Sızma Testi - Sınırlamalar
Bilgi ve teknoloji alanındaki gelişmelerin hızlı temposu nedeniyle, penetrasyon testinin başarı öyküsü nispeten kısa ömürlüdür. Sistemler için daha fazla koruma gerektiğinden, başarılı bir saldırı olasılığını şirket tarafından takdir edilen düzeye indirmek için sızma testi yapmanız gerekenden daha sık gerekir.
Aşağıdakiler, Sızma Testinin başlıca sınırlamalarıdır -
Limitation of Time- Hepimizin bildiği gibi, sızma testi her zaman bağlı bir egzersiz değildir; yine de, sızma testi uzmanları her test için sabit bir süre ayırmıştır. Öte yandan, saldırganların zaman kısıtlaması yoktur, bunu bir hafta, ay ve hatta yıllar içinde planlarlar.
Limitation of Scope - Kuruluşların çoğu, kaynak kısıtlamaları, güvenlik kısıtlamaları, bütçe kısıtlamaları vb. Dahil olmak üzere kendi sınırlamaları nedeniyle her şeyi test etmez. Benzer şekilde, bir test uzmanı sınırlı bir kapsama sahiptir ve sistemlerin çok daha fazlası olabilecek birçok parçasını bırakmak zorundadır. savunmasızdır ve saldırgan için mükemmel bir niş olabilir.
Limitation on Access- Daha sıklıkla test uzmanları hedef ortama erişimi kısıtlamıştır. Örneğin, bir şirket DMZ sistemlerine karşı tüm internet ağlarından sızma testi gerçekleştirdiyse, ancak saldırganlar normal internet ağ geçidi üzerinden saldırırsa ne olur?
Limitation of Methods- Bir penetrasyon testi sırasında hedef sistemin çökme ihtimali vardır, bu nedenle belirli saldırı yöntemlerinden bazıları, profesyonel bir penetrasyon test cihazı için büyük olasılıkla masadan kaldırılabilir. Örneğin, bir sistem veya ağ yöneticisini başka bir saldırı yönteminden başka bir saldırı yönteminden yönlendirmek için bir hizmet reddi selinin üretilmesi, genellikle gerçekten kötü bir adam için ideal bir taktiktir, ancak çoğu profesyonel sızma testi uzmanının angajman kurallarının dışına çıkması muhtemeldir. .
Limitation of Skill-sets of a Penetration Tester- Genellikle, uzmanlık ve geçmiş deneyimlerinden bağımsız olarak sınırlı becerilere sahip oldukları için profesyonel sızma testi uzmanları sınırlıdır. Çoğu belirli bir teknolojiye odaklanmıştır ve diğer alanlar hakkında nadiren bilgiye sahiptir.
Limitation of Known Exploits- Test uzmanlarının çoğu, yalnızca halka açık olan istismarların farkındadır. Aslında, hayal güçleri saldırganlar kadar gelişmiş değil. Saldırganlar normalde bir test edenin düşüncesinin çok ötesinde düşünür ve saldırmanın kusurunu keşfeder.
Limitation to Experiment- Test uzmanlarının çoğu zaman sınırlıdır ve kuruluşları veya yaşlıları tarafından kendilerine zaten verilen talimatları izler. Yeni bir şey denemiyorlar. Verilen talimatların ötesinde düşünmezler. Öte yandan, saldırganlar düşünme, deneme ve saldırı için yeni bir yol oluşturma özgürlüğüne sahiptir.
Dahası, sızma testi rutin BT güvenlik testlerinin yerini alamaz ve genel bir güvenlik politikasının yerini alamaz, bunun yerine sızma testi yerleşik gözden geçirme prosedürlerini tamamlar ve yeni tehditleri keşfeder.