侵入テストが重要な理由

レッドチームのテストを通じて得られた重要な利点の1つは、セキュリティ担当者が実際の侵入に対処する実体験を提供できることです。会社は実際にすべての重要なポリシーを実施しているかもしれませんが、彼らが実際にネットワーク内の攻撃者に対処する必要があるまで、彼らはどのように進むかについて確信がないかもしれません。消防訓練と同様に、侵入テストでは、通常とは異なる環境でどのように進めるかについての作業戦略を開発できます。

たとえば、外部からの攻撃の防止と検出については多くの注意が払われていますが、ネットワークから攻撃者をremoveする方法はほとんど禁止されていません。この種のイベントに対処する必要がない場合、セキュリティ担当者は、重要なインフラストラクチャの整合性と運用を保護しながら、攻撃者を排除するための最良の方法を推測することになる場合があります。実社会の攻撃者は、この経験不足を利用して、クリーンアップが完了したと推定された後でもアクセスを維持することができます。

監査では、筆記試験と同じ問題の多くを検出しますが、その結果は決定的ではありません。ペンテスター（ハッカー）はあなたのシステムにアクセスするのに十分なスキルを持っていないかもしれませんが、彼らがそうであればそれは明白でしょう。

ただし、最も重要な違いは考え方です。セキュリティチームと監査人は、物作りの観点から物事を調べる傾向があります。言い換えれば、彼らは大きな不要な装置を作成する傾向があります。構造が大きいほど、含まれる可能性のある脆弱性が多くなります。

ペンテスターは反対のアプローチをとります。彼らはシステムを作ることに興味がなく、それを壊すだけです。彼らはソーシャルエンジニアリングを含む、あらゆるアクセス手段に注意するように自分自身を訓練しました。

これらすべてを組み合わせることで、ペンテスターは確実にセキュリティを確保できます。

最後のポイントとして、ハッキングは創造性に関するものです。セキュリティチームやペンテスターは、監査人よりも創造的である可能性が高いと考えています。

これが私の主張を明確に示しているといいのですが。

触れられていないもう一つの重要な側面はcostです。したがって、社内にソフトウェアセキュリティグループが存在しないという事実を考えると、企業がセキュリティの高さを監査できる唯一の方法は、その仕事のためにコンサルタントを雇うことによるPen-Testsを使用することです。これで、ペンテストを適切に実行すると結果が得られます。 AFAIK、ペンテストは、セキュリティの状態を評価する最も安価な方法です。静的コード分析用のアプリはいくつかありますが、これらのアプリケーションのライセンスは高額であり、誤検知を識別できる人物も必要です。