組織のセキュリティを改善する上で、既存のコード、手順、ポリシー、インフラストラクチャなどの監査は、セキュリティまたはポリシーの欠陥を明らかにするのに完全に十分であり、したがって実際のデモンストレーションであるかのようです委託された侵入テストは不要ですが、その欠陥の.
したがって、「レッドチーム」の侵入テストは、監査を通じて得られるメリットを超えて組織にどのようなメリットをもたらしますか。さらに、そうでなければスケジュールされたセキュリティ監査に加えて、組織に対して定期的な侵入テストを実施するように企業と契約することには大きなメリットがありますか?
コンピュータサイエンスはまさに科学です。実際にテストすることなく安全であると仮定するだけでは、非常に科学的です。
ソースコード分析やその他のホワイトボックステストの方法論を実行して、あらゆる種類の興味深く、影響の大きい脆弱性を見つけることができます...しかし、誰もこれらの問題を実際に悪用できない場合はどうなりますか?悪用できない脆弱性でハッキングされることはありませんが、システムは定期的に侵入されます。 (内部関係者はこのような問題を悪用する可能性がありますが、それは別の質問です。)
私への侵入テストは、 科学的手法 を使用して、「実際のシナリオで、ハッカーがシステムや会社に害を与えるために何ができるか」という簡単な質問に答えることです。この質問に答えるには、熟練したハッカーまたはハッカーのチームを獲得し、ソースコードや開発チームへのアクセスを提供しないことで、意図的に彼らを衰弱させます。理想的な侵入テストは、厳密なブラックボックステストシナリオです。会社名、IPアドレスの範囲、または物理アドレスを入力するだけです。これが、攻撃者が必要とするすべての情報です。 (CISSPには、何らかの理由で物理的セキュリティのセクションがあります。)
侵入テストの最後に、調査結果を含むレポートを受け取る必要があります。優れた侵入テストは、常に常に発見事項があります。完璧なシステムはありません。誰もがセキュリティを向上させるための対策を講じることができます。侵入テストの結果から、システムの弱点を特定でき、システム全体のセキュリティを向上させるためにリソースを費やす方法を決定するのに役立ちます。
レッドチームのテストを通じて得られた重要な利点の1つは、セキュリティ担当者が実際の侵入に対処する実体験を提供できることです。会社は実際にすべての重要なポリシーを実施しているかもしれませんが、彼らが実際にネットワーク内の攻撃者に対処する必要があるまで、彼らはどのように進むかについて確信がないかもしれません。消防訓練と同様に、侵入テストでは、通常とは異なる環境でどのように進めるかについての作業戦略を開発できます。
たとえば、外部からの攻撃の防止と検出については多くの注意が払われていますが、ネットワークから攻撃者をremoveする方法はほとんど禁止されていません。この種のイベントに対処する必要がない場合、セキュリティ担当者は、重要なインフラストラクチャの整合性と運用を保護しながら、攻撃者を排除するための最良の方法を推測することになる場合があります。実社会の攻撃者は、この経験不足を利用して、クリーンアップが完了したと推定された後でもアクセスを維持することができます。
監査では、筆記試験と同じ問題の多くを検出しますが、その結果は決定的ではありません。ペンテスター(ハッカー)はあなたのシステムにアクセスするのに十分なスキルを持っていないかもしれませんが、彼らがそうであればそれは明白でしょう。
ただし、最も重要な違いは考え方です。セキュリティチームと監査人は、物作りの観点から物事を調べる傾向があります。言い換えれば、彼らは大きな不要な装置を作成する傾向があります。構造が大きいほど、含まれる可能性のある脆弱性が多くなります。
ペンテスターは反対のアプローチをとります。彼らはシステムを作ることに興味がなく、それを壊すだけです。彼らはソーシャルエンジニアリングを含む、あらゆるアクセス手段に注意するように自分自身を訓練しました。
これらすべてを組み合わせることで、ペンテスターは確実にセキュリティを確保できます。
最後のポイントとして、ハッキングは創造性に関するものです。セキュリティチームやペンテスターは、監査人よりも創造的である可能性が高いと考えています。
これが私の主張を明確に示しているといいのですが。
触れられていないもう一つの重要な側面はcostです。したがって、社内にソフトウェアセキュリティグループが存在しないという事実を考えると、企業がセキュリティの高さを監査できる唯一の方法は、その仕事のためにコンサルタントを雇うことによるPen-Testsを使用することです。これで、ペンテストを適切に実行すると結果が得られます。 AFAIK、ペンテストは、セキュリティの状態を評価する最も安価な方法です。静的コード分析用のアプリはいくつかありますが、これらのアプリケーションのライセンスは高額であり、誤検知を識別できる人物も必要です。