web-dev-qa-db-ja.com

ペンテスターとは?

私は2人のペンテスターに​​、彼らが何をしているのか正確に尋ねました。

彼らの1人は、内部サーバーにアクセスするためにソフトウェアのエクスプロイトを見つけようとすることだけをしていると私に言っています。

もう1人は、社内のコンピューターにアクセスするために、会社のポリシーやソーシャルエンジニアに穴を見つけようとしていると述べています。

また、会社のソフトウェアを介してアクセスし、悪意のあるソフトウェアを自分でインストールしようとしたり、会社の人々に悪意のあるソフトウェアをインストールさせたりすることも扱います。

このウェブサイトができるまではペンテスターの存在を知りませんでしたが、今はその分野に興味がありましたが、ペンテスターに​​なりたいかどうかは、彼らが何であるかがわかるまでわかりません。行う。私が理解している限りでは、会社のコンピュータにアクセスするのはペンテスターの仕事です。しかし、バイトコードなどを読み取って侵入しようとするのか、それとも社内の人々を利用して侵入するのか?

また、ペンテストのキャリアを検討するためのいくつかの原則をどこで学べますか?

私は this の答えを見ましたが、それは私の好みのために十分に詳細ではありませんでした。

12
Quillion

侵入テスト担当者の仕事は、セキュリティの欠陥を実証して文書化することです。

通常の状況では、ペンテスターは偵察を実行していくつかの脆弱性を見つけ、それらの脆弱性を利用してアクセスし、システムの安全性を証明するために価値のある小さなデータを抽出します。

多くの場合、データの一部は、問題の修正を検討している会社の売り込みの一部です。脆弱性を確認し、上司にファイアウォールをアップグレードするために$ 10,000を要求することは1つのことです。上司に言うのは別のことです。「これらの結果を確認すると、テスターはクレジットカード番号を入手できました。これは、100万ドルの賠償責任訴訟が発生するのを待っています。ファイアウォールをアップグレードするために10,000ドルください。」

これはテスターが利用する脆弱性を示すものではなく、テスターはソーシャルエンジニアリング攻撃からWiFiスニファー、物理的な侵入まで何でも自由に試行できることに注意してください。

ただし、ペンテスターは通常、制限または境界内で作業する必要があります。多くの場合、これはクライアントの要求によるものです:「私たちのネットワークに入ることができるかできないかを示してください。しかし、フィッシングメールを従業員に送信しないでください。」また、セキュリティ会社は、特定の種類のマルウェアをインストールしないというポリシーを持っている場合があります。 (たとえば、ペンテスターがボットネットクライアントをインストールしたり、ルートキットの背後に自分のトラックを隠したりする理由はほとんどありません。ただし、ボットネットとルートキットをスキャンする必要があることを証明している場合を除きます。)

一部のクライアントは、「アプリケーションサーバーのセキュリティをテストするだけ」など、テストに多くの制限を課します。これらのクライアントは、購入した魔法のファイアウォールによってハッカーが阻止され、考えられるあらゆる形態の外部攻撃からアプリサーバーを保護するという印象を受ける可能性があります。または、ファイアウォールの防御に焦点を当てた別のチームと、ソーシャルエンジニアリングの意識向上キャンペーンに取り組んでいる3番目のチームがいる可能性もあります。クライアントは、ペンテスターに​​貴重なデータを漏らさないように依頼する場合もあります。穴自体の知識で十分です。

どちらの方法でも、テスターがより効果的な搾取の道を特定できる場合でも、ペンテスターは指定された制限内に注意深く留まる必要があります。ペンテスターは、「犯罪者ハッカー」と見なされることが多いため、通常、しぶしぶ信頼感を与えられます。彼らが利用したすべての欠陥を注意深く文書化して公開することにより、彼らはプロフェッショナリズムを通じて信頼を得ています。テスターは、探索する権限がない欠陥を見つけた場合、指摘する必要がありますが、最初に許可を得ない限り、探索しないでください。

また、ペンテスターの目的は「悪意のあるソフトウェアのインストール」ではないことに注意してください。目標は、価値のあるセキュリティ保護情報(クレジットカード、企業秘密、マーケティング計画、サーバー管理など)の妥当性を実証することです。マルウェアは、ハッカーが使用する手法の1つにすぎません。

手始めに、私はあなたが家でそしてオンラインで何ができるかを読んで、練習して、学ぶことを勧めます。 Certified Ethical Hackerの本と利用可能なトレーニングを確認してください。地域、地域、または国家の安全会議やイベントに参加してみてください。 OWASPのような地元の「ホワイトハット」グループがあり、参加できる会議や出会える人がいる場合があります。また、近くに「グレーハット」のDEFCONの章があるかもしれません。これらも、学ぶことができる人々です。これらは、あなたに適性やスキルがあれば、ビジネスへの参入を支援できる可能性のあるすべての人々です。

13
John Deters

言われたように、ペンテスターはある種または別の種類のセキュリティ防御を突破しようとする誰かだけです。人々はあらゆる種類のことを専門とし、それがあなたの混乱につながるのはその専門性です。

かなり頻繁に、クライアントがペンテスターの練習の範囲に制限を課すことは注目に値します。彼らは、ネットワーク、物理的なセキュリティ、または疑わしいキャラクターに対する受付スタッフの反応をテストするために誰かを雇うかもしれません。したがって、2つのジョブの違いは、クライアントが実行したいことです。

非常に広い分野である可能性があるため、より具体的な答えを出すのは実際には不可能です。人々は、ファイアウォールやネットワークから軍事施設の物理的なセキュリティ対策まで、あらゆる種類のセキュリティシステムでペンテストを行います。

4
Owen

幅広い分野です。名前はそれを正確に表しています-存在すべきでない侵入の可能性をテストするためです。

したがって、最初の例を挙げれば、誰かがファイルサーバーに対して「ペンテスト」を実行するように雇われている場合、彼は実際にすべての時間を費やして、パッチが適用されていないSAMBAエクスプロイトが使用できるかどうかを確認する可能性があります。

2番目の例をとると、企業は、スタッフの認識、内部セキュリティ、およびポリシー/手順の脆弱な領域の概要を知りたい場合があります。ペンテスターは、フィッシングやスピアフィッシングの電子メール、駐車場にマルウェアが残っているUSBドライブ、建物に侵入し、ITスタッフを装った受付係に電話をかけて、さまざまな一般的な手法を試します。

したがって、ペンテストには、非常に技術的な側面と人間的な側面、そしてその間のすべてについて、あなたが尋ねた両方の側面が関係しています。

始めるには、ITセキュリティのエントリーレベルの地位を試し、取得することをお勧めします。

2
scuzzy-delta