web-dev-qa-db-ja.com

侵入テストと脆弱性評価の違いは何ですか?

侵入テストと脆弱性評価の違いは何ですか?

なぜどちらを選ぶのですか?

どのような成果物を受け取り、その品質をどのように評価しますか?

30
Sim

私は以前にこれに対する答えを投稿したと確信していますが、私のgoogle-fuは今朝は弱いはずです。ペネトレーション分類法に関する私のブログ投稿から、受け入れられるテストタイプのリストがあります。また、侵入テスト実行標準と連携して、これをさらに発展させたいと考えています。このリストは、どちらを選択するかを説明するのに役立ちます。

成果物はほぼ別の問題であり、ニーズと対象者によって定義する必要があります(たとえば、ガバナンス機関の場合、技術的な改善チームに提供するのと同じ詳細を期待することはできませんが、ビジネスリスク情報を含める必要があります)。 。 PTES開発には、この領域をコード化するためのレポートストリームもあります。

発見

この段階の目的は、スコープ内のシステムと使用中のサービスを識別することです。脆弱性の発見を目的としたものではありませんが、バージョン検出により、ソフトウェア/ファームウェアの非推奨バージョンがハイライトされ、潜在的な脆弱性が示される場合があります。

脆弱性スキャン

発見段階に続いて、自動化ツールを使用して既知の脆弱性と条件を一致させることにより、既知のセキュリティ問題を探します。報告されたリスクレベルはツールによって自動的に設定され、テストベンダーによる手動の検証や解釈はありません。これは、提供された資格情報を使用してサービス(ローカルWindowsアカウントなど)で認証することにより、いくつかの一般的な誤検知を削除するように見える資格情報ベースのスキャンで補足できます。

脆弱性評価

これは、検出と脆弱性スキャンを使用してセキュリティの脆弱性を特定し、その結果をテスト環境のコンテキストに配置します。例としては、レポートから一般的な誤検知を削除し、ビジネスの理解とコンテキストを改善するために各レポート結果に適用する必要があるリスクレベルを決定することです。

セキュリティ評価

露出を確認するための手動検証を追加することにより、脆弱性評価に基づいていますが、さらなるアクセスを得るための脆弱性の悪用は含まれていません。検証は、システムへの承認されたアクセスの形式で行われ、システム設定を確認し、ログ、システム応答、エラーメッセージ、コードなどを調査する必要があります。セキュリティ評価は、テスト対象のシステムを広範囲にカバーすることを目的としています特定の脆弱性がもたらす可能性のある暴露の割合。

侵入テスト

侵入テストは、悪意のある当事者による攻撃をシミュレートします。前のステージに基づいて構築し、発見された脆弱性を利用してさらにアクセスできるようにします。このアプローチを使用すると、機密情報へのアクセスを取得し、データの整合性またはサービスの可用性とそれぞれの影響に影響を与える攻撃者の能力を理解できます。各テストは、一貫した完全な方法論を使用してアプローチされ、テスターが問題解決能力、さまざまなツールからの出力、およびネットワークとシステムに関する独自の知識を使用して、特定できない脆弱性を見つけることができます。自動化ツール。このアプローチは、より広い範囲を対象とするセキュリティ評価アプローチと比較して、攻撃の深さを調べます。

セキュリティ監査

監査/リスク機能によって駆動され、特定の制御またはコンプライアンスの問題を調べます。狭い範囲を特徴とするこのタイプのエンゲージメントは、前述のアプローチ(脆弱性評価、セキュリティ評価、侵入テスト)のいずれかを利用できます。

セキュリティレビュー

業界または内部のセキュリティ標準がシステムコンポーネントまたは製品に適用されていることの確認。これは通常、ギャップ分析を通じて完了し、ビルド/コードのレビューを利用するか、設計ドキュメントとアーキテクチャ図をレビューします。このアクティビティでは、以前のアプローチ(脆弱性評価、セキュリティ評価、侵入テスト、セキュリティ監査)は利用されません。

27
Rory Alsop

すでに提供されている回答に加えて、なぜあなたがどちらか一方を選ぶのかを詳しく説明します。脆弱性の評価は、現在のセキュリティ状況が不明で、問題がどこにあるのかを把握したい場合に、より役立ちます。

すべてのセキュリティ作業と同様に、脆弱性の評価がすべて同じように作成されているわけではないことに注意してください。ベンダーによっては、純粋にツールの出力に重点を置く場合もあり、他のベンダーはそれらの調査結果を検証および拡張するために、より多くの手動作業を行います。

それがあなたの目標であれば、@ RoryAlsopの回答で述べられている「セキュリティ評価」タイプのアプローチに焦点を当てます。

侵入テストは、古典的には、システムまたは組織のセキュリティを危険にさらそうとする攻撃者の行動を再現するように設計されています。そのため、これは、特定のシステムに適用されているセキュリティ制御に自信があり、その有効性を証明または反証したい組織にとってより適切である可能性があります。

ただし、攻撃者が誰であるかに応じて、このアプローチには問題があります。熟練した標的型攻撃者(組織犯罪など)を防御するコントロールを設計する場合、侵入テストを効果的に使用してそれらをチェックすることは非常に困難です。攻撃者が使用できる手法が含まれていないためです。

法的問題のために侵入テストでカバーすることが難しい領域の例としては、スタッフの自宅のPCをターゲットにしてリモートアクセス機能を侵害する、サポート目的でターゲットシステムにアクセスできるサードパーティパートナーを攻撃する、ボットネットを購入するなどがあります。ターゲット環境にゾンビがすでに存在している可能性があります。

したがって、両方のタイプのテストの制限に注意する価値がありますが、一般的な経験則は、VAであり、セキュリティ評価は、どれくらい安全であるかわからない場合に適しています。テストは、知ったらそれを証明するのに適しています。

11
Rory McCune

ほとんどの人にとって、それらは同じです。これが、PTESのような取り組みが失敗する理由です。変えたくない人は変えられません。

正しい質問は、「侵入テストと倫理的ハッキングの違いは何ですか?」です。

この質問への答えは、侵入テストには特定の賞があり、時間制限はなく、通常は長いエンゲージメントルールのリストであるというものです(ショートリストでは、身体的危害や脅迫は誰にも求められません)。倫理的ハッキングとは、可能な限り多くの欠陥が発見されるタイムボックス化されたアクティビティであり、通常は非物理的な方法のみを使用します。

「評価」、「監査」、および「テスト」は通常、情報セキュリティの分野では交換可能な言葉です。 「脆弱性」、「脅威」などの言葉は、通常、誤解され、誤解されています。 20年の経験、同じ背景、同じ資格を持つ専門家は、通常、これらの基本的な用語について議論します。誰かが「言う」または「考える」が正しい答えであることを無視することをお勧めします。代わりに、初心者との会話で用語を適用するときは、直感と常識に従ってください。

5
atdre

この質問の問題点は、業界における「侵入テスト」の意味について厳密な/従った定義がないことです。コミュニティ全体の優秀な人々が集まってその問題を解決し、「 侵入テスト実行基準 」を作成しました。

それは、ビジネスエグゼクティブとペネトレーションテスターが相互作用の基礎とすることができる上に合理的な期待を確立するために、侵入テストの各段階を定義しようとします。

彼らがリストする段階は

  1. 契約前の相互作用
  2. インテリジェンスギャザリング
  3. 脅威モデリング
  4. 脆弱性分析
  5. 搾取
  6. 攻撃後
  7. レポート

以下は、それぞれの詳細な定義です。明確な画像を取得するには、リンクされたwikiページを読む必要があります。

エンゲージメント前の相互作用には、多くのビジネス指向の側面とともに、エンゲージメントの範囲とルールの確立が含まれます。

インテリジェンスギャザリングは、攻撃者が脆弱性の分析と悪用の際に使用するターゲット(人間と技術の両方の側面)について可能な限り多くを学ぶ偵察フェーズです。

脅威のモデリングでは、資産と脅威を特定し、分類して、最終的にそれらを関連付けます。

脆弱性分析は、「攻撃者が利用できるシステムおよびアプリケーションの欠陥を発見するプロセスです。」 人々はしばしばこれと悪用が侵入テストのすべてであると誤って仮定します。

Exploitation「セキュリティ制限を回避することによって、システムまたはリソースへのアクセスを確立することにのみ焦点を当てています。」

Post-Exploitationは、侵害されたマシンの値を決定し、後で使用するために制御を維持します。このフェーズでは、さらに深く掘り下げることができる情報を収集できます(明らかに資格情報です)。

Reporting「さまざまな対象者に対して実施されたテストの目的、方法、および結果を[伝えます]。」

彼らの使命が成功しているかどうかは議論の余地がありますが、これは完全な理解のための出発点を開発するための良い場所だと思います。

PTES技術ガイドライン 」には、侵入テスト中に使用される可能性のある戦術とツールもあります。

5
chao-mu

私はこれのために長いものを書くゲームではありませんが、ほとんどのペンテスターが共有する楽しいものは次のとおりです。

  • 私は何年にもわたってPCI ASVスキャンに合格しているクライアントがあります(つまり、深刻な、高い、または重大な脆弱性が見つからない外部の脆弱性評価)。 PCIによる「クリーン」スキャン。
  • そして、過去数年間、熟練したペンテスト(クライアント側の攻撃、ソーシャルエンジニアリング、物理的なペンテスト、フィッシングは言うまでもありません)を介して、内部データベースのすべてが検出されずに漏洩する可能性があります。

ペンテストは、少なくとも私がぶらぶらしている隅で、やる気のある敵による攻撃をシミュレートすることを目的としています。脆弱性評価は通常、はるかに少ないものです。

4
Tate Hansen

脆弱性分析はネットワーク上の脆弱性を特定するプロセスですが、侵入テストは実際に、テストされたシステムへの不正アクセスを取得し、クライアントの指示に従ってネットワークまたはデータへのそのアクセスを使用することに焦点を当てています。脆弱性分析は、システムに存在する欠陥の概要を提供し、侵入テストは、欠陥の影響分析を提供し、基盤となるネットワーク、オペレーティングシステム、データベースなどへの欠陥の潜在的な影響を特定します。脆弱性分析は、パッシブプロセスの。脆弱性分析では、ネットワークトラフィックとシステムの両方を分析するソフトウェアツールを使用して、攻撃に対する脆弱性を増加させる露出を特定します。ペネトレーションテストは、倫理的なハッカーが攻撃をシミュレートし、ネットワークとシステムの耐性をテストするために使用されるアクティブなプラクティスです。

私はこれをカバーする完全な記事を書きました。ここで読んでください: http://www.ivizsecurity.com/blog/penetration-testing/difference-vulnerability-penetration-testing/

4
RudraK