Läpäisytestausmenetelmät ja -standardit – IBM Blog

Online-tila kasvaa edelleen nopeasti, mikä avaa lisää mahdollisuuksia kyberhyökkäyksiin tietokonejärjestelmän, verkon tai verkkosovelluksen sisällä. Tällaisten riskien vähentämiseksi ja niihin valmistautumiseksi läpäisytestaus on välttämätön askel haavoittuvuuksien löytämisessä, joita hyökkääjä saattaa käyttää.

Mikä on läpäisytestaus?

A läpäisykoe, tai "kynätesti" on tietoturvatesti, joka suoritetaan pilkkaamaan kyberhyökkäystä toiminnassa. A kyberhyökkäys voi sisältää tietojenkalasteluyrityksen tai verkon suojausjärjestelmän rikkomisen. Organisaation käytettävissä on erilaisia ​​läpäisytestejä tarvittavista suojaustoimista riippuen. Testi voidaan suorittaa manuaalisesti tai automaattisilla työkaluilla tietyn toiminnan linssin tai kynätestausmenetelmän kautta.

Miksi penetraatiotestaus ja ketkä ovat mukana?

Termit “Eettinen hakkerointi" ja "penetraatiotestausta" käytetään joskus vaihtokelpoisina, mutta niissä on ero. Eettinen hakkerointi on laajempaa tietoverkkojen kenttä, joka sisältää hakkerointitaitojen käytön verkon turvallisuuden parantamiseksi. Penetraatiotestit ovat vain yksi eettisten hakkereiden käyttämistä menetelmistä. Eettiset hakkerit voivat myös tarjota haittaohjelmaanalyysejä, riskinarviointia ja muita hakkerointityökaluja ja -tekniikoita tietoturvan heikkouksien paljastamiseksi ja korjaamiseksi vahingon aiheuttamisen sijaan.

IBM: n Tietojen rikkomusraportin kustannukset Vuonna 2023 tietomurron maailmanlaajuiset keskimääräiset kustannukset vuonna 2023 olivat 4.45 miljoonaa Yhdysvaltain dollaria, mikä on 15 prosentin kasvu kolmessa vuodessa. Yksi tapa lieventää näitä rikkomuksia on suorittaa tarkat ja terävät läpäisytestit.

Yritykset palkkaavat kynätestaajia käynnistämään simuloituja hyökkäyksiä sovelluksiaan, verkkojaan ja muuta omaisuuttaan vastaan. Tekemällä väärennettyjä hyökkäyksiä, läpäisytestaajat auttavat turvallisuusjoukot paljastaa kriittisiä tietoturva-aukkoja ja parantaa yleistä tietoturva-asentoa. Näitä hyökkäyksiä tekevät usein punaiset tiimit tai hyökkäävät turvaryhmät. The punainen joukkue simuloi todellisia hyökkääjien taktiikoita, tekniikoita ja menettelytapoja (TTP) organisaation omaa järjestelmää vastaan ​​keinona arvioida turvallisuusriskiä.

On olemassa useita läpäisytestausmenetelmiä, jotka on otettava huomioon kynätestausprosessissa. Organisaation valinta riippuu kohdeorganisaation kategoriasta, kynätestin tavoitteesta ja turvatestin laajuudesta. Ei ole olemassa yksikokoista lähestymistapaa. Se edellyttää, että organisaatio ymmärtää tietoturvakysymyksensä ja turvallisuuspolitiikkansa, jotta haavoittuvuusanalyysi voidaan tehdä ennen kynätestausprosessia.

Katso X-Forcen kynätestausdemoja

5 parasta läpäisytestausmenetelmää

Yksi kynätestausprosessin ensimmäisistä vaiheista on päättää, mitä menetelmää noudatetaan.

Alla tarkastellaan viittä suosituinta läpäisytestauskehystä ja kynätestausmenetelmää, joiden avulla sidosryhmät ja organisaatiot voidaan ohjata heidän erityistarpeisiinsa parhaiten sopivaan menetelmään ja varmistaa, että se kattaa kaikki vaaditut alueet.

1. Avoimen lähdekoodin tietoturvatestausmenetelmäkäsikirja

Open-Source Security Testing Methodology Manual (OSSTMM) on yksi suosituimmista läpäisytestauksen standardeista. Tämä menetelmä on vertaisarvioitu tietoturvatestausta varten, ja sen on luonut Institute for Security and Open Methodologies (ISECOM).

Menetelmä perustuu tieteelliseen lähestymistapaan kynätestaukseen, jossa testaajille on helppokäyttöisiä ja mukautettavia oppaita. OSSTMM:n metodologiassa on avainominaisuuksia, kuten toiminnallinen fokus, kanavatestaus, metriikka ja luottamusanalyysi.

OSSTMM tarjoaa puitteet verkon läpäisevyyden testaamiseen ja haavoittuvuuden arviointiin kynätestauksen ammattilaisille. Sen on tarkoitus olla kehys, jonka avulla palveluntarjoajat voivat löytää ja ratkaista haavoittuvuuksia, kuten arkaluonteisia tietoja ja todentamiseen liittyviä ongelmia.

2. Avaa Web Application Security Project

OWASP, lyhenne sanoista Open Web Application Security Project, on avoimen lähdekoodin organisaatio, joka on omistautunut verkkosovellusten tietoturvaan.

Yhdistyksen tavoitteena on tehdä kaikesta materiaalista ilmaista ja helposti saatavilla kaikille, jotka haluavat parantaa omia verkkosovellustensa turvallisuutta. OWASP:llä on omansa Top 10 (linkki sijaitsee ulkopuolella ibm.com), joka on hyvin ylläpidetty raportti, joka hahmottelee verkkosovellusten suurimmat turvallisuusongelmat ja riskit, kuten sivustojen välinen komentosarja, rikkinäinen todennus ja palomuurin taakse jääminen. OWASP käyttää top 10 -listaa OWASP-testausoppaansa perustana. 

Opas on jaettu kolmeen osaan: OWASP-testauskehys verkkosovelluskehitykseen, web-sovellusten testausmetodologia ja raportointi. Verkkosovellusmetodologiaa voidaan käyttää erikseen tai osana verkkotestauskehystä verkkosovellusten levinneisyystestaukseen, mobiilisovellusten levinneisyystestaukseen, API-penetraatiotestaukseen ja IoT-penetraatiotestaukseen.

3. Läpäisytestauksen suoritusstandardi

PTES eli Penetration Testing Execution Standard on kattava läpäisytestausmenetelmä.

PTES:n on suunnitellut joukko tietoturva-ammattilaisia, ja se koostuu seitsemästä pääosasta, jotka kattavat kaikki kynätestauksen näkökohdat. PTES:n tarkoituksena on saada tekniset ohjeet, jotka hahmottelevat, mitä organisaatioiden tulisi odottaa penetraatiotestiltä, ​​ja ohjaavat niitä koko prosessin ajan sitoutumista edeltävästä vaiheesta alkaen.

PTES:n tavoitteena on olla penetraatiotestien lähtökohta ja tarjota standardoitu menetelmä tietoturva-ammattilaisille ja -organisaatioille. Opas tarjoaa erilaisia ​​resursseja, kuten parhaita käytäntöjä läpäisytestausprosessin jokaisessa vaiheessa, alusta loppuun. Jotkut PTES:n tärkeimmät ominaisuudet ovat hyödyntäminen ja jälkikäyttö. Hyödyntäminen viittaa prosessiin, jossa järjestelmään päästään tunkeutumistekniikoiden, kuten esim sosiaalinen suunnittelu ja salasanan murtaminen. Jälkikäyttö tarkoittaa, kun tiedot poimitaan vaarantuneesta järjestelmästä ja pääsy säilyy.

4. Tietojärjestelmän turvallisuuden arviointikehys

Information System Security Assessment Framework (ISSAF) on kynätestauskehys, jota tukee Information Systems Security Group (OISSG).

Tätä menetelmää ei enää ylläpidetä, eikä se todennäköisesti ole paras lähde viimeisimmän tiedon saamiseksi. Yksi sen tärkeimmistä vahvuuksista on kuitenkin se, että se yhdistää yksittäiset kynätestausvaiheet tiettyihin kynätestaustyökaluihin. Tämäntyyppinen muoto voi olla hyvä perusta yksilöllisen menetelmän luomiselle.

5. National Institute of Standards and Technology  

NIST, lyhenne sanoista National Institute of Standards and Technology, on kyberturvallisuuskehys, joka tarjoaa joukon kynätestausstandardeja liittovaltion hallitukselle ja ulkopuolisille organisaatioille. NIST on Yhdysvaltain kauppaministeriön virasto, ja sitä tulisi pitää noudatettavana vähimmäisstandardina.

NIST-läpäisytestaus on linjassa NIST:n lähettämien ohjeiden kanssa. Tällaisten ohjeiden noudattamiseksi organisaatioiden on suoritettava läpäisytestejä ennalta määritettyjen ohjeiden mukaisesti.

Kynän testausvaiheet

Aseta laajuus

Ennen kynätestin alkamista testaustiimi ja yritys asettavat testin laajuuden. Laajuudessa hahmotellaan, mitä järjestelmiä testataan, milloin testaus tapahtuu ja mitä menetelmiä kynätestaajat voivat käyttää. Laajuus määrittää myös sen, kuinka paljon tietoa kynätestaajilla on etukäteen.

Aloita testi

Seuraava askel olisi testata laajuussuunnitelmaa ja arvioida haavoittuvuuksia ja toimivuutta. Tässä vaiheessa voidaan tehdä verkko- ja haavoittuvuusskannaus, jotta saadaan parempi käsitys organisaation infrastruktuurista. Sisäinen testaus ja ulkoinen testaus voidaan tehdä organisaation tarpeiden mukaan. Kynätestaajat voivat tehdä erilaisia ​​testejä, mukaan lukien musta laatikko -testi, valkoinen laatikko -testi ja harmaa laatikko -testi. Jokainen tarjoaa eriasteista tietoa kohdejärjestelmästä.

Kun verkosta on saatu yleiskuva, testaajat voivat alkaa analysoida järjestelmää ja sovelluksia annetuissa puitteissa. Tässä vaiheessa kynätestaajat keräävät niin paljon tietoa kuin mahdollista ymmärtääkseen virheelliset asetukset.

Raportti löydöistä

Viimeinen vaihe on raportointi ja selvitys. Tässä vaiheessa on tärkeää laatia läpäisytestausraportti, jossa on kaikki kynätestin havainnot, joissa esitetään tunnistetut haavoittuvuudet. Raporttiin tulee sisältyä suunnitelma lieventämiseksi ja mahdolliset riskit, jos korjaamista ei tapahdu.

Kynätestaus ja IBM

Jos yrität testata kaikkea, hukkaat aikaasi, budjettiasi ja resurssejasi. Käyttämällä viestintä- ja yhteistyöalustaa, jossa on historiallisia tietoja, voit keskittää, hallita ja priorisoida riskialttiita verkkoja, sovelluksia, laitteita ja muita resursseja optimoidaksesi turvatestausohjelmasi. X-Force® Red Portalin avulla kaikki korjaamiseen osallistuvat voivat tarkastella testituloksia heti haavoittuvuuksien paljastumisen jälkeen ja ajoittaa tietoturvatestejä heille sopivan ajan mukaan.

Tutustu X-Forcen verkkoläpäisytestauspalveluihin