Az online tér továbbra is gyorsan növekszik, és több lehetőséget nyit meg a számítógépes rendszeren, hálózaton vagy webalkalmazáson belüli kibertámadások számára. Az ilyen kockázatok mérséklése és az azokra való felkészülés érdekében a behatolási tesztelés szükséges lépés a támadó által használt biztonsági rések felkutatásában.
Mi az a penetrációs tesztelés?
A penetrációs tesztA „tollteszt” egy biztonsági teszt, amelyet egy működő kibertámadás kigúnyolására futtatnak. A cyberattack tartalmazhat adathalászati kísérletet vagy egy hálózati biztonsági rendszer megsértését. A szükséges biztonsági ellenőrzésektől függően különböző típusú behatolási tesztelések állnak a szervezet rendelkezésére. A teszt lefuttatható manuálisan vagy automatizált eszközökkel egy adott cselekvési irány lencséjén vagy tolltesztelési módszertanon keresztül.
Miért van szükség penetrációs tesztelésre, és kik vesznek részt benne?
A „etikus hackelés” és a „penetrációs tesztelést” néha felcserélhetően használják, de van különbség. Az etikus hackelés tágabb kiberbiztonság területen, amely magában foglalja a hackelési készségek bármilyen felhasználását a hálózat biztonságának javítása érdekében. A penetrációs tesztek csak egyike azon módszereknek, amelyeket az etikus hackerek használnak. Az etikus hackerek rosszindulatú programelemzést, kockázatértékelést és egyéb hackereszközöket és technikákat is kínálhatnak a biztonsági hiányosságok feltárására és kijavítására, ahelyett, hogy kárt okoznának.
IBM Az adatsértési jelentés költsége 2023-ban egy adatszivárgás globális átlagos költsége 2023-ban 4.45 millió USD volt, ami 15%-os növekedés 3 év alatt. Ezeknek a jogsértéseknek az egyik módja a pontos és pontos behatolási tesztek elvégzése.
A vállalatok tolltesztelőket bérelnek fel, hogy szimulált támadásokat indítsanak alkalmazásaik, hálózataik és egyéb eszközeik ellen. A hamis támadások végrehajtásában a penetrációtesztek segítenek biztonsági csapatok feltárja a kritikus biztonsági réseket, és javítja az általános biztonsági helyzetet. Ezeket a támadásokat gyakran vörös csapatok vagy támadó biztonsági csapatok hajtják végre. A piros csapat valódi támadók taktikáit, technikáit és eljárásait (TTP) szimulálja a szervezet saját rendszere ellen a biztonsági kockázat felmérésének módjaként.
A tolltesztelési folyamat során számos penetrációs vizsgálati módszert kell figyelembe venni. A szervezet választása a célszervezet kategóriájától, a tollteszt céljától és a biztonsági teszt hatókörétől függ. Nincs egy mindenkire érvényes megközelítés. Ahhoz, hogy a tolltesztelési folyamat előtt tisztességes sebezhetőségi elemzést lehessen végezni, a szervezetnek meg kell értenie biztonsági kérdéseit és biztonsági politikáját.
Nézze meg az X-Force tolltesztelő demóit
5 legjobb penetrációs tesztelési módszer
A tolltesztelési folyamat egyik első lépése annak eldöntése, hogy melyik módszert kell követni.
Az alábbiakban bemutatjuk az öt legnépszerűbb penetrációs tesztelési keretrendszert és tolltesztelési módszert, hogy segítsünk az érdekelt feleknek és a szervezeteknek eligazodni a sajátos szükségleteiknek leginkább megfelelő módszerhez, és biztosítani tudjuk, hogy az minden szükséges területet lefedjen.
1. Nyílt forráskódú biztonsági tesztelési módszertani kézikönyv
A nyílt forráskódú biztonsági tesztelési módszertani kézikönyv (OSSTMM) a penetrációs tesztelés egyik legnépszerűbb szabványa. Ezt a módszertant a biztonsági teszteléshez szakértői felülvizsgálatnak vetették alá, és az Institute for Security and Open Methodologies (ISECOM) hozta létre.
A módszer a tollal történő tesztelés tudományos megközelítésén alapul, hozzáférhető és adaptálható útmutatókkal a tesztelők számára. Az OSSTMM olyan kulcsfontosságú funkciókat tartalmaz, mint a működési fókusz, a csatorna tesztelése, a mérőszámok és a megbízhatósági elemzés.
Az OSSTMM keretet biztosít a hálózati penetráció teszteléséhez és a sebezhetőség felméréséhez a tolltesztelő szakemberek számára. Célja, hogy keretrendszer legyen a szolgáltatók számára, hogy megtalálják és feloldják a sebezhetőségeket, például az érzékeny adatokat és a hitelesítéssel kapcsolatos problémákat.
2. Nyissa meg a Web Application Security Project alkalmazást
Az OWASP, az Open Web Application Security Project rövidítése, egy nyílt forráskódú szervezet, amely a webalkalmazások biztonságával foglalkozik.
A nonprofit szervezet célja, hogy minden anyagát ingyenesen és könnyen hozzáférhetővé tegye mindenki számára, aki saját webalkalmazása biztonságát szeretné javítani. Az OWASP-nek megvan a sajátja Top 10 (a link kívül található ibm.com). Az OWASP a 10 legjobb listát használja az OWASP tesztelési útmutatójának alapjául.
Az útmutató három részre oszlik: OWASP tesztelési keretrendszer webalkalmazás-fejlesztéshez, webalkalmazás-tesztelési módszertan és jelentéskészítés. A webalkalmazás módszertana külön-külön vagy a webes tesztelési keretrendszer részeként használható a webalkalmazások penetrációs tesztelésére, a mobilalkalmazások penetrációs tesztelésére, az API penetráció tesztelésére és az IoT penetrációs tesztelésére.
3. Behatolási tesztelés végrehajtási szabványa
A PTES vagy a Penetration Testing Execution Standard egy átfogó penetrációs tesztelési módszer.
A PTES-t egy információbiztonsági szakemberekből álló csapat tervezte, és hét fő részből áll, amelyek a tolltesztek minden aspektusát lefedik. A PTES célja, hogy olyan technikai irányelvekkel rendelkezzen, amelyek felvázolják, mit várhatnak el a szervezetek a behatolási teszttől, és végigvezeti őket a folyamat során, az elköteleződést megelőző szakasztól kezdve.
A PTES célja, hogy a penetrációs tesztek alapja legyen, és szabványosított módszertant biztosítson a biztonsági szakemberek és szervezetek számára. Az útmutató az elejétől a végéig számos forrást kínál, például bevált gyakorlatokat a penetrációs tesztelési folyamat minden szakaszában. A PTES néhány kulcsfontosságú jellemzője a kiaknázás és az utólagos kihasználás. A kiaknázás egy rendszerhez való hozzáférés folyamatát jelenti behatolási technikákkal, mint pl szociális tervezés és a jelszó feltörése. Az utólagos kihasználás az, amikor az adatokat kinyerjük egy feltört rendszerből, és a hozzáférést fenntartjuk.
4. Információs rendszerbiztonsági értékelési keretrendszer
Az Information System Security Assessment Framework (ISSAF) egy tolltesztelési keretrendszer, amelyet az Information Systems Security Group (OISSG) támogat.
Ezt a módszertant már nem tartják fenn, és valószínűleg nem a legjobb forrás a legfrissebb információkhoz. Az egyik fő erőssége azonban az, hogy az egyes tolltesztelési lépéseket konkrét tollteszt-eszközökkel kapcsolja össze. Ez a fajta formátum jó alapot jelenthet egy személyre szabott módszertan megalkotásához.
5. Nemzeti Szabványügyi és Technológiai Intézet
A NIST, a National Institute of Standards and Technology rövidítése, egy kiberbiztonsági keretrendszer, amely tolltesztelési szabványokat biztosít a szövetségi kormány és a külső szervezetek számára, amelyeket követni kell. A NIST az Egyesült Államok Kereskedelmi Minisztériumán belüli ügynökség, és ezt a követendő minimumkövetelménynek kell tekinteni.
A NIST penetrációs tesztelése igazodik a NIST által küldött útmutatáshoz. Az ilyen útmutatásnak való megfelelés érdekében a szervezeteknek behatolási teszteket kell végrehajtaniuk az előre meghatározott irányelvek szerint.
A toll tesztelésének szakaszai
Állítson be egy hatókört
A tollteszt megkezdése előtt a tesztelő csapat és a vállalat meghatározza a teszt hatókörét. A hatókör felvázolja, hogy mely rendszereket tesztelik, mikor fog megtörténni a tesztelés, és milyen módszereket használhatnak a tolltesztelők. A hatókör azt is meghatározza, hogy a tolltesztelőknek mennyi információjuk lesz előre.
Indítsa el a tesztet
A következő lépés a hatóköri terv tesztelése, valamint a sebezhetőségek és a funkcionalitás felmérése lenne. Ebben a lépésben a hálózat és a sebezhetőség vizsgálata elvégezhető a szervezet infrastruktúrájának jobb megértése érdekében. Belső tesztelés és külső tesztelés is elvégezhető a szervezet igényeitől függően. A tolltesztelők számos tesztet végezhetnek, beleértve a fekete doboz tesztet, a fehér doboz tesztet és a szürke doboz tesztet. Mindegyik különböző szintű információt nyújt a célrendszerről.
A hálózat áttekintése után a tesztelők megkezdhetik a rendszer és az alkalmazások elemzését a megadott hatókörön belül. Ebben a lépésben a tolltesztelők a lehető legtöbb információt összegyűjtik, hogy megértsék a hibás konfigurációkat.
Jelentés a megállapításokról
Az utolsó lépés a jelentés és a kiértékelés. Ebben a lépésben fontos egy penetrációs vizsgálati jelentés elkészítése, amely tartalmazza a tollteszt összes megállapítását, amely felvázolja az azonosított sebezhetőségeket. A jelentésnek tartalmaznia kell a mérséklési tervet és a lehetséges kockázatokat, ha a kárelhárítás nem történik meg.
Tollteszt és IBM
Ha mindent megpróbálsz tesztelni, időt, költségvetést és erőforrásokat veszítesz. Az előzményadatokat tartalmazó kommunikációs és együttműködési platform használatával központosíthatja, kezelheti és rangsorolhatja a magas kockázatú hálózatokat, alkalmazásokat, eszközöket és egyéb eszközöket a biztonsági tesztelési program optimalizálása érdekében. Az X-Force® Red Portal lehetővé teszi, hogy a kárelhárításban részt vevők azonnal megtekintsék a teszteredményeket a sebezhetőségek feltárása után, és tetszés szerint ütemezzék be a biztonsági teszteket.
Fedezze fel az X-Force hálózati penetráció-tesztelési szolgáltatásait
Hasznos volt ez a cikk?
IgenNem
Továbbiak az üzleti átalakulásból
IBM hírlevelek
Szerezze meg hírleveleinket és témafrissítéseinket, amelyek a legújabb gondolatvezetést és betekintést nyújtanak a feltörekvő trendekre.
Kattintson ide!
További hírlevelek
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.ibm.com/blog/pen-testing-methodology/
- :van
- :is
- :nem
- :ahol
- $ UP
- 1
- 10
- 15%
- 16
- 19
- 2023
- 2024
- 23
- 29
- 30
- 300
- 35%
- 39
- 40
- 400
- 7
- 80
- 9
- 95%
- a
- Rólunk
- hozzáférés
- hozzáférhető
- pontos
- Akció
- hozzáadott
- előlegek
- Hirdetés
- Után
- ellen
- ügynökség
- előre
- célok
- Igazítás
- Minden termék
- már
- Is
- amp
- an
- elemzés
- analitika
- elemzése
- és a
- bármilyen
- bárki
- api
- Alkalmazás
- Application Development
- alkalmazás biztonsága
- alkalmazások
- megközelítés
- alkalmazások
- VANNAK
- területek
- cikkben
- AS
- szempontok
- értékeli
- értékelés
- Eszközök
- At
- Támadások
- kísérlet
- Hitelesítés
- szerző
- Automatizált
- elérhető
- átlagos
- vissza
- Banking
- alapján
- kiindulási
- alap
- BE
- mögött
- BEST
- legjobb gyakorlatok
- Jobb
- Legnagyobb
- Fekete doboz
- Blog
- blogok
- Kék
- Alsó
- márka
- megsértése
- megsértésének
- Bring
- Törött
- költségvetés
- épít
- üzleti
- üzletasszony
- de
- gomb
- by
- TUD
- Kapacitás
- tőke
- Tőkepiacok
- szén
- kártya
- Kártyák
- gondosan
- szállítás
- CAT
- Kategória
- Okoz
- központosítani
- változik
- Változások
- csatorna
- ellenőrizze
- Megrendelés
- választás
- körök
- CIS
- osztály
- együttműködés
- munkatársai
- szín
- érkező
- Kereskedelem
- közlés
- Companies
- vállalat
- összehasonlítani
- versenyképes
- bonyodalmak
- teljesítés
- megfelelnek
- átfogó
- Veszélyeztetett
- számítógép
- aggodalmak
- Fontolja
- figyelembe vett
- Fogyasztók
- Konténer
- folytatódik
- tovább
- folyamatosan
- szerződés
- ellenőrzés
- ellenőrzések
- kényelem
- Költség
- Számláló
- tanfolyam
- fedő
- burkolatok
- reccsenés
- készítette
- létrehozása
- kritikai
- CSS
- szokás
- vevő
- az ügyfelek elvárásai
- Vásárlói élmény
- Vásárlói hűség
- Ügyfelek
- CX
- cyberattack
- cyberattacks
- Kiberbiztonság
- dátum
- adatok megsértése
- adatbiztonság
- találka
- kikérdez
- Döntés
- csökkenő
- elszánt
- alapértelmezett
- definíciók
- szállít
- kézbesítés
- Kereslet
- Demo
- osztály
- osztályok
- függ
- attól
- leírás
- tervezett
- meghatározza
- Fejleszt
- fejlesztése
- Fejlesztés
- Eszközök
- különbség
- különböző
- felfedez
- merülés
- megosztott
- do
- nem
- csinált
- minden
- könnyen
- él
- csiszolókő
- lehetővé teszi
- törekvés
- biztosítására
- belép
- különösen
- megalapozott
- Eter (ETH)
- etikai
- Még
- események
- EVER
- mindenki
- minden
- Kiváló
- végrehajtás
- Kilépés
- vár
- várakozások
- tapasztalat
- magyarázó
- kizsákmányolás
- Feltárása
- külső
- gyár
- igazságos
- hamisítvány
- hamis
- Jellemzők
- Szövetségi
- Szövetségi kormány
- mező
- filé
- utolsó
- finanszíroz
- pénzügyi
- pénzügyi szolgáltatások
- Találjon
- megtalálása
- megállapítások
- befejezni
- tűzfal
- vezetéknév
- első lépések
- öt
- Rögzít
- Összpontosít
- következik
- következő
- betűtípusok
- A
- formátum
- tovább
- talált
- Alapítvány
- Keretrendszer
- keretek
- Ingyenes
- ból ből
- funkció
- funkcionalitás
- jövő
- egyre
- gyűjtése
- generátor
- kap
- szerzés
- adott
- Globális
- cél
- jó
- áruk
- kormányzás
- Kormány
- Rács
- Csoport
- Nő
- útmutatást
- útmutató
- irányelvek
- Útmutatók
- hackerek
- hacker
- történik
- kárt
- Legyen
- Cím
- magasság
- segít
- hasznos
- Magas
- magas kockázatú
- bérel
- történeti
- holisztikus
- Hogyan
- How To
- azonban
- HTTPS
- IBM
- ICO
- ICON
- azonosított
- azonosító
- if
- kép
- azonnal
- Hatás
- fontos
- javul
- javulás
- in
- raktáron
- tartalmaz
- magában foglalja a
- Beleértve
- Növelje
- járulékos
- index
- egyéni
- ipar
- infláció
- információ
- információ biztonság
- Információs Rendszerek
- Infrastruktúra
- meglátások
- Intézet
- kölcsönhatások
- kamat
- Kamat-
- belső
- bele
- részt
- tárgyak internete
- kérdések
- IT
- ITS
- január
- jpg
- éppen
- csak egy
- Kulcs
- táj
- nagy
- legutolsó
- indít
- Vezetés
- Lencsék
- kevesebb
- Valószínű
- vonal
- LINK
- linkek
- Lista
- helyi
- helyszín
- hosszabb
- Hűség
- készült
- Fő
- fenntartása
- fontos
- csinál
- malware
- kezelése
- vezetés
- kézikönyv
- kézzel
- sok
- piacára
- piactér
- piacok
- anyag
- számít
- max-width
- Lehet..
- jelentett
- módszer
- módszerek
- Módszertan
- mód
- Metrics
- esetleg
- millió
- perc
- minimum
- jegyzőkönyv
- Enyhít
- enyhítés
- Mobil
- több
- a legtöbb
- Legnepszerubb
- sok
- kell
- nemzeti
- Navigáció
- elengedhetetlen
- szükséges
- igények
- hálózat
- Network Security
- hálózatok
- Új
- újév
- hírlevelek
- következő
- nst
- nem
- non-profit
- semmi
- Most
- előfordul
- of
- kedvezmény
- támadó
- Office
- gyakran
- on
- ONE
- online
- nyitva
- nyílt forráskódú
- nyitás
- operatív
- Művelet
- Lehetőségek
- Optimalizálja
- optimalizált
- optimalizálása
- or
- szervezet
- szervezetek
- Más
- mi
- eredmények
- vázlat
- körvonalak
- felvázolva
- kívül
- felett
- átfogó
- áttekintés
- saját
- tulajdonos
- ingerelt
- oldal
- Fájdalom
- Fájdalom
- rész
- alkatrészek
- Jelszó
- lektorált
- behatolás
- teljesít
- teljesített
- előadó
- Gyógyszeripari
- Adathalászat
- telefon
- PHP
- terv
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- csatlakoztat
- pont
- politika
- Népszerű
- Portál
- pozíció
- lehetséges
- állás
- potenciális
- gyakorlat
- Készít
- nyomás
- elsődleges
- Előzetes
- Fontossági sorrendet
- eljárások
- folyamat
- Folyamatok
- beszerzés
- Termékek
- termékfejlesztés
- Termékminőség
- Termékek
- tehetséges alkalmazottal
- Program
- program
- ad
- szolgáltatók
- biztosít
- cél
- törekvés
- világítás
- Kérdések
- hatótávolság
- gyorsan
- Az árak
- Inkább
- Olvasás
- igazi
- real-time
- Piros
- csökkentés
- kifejezés
- marad
- kármentesítés
- jelentést
- Jelentő
- kötelező
- megköveteli,
- lakik
- megoldása
- Tudástár
- fogékony
- megtartása
- Kockázat
- kockázatértékelés
- kockázatok
- robotok
- Szoba
- futás
- s
- értékesítés
- Megtakarítás
- letapogatás
- menetrend
- tudományos
- hatálya
- Hatókör
- Képernyő
- szkriptek
- szakaszok
- ágazatok
- biztonság
- biztonsági tesztelés
- érzékeny
- küldött
- SEO
- szerver
- szolgáltatás
- Szolgáltatások
- készlet
- hét
- számos
- rövid
- kellene
- előadás
- Műsorok
- oldal
- Jel
- weboldal
- készségek
- kicsi
- okos
- So
- Megoldása
- néhány
- néha
- forrás
- Hely
- különleges
- költ
- Szponzorált
- terek
- Színpad
- színpadra állítás
- érdekeltek
- standard
- szabvány
- szabványok
- kezdet
- Kezdve
- tartózkodás
- Lépés
- Lépései
- tárolni
- Stratégia
- erősségek
- erős
- Tanulmány
- Iratkozz fel
- sikeres
- ilyen
- Támogatott
- meglepő
- környező
- SVG
- rendszer
- Systems
- taktika
- cél
- csapat
- csapat
- Műszaki
- technikák
- technikai
- Technológia
- Inkább
- feltételek
- harmadlagos
- teszt
- kipróbált
- tesztelők
- Tesztelés
- tesztek
- mint
- köszönöm
- hogy
- A
- az információ
- azok
- Őket
- téma
- Ott.
- Ezek
- ők
- Szerintem
- ezt
- azok
- gondoltam
- gondolkodás vezetés
- három
- Keresztül
- egész
- idő
- Cím
- nak nek
- mai
- együtt
- is
- szerszámok
- felső
- Top 10
- téma
- Átalakítás
- Trends
- Bízzon
- megpróbál
- turbulens
- típus
- típusok
- nekünk
- feltárni
- fedetlen
- alatt
- megért
- megértés
- váratlan
- up-to-date
- Frissítés
- URL
- USAdollár
- használ
- használt
- használ
- segítségével
- fajta
- változó
- Megnézem
- látható
- sérülékenységek
- sebezhetőség
- sebezhetőség felmérése
- sebezhetőségi vizsgálat
- W
- akar
- volt
- Hulladék
- Út..
- we
- gyengeségek
- időjárás
- háló
- webalkalmazás
- webes alkalmazások
- Mit
- amikor
- vajon
- ami
- míg
- WHO
- miért
- lesz
- val vel
- belül
- WordPress
- dolgozók
- dolgozó
- méltó
- lenne
- író
- írott
- XML
- év
- év
- te
- fiatal
- A te
- zephyrnet