Behatolási tesztelési módszerek és szabványok – IBM Blog

Az online tér továbbra is gyorsan növekszik, és több lehetőséget nyit meg a számítógépes rendszeren, hálózaton vagy webalkalmazáson belüli kibertámadások számára. Az ilyen kockázatok mérséklése és az azokra való felkészülés érdekében a behatolási tesztelés szükséges lépés a támadó által használt biztonsági rések felkutatásában.

Mi az a penetrációs tesztelés?

A penetrációs tesztA „tollteszt” egy biztonsági teszt, amelyet egy működő kibertámadás kigúnyolására futtatnak. A cyberattack tartalmazhat adathalászati ​​kísérletet vagy egy hálózati biztonsági rendszer megsértését. A szükséges biztonsági ellenőrzésektől függően különböző típusú behatolási tesztelések állnak a szervezet rendelkezésére. A teszt lefuttatható manuálisan vagy automatizált eszközökkel egy adott cselekvési irány lencséjén vagy tolltesztelési módszertanon keresztül.

Miért van szükség penetrációs tesztelésre, és kik vesznek részt benne?

A „etikus hackelés” és a „penetrációs tesztelést” néha felcserélhetően használják, de van különbség. Az etikus hackelés tágabb kiberbiztonság területen, amely magában foglalja a hackelési készségek bármilyen felhasználását a hálózat biztonságának javítása érdekében. A penetrációs tesztek csak egyike azon módszereknek, amelyeket az etikus hackerek használnak. Az etikus hackerek rosszindulatú programelemzést, kockázatértékelést és egyéb hackereszközöket és technikákat is kínálhatnak a biztonsági hiányosságok feltárására és kijavítására, ahelyett, hogy kárt okoznának.

IBM Az adatsértési jelentés költsége 2023-ban egy adatszivárgás globális átlagos költsége 2023-ban 4.45 millió USD volt, ami 15%-os növekedés 3 év alatt. Ezeknek a jogsértéseknek az egyik módja a pontos és pontos behatolási tesztek elvégzése.

A vállalatok tolltesztelőket bérelnek fel, hogy szimulált támadásokat indítsanak alkalmazásaik, hálózataik és egyéb eszközeik ellen. A hamis támadások végrehajtásában a penetrációtesztek segítenek biztonsági csapatok feltárja a kritikus biztonsági réseket, és javítja az általános biztonsági helyzetet. Ezeket a támadásokat gyakran vörös csapatok vagy támadó biztonsági csapatok hajtják végre. A piros csapat valódi támadók taktikáit, technikáit és eljárásait (TTP) szimulálja a szervezet saját rendszere ellen a biztonsági kockázat felmérésének módjaként.

A tolltesztelési folyamat során számos penetrációs vizsgálati módszert kell figyelembe venni. A szervezet választása a célszervezet kategóriájától, a tollteszt céljától és a biztonsági teszt hatókörétől függ. Nincs egy mindenkire érvényes megközelítés. Ahhoz, hogy a tolltesztelési folyamat előtt tisztességes sebezhetőségi elemzést lehessen végezni, a szervezetnek meg kell értenie biztonsági kérdéseit és biztonsági politikáját.

Nézze meg az X-Force tolltesztelő demóit

5 legjobb penetrációs tesztelési módszer

A tolltesztelési folyamat egyik első lépése annak eldöntése, hogy melyik módszert kell követni.

Az alábbiakban bemutatjuk az öt legnépszerűbb penetrációs tesztelési keretrendszert és tolltesztelési módszert, hogy segítsünk az érdekelt feleknek és a szervezeteknek eligazodni a sajátos szükségleteiknek leginkább megfelelő módszerhez, és biztosítani tudjuk, hogy az minden szükséges területet lefedjen.

1. Nyílt forráskódú biztonsági tesztelési módszertani kézikönyv

A nyílt forráskódú biztonsági tesztelési módszertani kézikönyv (OSSTMM) a penetrációs tesztelés egyik legnépszerűbb szabványa. Ezt a módszertant a biztonsági teszteléshez szakértői felülvizsgálatnak vetették alá, és az Institute for Security and Open Methodologies (ISECOM) hozta létre.

A módszer a tollal történő tesztelés tudományos megközelítésén alapul, hozzáférhető és adaptálható útmutatókkal a tesztelők számára. Az OSSTMM olyan kulcsfontosságú funkciókat tartalmaz, mint a működési fókusz, a csatorna tesztelése, a mérőszámok és a megbízhatósági elemzés.

Az OSSTMM keretet biztosít a hálózati penetráció teszteléséhez és a sebezhetőség felméréséhez a tolltesztelő szakemberek számára. Célja, hogy keretrendszer legyen a szolgáltatók számára, hogy megtalálják és feloldják a sebezhetőségeket, például az érzékeny adatokat és a hitelesítéssel kapcsolatos problémákat.

2. Nyissa meg a Web Application Security Project alkalmazást

Az OWASP, az Open Web Application Security Project rövidítése, egy nyílt forráskódú szervezet, amely a webalkalmazások biztonságával foglalkozik.

A nonprofit szervezet célja, hogy minden anyagát ingyenesen és könnyen hozzáférhetővé tegye mindenki számára, aki saját webalkalmazása biztonságát szeretné javítani. Az OWASP-nek megvan a sajátja Top 10 (a link kívül található ibm.com). Az OWASP a 10 legjobb listát használja az OWASP tesztelési útmutatójának alapjául. 

Az útmutató három részre oszlik: OWASP tesztelési keretrendszer webalkalmazás-fejlesztéshez, webalkalmazás-tesztelési módszertan és jelentéskészítés. A webalkalmazás módszertana külön-külön vagy a webes tesztelési keretrendszer részeként használható a webalkalmazások penetrációs tesztelésére, a mobilalkalmazások penetrációs tesztelésére, az API penetráció tesztelésére és az IoT penetrációs tesztelésére.

3. Behatolási tesztelés végrehajtási szabványa

A PTES vagy a Penetration Testing Execution Standard egy átfogó penetrációs tesztelési módszer.

A PTES-t egy információbiztonsági szakemberekből álló csapat tervezte, és hét fő részből áll, amelyek a tolltesztek minden aspektusát lefedik. A PTES célja, hogy olyan technikai irányelvekkel rendelkezzen, amelyek felvázolják, mit várhatnak el a szervezetek a behatolási teszttől, és végigvezeti őket a folyamat során, az elköteleződést megelőző szakasztól kezdve.

A PTES célja, hogy a penetrációs tesztek alapja legyen, és szabványosított módszertant biztosítson a biztonsági szakemberek és szervezetek számára. Az útmutató az elejétől a végéig számos forrást kínál, például bevált gyakorlatokat a penetrációs tesztelési folyamat minden szakaszában. A PTES néhány kulcsfontosságú jellemzője a kiaknázás és az utólagos kihasználás. A kiaknázás egy rendszerhez való hozzáférés folyamatát jelenti behatolási technikákkal, mint pl szociális tervezés és a jelszó feltörése. Az utólagos kihasználás az, amikor az adatokat kinyerjük egy feltört rendszerből, és a hozzáférést fenntartjuk.

4. Információs rendszerbiztonsági értékelési keretrendszer

Az Information System Security Assessment Framework (ISSAF) egy tolltesztelési keretrendszer, amelyet az Information Systems Security Group (OISSG) támogat.

Ezt a módszertant már nem tartják fenn, és valószínűleg nem a legjobb forrás a legfrissebb információkhoz. Az egyik fő erőssége azonban az, hogy az egyes tolltesztelési lépéseket konkrét tollteszt-eszközökkel kapcsolja össze. Ez a fajta formátum jó alapot jelenthet egy személyre szabott módszertan megalkotásához.

5. Nemzeti Szabványügyi és Technológiai Intézet  

A NIST, a National Institute of Standards and Technology rövidítése, egy kiberbiztonsági keretrendszer, amely tolltesztelési szabványokat biztosít a szövetségi kormány és a külső szervezetek számára, amelyeket követni kell. A NIST az Egyesült Államok Kereskedelmi Minisztériumán belüli ügynökség, és ezt a követendő minimumkövetelménynek kell tekinteni.

A NIST penetrációs tesztelése igazodik a NIST által küldött útmutatáshoz. Az ilyen útmutatásnak való megfelelés érdekében a szervezeteknek behatolási teszteket kell végrehajtaniuk az előre meghatározott irányelvek szerint.

A toll tesztelésének szakaszai

Állítson be egy hatókört

A tollteszt megkezdése előtt a tesztelő csapat és a vállalat meghatározza a teszt hatókörét. A hatókör felvázolja, hogy mely rendszereket tesztelik, mikor fog megtörténni a tesztelés, és milyen módszereket használhatnak a tolltesztelők. A hatókör azt is meghatározza, hogy a tolltesztelőknek mennyi információjuk lesz előre.

Indítsa el a tesztet

A következő lépés a hatóköri terv tesztelése, valamint a sebezhetőségek és a funkcionalitás felmérése lenne. Ebben a lépésben a hálózat és a sebezhetőség vizsgálata elvégezhető a szervezet infrastruktúrájának jobb megértése érdekében. Belső tesztelés és külső tesztelés is elvégezhető a szervezet igényeitől függően. A tolltesztelők számos tesztet végezhetnek, beleértve a fekete doboz tesztet, a fehér doboz tesztet és a szürke doboz tesztet. Mindegyik különböző szintű információt nyújt a célrendszerről.

A hálózat áttekintése után a tesztelők megkezdhetik a rendszer és az alkalmazások elemzését a megadott hatókörön belül. Ebben a lépésben a tolltesztelők a lehető legtöbb információt összegyűjtik, hogy megértsék a hibás konfigurációkat.

Jelentés a megállapításokról

Az utolsó lépés a jelentés és a kiértékelés. Ebben a lépésben fontos egy penetrációs vizsgálati jelentés elkészítése, amely tartalmazza a tollteszt összes megállapítását, amely felvázolja az azonosított sebezhetőségeket. A jelentésnek tartalmaznia kell a mérséklési tervet és a lehetséges kockázatokat, ha a kárelhárítás nem történik meg.

Tollteszt és IBM

Ha mindent megpróbálsz tesztelni, időt, költségvetést és erőforrásokat veszítesz. Az előzményadatokat tartalmazó kommunikációs és együttműködési platform használatával központosíthatja, kezelheti és rangsorolhatja a magas kockázatú hálózatokat, alkalmazásokat, eszközöket és egyéb eszközöket a biztonsági tesztelési program optimalizálása érdekében. Az X-Force® Red Portal lehetővé teszi, hogy a kárelhárításban részt vevők azonnal megtekintsék a teszteredményeket a sebezhetőségek feltárása után, és tetszés szerint ütemezzék be a biztonsági teszteket.

Fedezze fel az X-Force hálózati penetráció-tesztelési szolgáltatásait