ผู้เชี่ยวชาญภายในที่มีคุณสมบัติเหมาะสมหรือผู้เชี่ยวชาญภายนอกที่มีคุณสมบัติสามารถทำการทดสอบการเจาะได้จนกว่าจะมีความเป็นอิสระจากองค์กร หมายความว่าผู้ทดสอบการเจาะจะต้องเป็นอิสระจากองค์กรจากการจัดการระบบเป้าหมาย ตัวอย่างเช่นหาก บริษัท บุคคลที่สามมีส่วนร่วมในการติดตั้งบำรุงรักษาหรือสนับสนุนระบบเป้าหมายฝ่ายนั้นจะไม่สามารถทำการทดสอบการเจาะได้
คำแนะนำบางประการที่จะช่วยคุณขณะโทรหาผู้ทดสอบการเจาะ
การรับรอง
ผู้ได้รับการรับรองสามารถทำการทดสอบการเจาะได้ การรับรองโดยผู้ทดสอบเป็นสิ่งที่บ่งบอกถึงทักษะและความสามารถของผู้ทดสอบการเจาะที่มีความสามารถ
ต่อไปนี้เป็นตัวอย่างที่สำคัญของการรับรองการทดสอบการเจาะ -
แฮ็กเกอร์จริยธรรมที่ได้รับการรับรอง (CEH)
ผู้เชี่ยวชาญที่ได้รับการรับรองความปลอดภัยที่ไม่เหมาะสม (OSCP)
ใบรับรองการทดสอบการเจาะ CREST
การสื่อสาร Electronic Security Group (CESG) การรับรองบริการตรวจสุขภาพไอที
ใบรับรอง Global Information Assurance Certification (GIAC) เช่น GIAC Certified Penetration Tester (GPEN), GIAC Web Application Penetration Tester (GWAPT), Advance Penetration Tester (GXPN) และ GIAC Exploit Researcher
ประสบการณ์ที่ผ่านมา
คำถามต่อไปนี้จะช่วยให้คุณจ้างผู้ทดสอบการเจาะที่มีประสิทธิภาพ -
ผู้ทดสอบการเจาะมีประสบการณ์กี่ปี?
เขาเป็นผู้ทดสอบการเจาะอิสระหรือทำงานให้กับองค์กรหรือไม่?
เขาทำงานเป็นผู้ทดสอบการเจาะด้วยกี่ บริษัท ?
เขาได้ทำการทดสอบการเจาะสำหรับองค์กรใด ๆ ที่มีขนาดและขอบเขตใกล้เคียงกับของคุณหรือไม่?
ผู้ทดสอบการเจาะมีประสบการณ์ประเภทใด? ตัวอย่างเช่นการทดสอบการเจาะเลเยอร์เครือข่ายเป็นต้น
คุณอาจขอข้อมูลอ้างอิงจากลูกค้ารายอื่นที่เขาทำงานให้
เมื่อจ้างผู้ทดสอบการเจาะสิ่งสำคัญคือต้องประเมินประสบการณ์การทดสอบในปีที่ผ่านมาขององค์กรที่เขา (ผู้ทดสอบ) ทำงานเนื่องจากเกี่ยวข้องกับเทคโนโลยีที่เขานำไปใช้โดยเฉพาะภายในสภาพแวดล้อมเป้าหมาย
นอกเหนือจากข้างต้นสำหรับสถานการณ์ที่ซับซ้อนและความต้องการของลูกค้าโดยทั่วไปขอแนะนำให้ประเมินความสามารถของผู้ทดสอบในการจัดการสภาพแวดล้อมที่คล้ายคลึงกันในโครงการก่อนหน้านี้ของเขา / เธอ
บทบาทของเครื่องทดสอบการเจาะ
ผู้ทดสอบการเจาะมีบทบาทดังต่อไปนี้ -
ระบุการจัดสรรเครื่องมือและเทคโนโลยีที่ไม่มีประสิทธิภาพ
การทดสอบระบบรักษาความปลอดภัยภายใน
ระบุการเปิดเผยเพื่อปกป้องข้อมูลที่สำคัญที่สุด
ค้นพบความรู้อันล้ำค่าเกี่ยวกับช่องโหว่และความเสี่ยงทั่วทั้งโครงสร้างพื้นฐาน
การรายงานและจัดลำดับความสำคัญของคำแนะนำในการแก้ไขเพื่อให้แน่ใจว่าทีมรักษาความปลอดภัยใช้เวลาของพวกเขาอย่างมีประสิทธิภาพสูงสุดในขณะเดียวกันก็ปกป้องช่องว่างด้านความปลอดภัยที่ใหญ่ที่สุด
ไม่จำเป็นที่ผู้ทดสอบการเจาะที่มีประสบการณ์จะสามารถเขียนรายงานที่ดีได้เนื่องจากการเขียนรายงานการทดสอบการเจาะเป็นศิลปะที่ต้องเรียนรู้แยกกัน
การเขียนรายงานคืออะไร?
ในการทดสอบการเจาะข้อมูลการเขียนรายงานเป็นงานที่ครอบคลุมซึ่งรวมถึงวิธีการขั้นตอนการอธิบายเนื้อหาและการออกแบบรายงานที่เหมาะสมตัวอย่างโดยละเอียดของรายงานการทดสอบและประสบการณ์ส่วนตัวของผู้ทดสอบ เมื่อจัดทำรายงานแล้วจะมีการแบ่งปันระหว่างเจ้าหน้าที่ผู้บริหารระดับสูงและทีมเทคนิคขององค์กรเป้าหมาย หากมีความต้องการเช่นนี้เกิดขึ้นในอนาคตรายงานนี้จะใช้เป็นข้อมูลอ้างอิง
ขั้นตอนการเขียนรายงาน
เนื่องจากมีงานเขียนที่ครอบคลุมการเขียนรายงานการเจาะจึงแบ่งออกเป็นขั้นตอนต่อไปนี้ -
- การวางแผนรายงาน
- การรวบรวมข้อมูล
- การเขียนร่างแรก
- ตรวจสอบและสรุปผล
การวางแผนรายงาน
การวางแผนรายงานเริ่มต้นด้วยวัตถุประสงค์ซึ่งช่วยให้ผู้อ่านเข้าใจประเด็นหลักของการทดสอบการเจาะ ส่วนนี้จะอธิบายว่าเหตุใดจึงดำเนินการทดสอบประโยชน์ของการทดสอบปากกาคืออะไร ฯลฯ ประการที่สองการวางแผนรายงานยังรวมถึงเวลาที่ใช้ในการทดสอบด้วย
องค์ประกอบหลักของการเขียนรายงาน ได้แก่ -
Objectives - อธิบายวัตถุประสงค์โดยรวมและประโยชน์ของการทดสอบปากกา
Time- การรวมเวลามีความสำคัญมากเนื่องจากจะให้สถานะที่ถูกต้องของระบบ สมมติว่าหากมีสิ่งผิดปกติเกิดขึ้นในภายหลังรายงานนี้จะช่วยผู้ทดสอบเนื่องจากรายงานจะแสดงให้เห็นถึงความเสี่ยงและช่องโหว่ในขอบเขตการทดสอบการเจาะในช่วงเวลาที่กำหนด
Target Audience - รายงานการทดสอบปากกาจำเป็นต้องมีกลุ่มเป้าหมายเช่นผู้จัดการความปลอดภัยของข้อมูลผู้จัดการเทคโนโลยีสารสนเทศหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลและทีมเทคนิค
Report Classification- เนื่องจากเป็นความลับสูงซึ่งมีที่อยู่ IP ของเซิร์ฟเวอร์ข้อมูลแอปพลิเคชันช่องโหว่ภัยคุกคามจึงจำเป็นต้องได้รับการจัดประเภทอย่างเหมาะสม อย่างไรก็ตามการจำแนกประเภทนี้จำเป็นต้องทำบนพื้นฐานขององค์กรเป้าหมายซึ่งมีนโยบายการจำแนกประเภทข้อมูล
Report Distribution- จำนวนสำเนาและการแจกจ่ายรายงานควรระบุไว้ในขอบเขตงาน นอกจากนี้ยังต้องระบุด้วยว่าสามารถควบคุมฮาร์ดคอปปี้ได้โดยการพิมพ์สำเนาจำนวน จำกัด ที่แนบมาพร้อมหมายเลขและชื่อผู้รับ
การรวบรวมข้อมูล
เนื่องจากกระบวนการที่ซับซ้อนและยาวนานผู้ทดสอบปากกาจึงต้องพูดถึงทุกขั้นตอนเพื่อให้แน่ใจว่าเขารวบรวมข้อมูลทั้งหมดในทุกขั้นตอนของการทดสอบ นอกเหนือจากวิธีการแล้วเขายังต้องพูดถึงระบบและเครื่องมือผลการสแกนการประเมินช่องโหว่รายละเอียดการค้นพบของเขา ฯลฯ
การเขียนร่างแรก
เมื่อผู้ทดสอบพร้อมด้วยเครื่องมือและข้อมูลทั้งหมดตอนนี้เขาต้องเริ่มร่างแรก โดยพื้นฐานแล้วเขาต้องเขียนแบบร่างแรกในรายละเอียดโดยกล่าวถึงทุกสิ่งเช่นกิจกรรมกระบวนการและประสบการณ์ทั้งหมด
ตรวจสอบและสรุปผล
เมื่อร่างรายงานแล้วผู้ร่างรายงานจะต้องได้รับการตรวจสอบก่อนจากนั้นรุ่นพี่หรือเพื่อนร่วมงานที่อาจให้ความช่วยเหลือเขา ในระหว่างการตรวจสอบผู้ตรวจสอบควรตรวจสอบทุกรายละเอียดของรายงานและค้นหาข้อบกพร่องที่ต้องได้รับการแก้ไข
เนื้อหาของรายงานการทดสอบการเจาะ
ต่อไปนี้เป็นเนื้อหาทั่วไปของรายงานการทดสอบการเจาะ -
บทสรุปผู้บริหาร
ระเบียบวิธี
การค้นพบรายละเอียด
อ้างอิง
|
การเติบโตอย่างรวดเร็วของอินเทอร์เน็ตทำให้วิถีชีวิตของทุกคนเปลี่ยนไป ทุกวันนี้งานส่วนตัวและงานสาธารณะส่วนใหญ่ขึ้นอยู่กับอินเทอร์เน็ต แผนการทำงานที่เป็นความลับทั้งหมดของรัฐบาลและการดำเนินการจะใช้อินเทอร์เน็ต สิ่งเหล่านี้ทำให้ชีวิตเรียบง่ายและเข้าถึงได้ง่าย
แต่ด้วยข่าวดีก็ยังมีการพัฒนานี้หน้ามืดเช่นแฮกเกอร์อาชญากร ไม่มีข้อ จำกัด ทางภูมิรัฐศาสตร์สำหรับแฮกเกอร์อาชญากรเหล่านี้พวกเขาสามารถแฮ็กระบบใดก็ได้จากส่วนใดส่วนหนึ่งของโลก พวกเขาสามารถทำลายข้อมูลที่เป็นความลับและประวัติเครดิตได้อย่างเลวร้าย
ดังนั้นเพื่อป้องกันแฮกเกอร์อาชญากรแนวคิดของแฮกเกอร์ที่มีจริยธรรมจึงพัฒนาขึ้น บทนี้จะกล่าวถึงแนวคิดและบทบาทของแฮ็กเกอร์ที่มีจริยธรรม
แฮกเกอร์ที่มีจริยธรรมคือใคร?
แฮกเกอร์ที่มีจริยธรรมคือผู้เชี่ยวชาญด้านคอมพิวเตอร์ที่ได้รับอนุญาตตามกฎหมายให้แฮ็กระบบคอมพิวเตอร์โดยมีวัตถุประสงค์เพื่อป้องกันแฮกเกอร์ที่เป็นอาชญากร แฮ็กเกอร์ที่มีจริยธรรมจะระบุช่องโหว่และความเสี่ยงของระบบและแนะนำวิธีกำจัด
แฮกเกอร์อาชญากรคือใคร?
แฮกเกอร์อาชญากรคือผู้เชี่ยวชาญด้านการเขียนโปรแกรมคอมพิวเตอร์ที่แฮ็กระบบของผู้อื่นโดยมีเจตนาที่จะขโมยข้อมูลขโมยเงินทำให้เสียเครดิตผู้อื่นทำลายข้อมูลผู้อื่นแบล็กเมล์ใครบางคน ฯลฯ
แฮกเกอร์อาชญากรทำอะไรได้บ้าง?
เมื่อระบบถูกแฮ็กแฮกเกอร์อาชญากรสามารถทำอะไรก็ได้กับระบบนั้น CC Palmer สองภาพต่อไปนี้ซึ่งเผยแพร่บน pdf.textfiles.com แสดงตัวอย่างง่ายๆของหน้าที่ถูกแฮ็ก -
นี่คือภาพหน้าจอของหน้าเว็บที่ถ่ายก่อนที่จะถูกแฮ็ก -
และนี่คือภาพหน้าจอของหน้าเว็บเดียวกันหลังจากถูกแฮ็ก -
อะไรคือชุดทักษะของแฮกเกอร์ที่มีจริยธรรม?
แฮ็กเกอร์ที่มีจริยธรรมผู้เชี่ยวชาญมีชุดทักษะต่อไปนี้เพื่อแฮ็กระบบอย่างมีจริยธรรม
พวกเขาต้องน่าเชื่อถือ
ไม่ว่าความเสี่ยงและช่องโหว่ใดที่พวกเขาค้นพบขณะทดสอบระบบพวกเขาต้องเก็บไว้เป็นความลับ
ลูกค้าให้ข้อมูลที่เป็นความลับเกี่ยวกับโครงสร้างพื้นฐานของระบบเช่นที่อยู่ IP รหัสผ่านเป็นต้นแฮกเกอร์ที่มีจริยธรรมจำเป็นต้องเก็บข้อมูลนี้ไว้เป็นความลับ
แฮกเกอร์ที่มีจริยธรรมจะต้องมีความรู้ด้านการเขียนโปรแกรมคอมพิวเตอร์ระบบเครือข่ายและฮาร์ดแวร์เป็นอย่างดี
พวกเขาควรมีทักษะในการวิเคราะห์ที่ดีเพื่อวิเคราะห์สถานการณ์และคาดเดาความเสี่ยงล่วงหน้า
พวกเขาควรมีทักษะในการจัดการควบคู่ไปกับความอดทนเนื่องจากการทดสอบปากกาอาจใช้เวลาหนึ่งวันหนึ่งสัปดาห์หรือมากกว่านั้น
แฮกเกอร์ที่มีจริยธรรมทำอะไร
แฮกเกอร์ที่มีจริยธรรมในขณะที่ทำการทดสอบการเจาะระบบโดยทั่วไปพยายามค้นหาคำตอบของคำถามต่อไปนี้ -
- อะไรคือจุดอ่อนที่แฮกเกอร์อาชญากรสามารถโจมตีได้?
- แฮกเกอร์อาชญากรสามารถมองเห็นอะไรในระบบเป้าหมายได้บ้าง?
- แฮกเกอร์อาชญากรสามารถทำอะไรกับข้อมูลที่เป็นความลับนั้นได้?
ยิ่งไปกว่านั้นแฮ็กเกอร์ที่มีจริยธรรมจำเป็นต้องจัดการกับช่องโหว่และความเสี่ยงอย่างเพียงพอซึ่งเขาพบว่ามีอยู่ในระบบเป้าหมาย เขาจำเป็นต้องอธิบายและแนะนำขั้นตอนการหลีกเลี่ยง สุดท้ายจัดทำรายงานขั้นสุดท้ายเกี่ยวกับกิจกรรมทางจริยธรรมทั้งหมดของเขาที่เขาทำและสังเกตขณะทำการทดสอบการเจาะ
ประเภทของแฮกเกอร์
โดยปกติแฮกเกอร์แบ่งออกเป็นสามประเภท
แฮกเกอร์หมวกดำ
"แฮ็กเกอร์หมวกดำ" คือบุคคลที่มีซอฟต์แวร์คอมพิวเตอร์และฮาร์ดแวร์มากมายและจุดประสงค์ของเขาคือการละเมิดหรือหลีกเลี่ยงการรักษาความปลอดภัยอินเทอร์เน็ตของบุคคลอื่น แฮ็กเกอร์หมวกดำยังได้รับความนิยมในฐานะนักแคร็กเกอร์หรือแฮกเกอร์ด้านมืด
แฮกเกอร์หมวกขาว
คำว่า "แฮ็กเกอร์หมวกขาว" หมายถึงแฮ็กเกอร์คอมพิวเตอร์ที่มีจริยธรรมซึ่งเป็นผู้เชี่ยวชาญด้านความปลอดภัยของคอมพิวเตอร์ผู้เชี่ยวชาญในการทดสอบการเจาะระบบและวิธีการทดสอบอื่น ๆ ที่เกี่ยวข้อง บทบาทหลักของเขาคือการรักษาความปลอดภัยของระบบข้อมูลขององค์กร
แฮ็กเกอร์หมวกสีเทา
คำว่า "แฮ็กเกอร์หมวกสีเทา" หมายถึงแฮ็กเกอร์คอมพิวเตอร์ที่เจาะระบบรักษาความปลอดภัยของคอมพิวเตอร์ซึ่งมาตรฐานทางจริยธรรมนั้นตกอยู่ระหว่างหลักจริยธรรมและเจตนาร้าย แต่เพียงผู้เดียว
การทดสอบการเจาะมีความเกี่ยวข้องอย่างใกล้ชิดกับการแฮ็กตามหลักจริยธรรมดังนั้นคำศัพท์ทั้งสองนี้จึงมักใช้แทนกันได้ อย่างไรก็ตามมีเส้นบาง ๆ ของความแตกต่างระหว่างสองคำนี้ บทนี้ให้ข้อมูลเชิงลึกเกี่ยวกับแนวคิดพื้นฐานและความแตกต่างพื้นฐานระหว่างการทดสอบการเจาะและการแฮ็กตามหลักจริยธรรม
การทดสอบการเจาะ
การทดสอบการเจาะเป็นคำเฉพาะและมุ่งเน้นเฉพาะการค้นหาช่องโหว่ความเสี่ยงและสภาพแวดล้อมเป้าหมายโดยมีวัตถุประสงค์เพื่อรักษาความปลอดภัยและควบคุมระบบ หรือกล่าวอีกนัยหนึ่งการทดสอบการเจาะจะกำหนดเป้าหมายระบบป้องกันขององค์กรที่ประกอบด้วยระบบคอมพิวเตอร์และโครงสร้างพื้นฐานทั้งหมด
การแฮ็กอย่างมีจริยธรรม
ในทางกลับกันการแฮ็กตามหลักจริยธรรมเป็นคำที่ครอบคลุมเทคนิคการแฮ็กทั้งหมดและเทคนิคการโจมตีคอมพิวเตอร์อื่น ๆ ที่เกี่ยวข้อง ดังนั้นพร้อมกับการค้นพบข้อบกพร่องและช่องโหว่ด้านความปลอดภัยและการรับรองความปลอดภัยของระบบเป้าหมายจึงเป็นมากกว่าการแฮ็กระบบ แต่ได้รับอนุญาตเพื่อป้องกันความปลอดภัยสำหรับวัตถุประสงค์ในอนาคต ดังนั้นเราสามารถทำได้มันเป็นคำที่ครอบคลุมและการทดสอบการเจาะเป็นหนึ่งในคุณสมบัติของการแฮ็กอย่างมีจริยธรรม
ต่อไปนี้เป็นข้อแตกต่างที่สำคัญระหว่างการทดสอบการเจาะและการแฮ็กอย่างมีจริยธรรมซึ่งแสดงอยู่ในตารางต่อไปนี้ -
การทดสอบการเจาะ | การแฮ็กอย่างมีจริยธรรม |
---|---|
คำที่แคบมุ่งเน้นไปที่การทดสอบการเจาะเพื่อรักษาความปลอดภัยของระบบรักษาความปลอดภัยเท่านั้น | คำศัพท์ที่ครอบคลุมและการทดสอบการเจาะเป็นหนึ่งในคุณสมบัติ |
โดยพื้นฐานแล้วผู้ทดสอบจำเป็นต้องมีความรู้ที่ครอบคลุมในทุกสิ่งค่อนข้างจำเป็นต้องมีความรู้เฉพาะด้านที่เขาทำการทดสอบด้วยปากกา | แฮ็กเกอร์ที่มีจริยธรรมจำเป็นต้องมีความรู้ที่ครอบคลุมเกี่ยวกับการเขียนโปรแกรมซอฟต์แวร์และฮาร์ดแวร์ |
ผู้ทดสอบไม่จำเป็นต้องเป็นนักเขียนรายงานที่ดี | แฮ็กเกอร์ที่มีจริยธรรมจำเป็นต้องเป็นผู้เชี่ยวชาญในการเขียนรายงาน |
ผู้ทดสอบที่มีปัจจัยการทดสอบการเจาะบางส่วนสามารถทำการทดสอบปากกาได้ | ต้องเป็นผู้เชี่ยวชาญที่เชี่ยวชาญในเรื่องนี้ซึ่งได้รับการรับรองบังคับว่าการแฮ็กตามหลักจริยธรรมจึงจะมีประสิทธิภาพ |
กระดาษทำงานน้อยกว่าเมื่อเทียบกับการแฮ็กอย่างมีจริยธรรม | จำเป็นต้องมีงานกระดาษโดยละเอียดรวมถึงข้อตกลงทางกฎหมายเป็นต้น |
ในการทดสอบประเภทนี้ต้องใช้เวลาน้อยลง | การแฮ็กอย่างมีจริยธรรมต้องใช้เวลาและความพยายามอย่างมากเมื่อเทียบกับการทดสอบการเจาะ |
Normally, accessibility of whole computer systems and its infrastructure doesn’t require. Accessibility is required only for the part for which the tester performing pen testing. | As per the situation, it normally requires a whole range of accessibility all computer systems and its infrastructure. |
Since penetration techniques are used to protect from threats, the potential attackers are also swiftly becoming more and more sophisticated and inventing new weak points in the current applications. Hence, a particular sort of single penetration testing is not sufficient to protect your security of the tested systems.
As per the report, in some cases, a new security loophole is discovered and successful attack took place immediately after the penetration testing. However, it does not mean that the penetration testing is useless. It only means that, this is true that with thorough penetration testing, there is no guarantee that a successful attack will not take place, but definitely, the test will substantially reduce the possibility of a successful attack.
Because of the swift pace of developments in the field of information and technology, the success story of penetration testing is comparatively short-lived. As more protection to the systems is required, more often than you need to perform penetration testing in order to diminish the possibility of a successful attack to the level that is appreciated by the company.
Following are the major limitations of Penetration Testing −
Limitation of Time − As all of us know, penetration testing is not at all time bound exercise; nevertheless, experts of penetration testing have allotted a fixed amount of time for each test. On the other hand, attackers have no time constrains, they plan it in a week, month, or even years.
Limitation of Scope − Many of the organizations do not test everything, because of their own limitations, including resource constraints, security constraints, budget constraints, etc. Likewise, a tester has limited scope and he has to leave many parts of the systems that might be much more vulnerable and can be a perfect niche for the attacker.
Limitation on Access − More often testers have restricted access to the target environment. For example, if a company has carried out the penetration test against its DMZ systems from all across its internet networks, but what if the attackers attack through the normal internet gateway.
Limitation of Methods − There are chances that the target system can crash during a penetration test, so some of the particular attack methods would likely be turned off the table for a professional penetration tester. For example, producing a denial of service flood to divert a system or network administrator from another attack method, usually an ideal tactic for a really bad guy, but it is likely to fall outside of the rules of engagement for most of the professional penetration testers.
Limitation of Skill-sets of a Penetration Tester − Usually, professional penetration testers are limited as they have limited skills irrespective of their expertise and past experience. Most of them are focused on a particular technology and having rare knowledge of other fields.
Limitation of Known Exploits − Many of the testers are aware with only those exploits, which are public. In fact, their imaginative power is not as developed as attackers. Attackers normally think much beyond a tester’s thinking and discover the flaw to attack.
Limitation to Experiment − Most of the testers are time bound and follow the instructions already given to them by their organization or seniors. They do not try something new. They do not think beyond the given instructions. On the other hand, attackers are free to think, to experiment, and to create some new path to attack.
ยิ่งไปกว่านั้นการทดสอบการเจาะไม่สามารถแทนที่การทดสอบความปลอดภัยด้านไอทีตามปกติและไม่สามารถทดแทนนโยบายความปลอดภัยทั่วไปได้ แต่การทดสอบการเจาะจะช่วยเสริมขั้นตอนการตรวจสอบที่กำหนดไว้และค้นพบภัยคุกคามใหม่ ๆ
ความพยายามในการทดสอบการเจาะ - ไม่ว่าจะเป็นไปอย่างละเอียดถี่ถ้วน - ไม่สามารถรับประกันได้ว่าจะมีการค้นพบทุกอินสแตนซ์อย่างละเอียดถี่ถ้วนซึ่งประสิทธิภาพของการควบคุมความปลอดภัยไม่เพียงพอ การระบุช่องโหว่ในการเขียนสคริปต์ข้ามไซต์หรือความเสี่ยงในพื้นที่หนึ่งของแอปพลิเคชันอาจไม่ทำให้เกิดช่องโหว่นี้ในแอปพลิเคชันทั้งหมดอย่างแน่นอน บทนี้แสดงให้เห็นถึงแนวคิดและประโยชน์ของการแก้ไข
Remediation คืออะไร?
การแก้ไขคือการเสนอการปรับปรุงเพื่อแทนที่ความผิดพลาดและทำให้ถูกต้อง บ่อยครั้งการปรากฏตัวของช่องโหว่ในพื้นที่หนึ่งอาจบ่งบอกถึงจุดอ่อนในกระบวนการหรือแนวทางปฏิบัติในการพัฒนาที่อาจจำลองหรือเปิดใช้งานช่องโหว่ที่คล้ายกันในตำแหน่งอื่น ดังนั้นในขณะที่ตรวจสอบใหม่ผู้ทดสอบจะต้องตรวจสอบเอนทิตีหรือแอปพลิเคชันที่ทดสอบอย่างรอบคอบโดยคำนึงถึงการควบคุมความปลอดภัยที่ไม่มีประสิทธิภาพ
ด้วยเหตุผลเหล่านี้ บริษัท ที่เกี่ยวข้องควรดำเนินการเพื่อแก้ไขช่องโหว่ที่ถูกแสวงหาประโยชน์ภายในระยะเวลาที่เหมาะสมหลังจากการทดสอบการเจาะระบบเดิม ในความเป็นจริงทันทีที่ บริษัท ทำตามขั้นตอนเหล่านี้เสร็จสิ้นผู้ทดสอบปากกาควรทำการทดสอบซ้ำเพื่อตรวจสอบความถูกต้องของการควบคุมที่นำมาใช้ใหม่ซึ่งสามารถลดความเสี่ยงเดิมได้
ความพยายามในการแก้ไขที่ขยายออกไปเป็นระยะเวลานานขึ้นหลังจากการทดสอบปากกาครั้งแรกอาจจำเป็นต้องดำเนินการทดสอบใหม่เพื่อให้แน่ใจว่าได้ผลลัพธ์ที่ถูกต้องของสภาพแวดล้อมปัจจุบันที่สุด การตัดสินใจนี้ควรทำหลังจากการวิเคราะห์ความเสี่ยงว่ามีการเปลี่ยนแปลงมากน้อยเพียงใดนับตั้งแต่การทดสอบเดิมเสร็จสิ้น
ยิ่งไปกว่านั้นในเงื่อนไขเฉพาะปัญหาด้านความปลอดภัยที่ถูกตั้งค่าสถานะอาจแสดงถึงข้อบกพร่องพื้นฐานในสภาพแวดล้อมหรือแอปพลิเคชันที่เกี่ยวข้อง ดังนั้นขอบเขตของการทดสอบซ้ำควรพิจารณาว่าการเปลี่ยนแปลงใด ๆ ที่เกิดจากการแก้ไขที่ระบุจากการทดสอบนั้นจัดอยู่ในประเภทที่มีนัยสำคัญหรือไม่ การเปลี่ยนแปลงทั้งหมดควรได้รับการทดสอบอีกครั้ง อย่างไรก็ตามการทดสอบซ้ำทั้งระบบจำเป็นหรือไม่นั้นจะพิจารณาจากการประเมินความเสี่ยงของการเปลี่ยนแปลง
ก่อนที่จะอนุญาตให้ผู้อื่นทดสอบข้อมูลที่ละเอียดอ่อนโดยปกติ บริษัท ต่างๆจะใช้มาตรการเกี่ยวกับความพร้อมใช้งานการรักษาความลับและความสมบูรณ์ของข้อมูล เพื่อให้ข้อตกลงนี้มีผลบังคับใช้การปฏิบัติตามกฎหมายเป็นกิจกรรมที่จำเป็นสำหรับองค์กร
กฎระเบียบทางกฎหมายที่สำคัญที่สุดที่ต้องปฏิบัติเมื่อสร้างและรักษาระบบความปลอดภัยและการอนุญาตแสดงไว้ด้านล่างในบริบทสำหรับใช้ในการทดสอบการเจาะระบบ
ปัญหาทางกฎหมายคืออะไร?
ต่อไปนี้เป็นปัญหาบางอย่างที่อาจเกิดขึ้นระหว่างผู้ทดสอบและลูกค้าของเขา -
ลูกค้าของเขาไม่รู้จักผู้ทดสอบ - ดังนั้นเขาควรได้รับการเข้าถึงข้อมูลที่ละเอียดอ่อนในด้านใด
ใครจะเป็นผู้รับประกันความปลอดภัยของข้อมูลที่สูญหาย?
ลูกค้าอาจตำหนิว่าข้อมูลสูญหายหรือเป็นความลับต่อผู้ทดสอบ
การทดสอบการเจาะอาจส่งผลต่อประสิทธิภาพของระบบและอาจทำให้เกิดปัญหาการรักษาความลับและความสมบูรณ์ ดังนั้นนี่จึงสำคัญมากแม้ในการทดสอบการเจาะภายในซึ่งดำเนินการโดยเจ้าหน้าที่ภายในเพื่อขออนุญาตเป็นลายลักษณ์อักษร ควรมีข้อตกลงเป็นลายลักษณ์อักษรระหว่างผู้ทดสอบและ บริษัท / องค์กร / บุคคลเพื่อชี้แจงประเด็นทั้งหมดเกี่ยวกับความปลอดภัยของข้อมูลการเปิดเผยข้อมูล ฯลฯ ก่อนเริ่มการทดสอบ
ก statement of intentควรจัดทำและลงนามอย่างถูกต้องโดยทั้งสองฝ่ายก่อนการทดสอบใด ๆ ควรระบุไว้อย่างชัดเจนว่าขอบเขตของงานและสิ่งนั้นคุณอาจและอาจไม่ได้ทำขณะทำการทดสอบช่องโหว่
สำหรับผู้ทดสอบสิ่งสำคัญคือต้องทราบว่าใครเป็นเจ้าของธุรกิจหรือระบบที่ได้รับการร้องขอให้ทำงานและโครงสร้างพื้นฐานระหว่างระบบทดสอบกับเป้าหมายที่อาจได้รับผลกระทบจากการทดสอบด้วยปากกา แนวคิดคือเพื่อให้แน่ใจว่า
the tester ได้รับอนุญาตเป็นลายลักษณ์อักษรพร้อมพารามิเตอร์ที่กำหนดไว้อย่างชัดเจน
the company มีรายละเอียดของเครื่องทดสอบปากกาและความมั่นใจว่าเขาจะไม่รั่วไหลข้อมูลที่เป็นความลับ
ข้อตกลงทางกฎหมายเป็นประโยชน์สำหรับทั้งสองฝ่าย โปรดจำไว้ว่ากฎข้อบังคับมีการเปลี่ยนแปลงในแต่ละประเทศดังนั้นโปรดปฏิบัติตามกฎหมายของประเทศนั้น ๆ ลงนามในข้อตกลงหลังจากพิจารณากฎหมายที่เกี่ยวข้องเท่านั้น