オンライン空間は急速に成長し続けており、コンピューター システム、ネットワーク、または Web アプリケーション内でサイバー攻撃が発生する機会が増えています。このようなリスクを軽減し、それに備えるために、攻撃者が使用する可能性のあるセキュリティの脆弱性を発見する侵入テストは必要な手順です。
侵入テストとは何ですか?
A 侵入テスト、または「侵入テスト」は、実際のサイバー攻撃を模擬するために実行されるセキュリティ テストです。あ サイバー攻撃 フィッシング行為やネットワーク セキュリティ システムの侵害が含まれる場合があります。必要なセキュリティ制御に応じて、組織で利用できるさまざまな種類の侵入テストがあります。テストは手動で実行することも、特定の一連のアクションまたはペネトレーション テスト方法論を通して自動ツールを使用して実行することもできます。
なぜ侵入テストを行うのか、誰が関与するのか?
用語「倫理的なハッキング」と「侵入テスト」は同じ意味で使用されることがありますが、違いがあります。倫理的ハッキングはより広範囲にわたる サイバーセキュリティー これには、ネットワーク セキュリティを向上させるためのハッキング スキルの使用が含まれます。ペネトレーション テストは、倫理的ハッカーが使用する手法の 1 つにすぎません。倫理的ハッカーは、害を及ぼすのではなくセキュリティの弱点を発見して修正するために、マルウェア分析、リスク評価、その他のハッキング ツールやテクニックを提供する場合もあります。
IBMの データ侵害レポートのコスト 2023 年のデータ侵害による世界平均コストは 2023 万ドルで、4.45 年間で 15% 増加しました。これらの侵害を軽減する 3 つの方法は、正確かつ的確な侵入テストを実行することです。
企業は侵入テスターを雇って、アプリ、ネットワーク、その他の資産に対して模擬攻撃を開始します。ペネトレーションテスターは、偽の攻撃を仕掛けることで、 セキュリティチーム 重大なセキュリティ脆弱性を発見し、全体的なセキュリティ体制を改善します。これらの攻撃は、多くの場合、レッド チーム、つまり攻撃的なセキュリティ チームによって実行されます。の 赤チーム セキュリティ リスクを評価する方法として、組織自体のシステムに対する実際の攻撃者の戦術、技術、手順 (TTP) をシミュレートします。
ペネトレーション テスト プロセスを開始する際には、いくつかのペネトレーション テスト方法論を考慮する必要があります。組織の選択は、対象となる組織のカテゴリ、侵入テストの目標、セキュリティ テストの範囲によって異なります。すべてに当てはまる万能のアプローチはありません。ペネトレーション テスト プロセスの前に公正な脆弱性分析を行うには、組織がセキュリティ問題とセキュリティ ポリシーを理解する必要があります。
上位 5 つの侵入テスト手法
侵入テスト プロセスの最初のステップの 1 つは、どの方法に従うかを決定することです。
以下では、利害関係者や組織を特定のニーズに最適な方法に導き、必要なすべての領域を確実にカバーできるようにするために、最も人気のある 5 つの侵入テスト フレームワークとペネトレーション テスト方法論について詳しく説明します。
1. オープンソースのセキュリティテスト方法マニュアル
オープンソース セキュリティ テスト方法マニュアル (OSSTMM) は、侵入テストの最も一般的な標準の 1 つです。この方法論はセキュリティ テストに関してピアレビューされており、Institute for Security and Open Methodology (ISECOM) によって作成されました。
この方法は、テスター向けのアクセスしやすく適応可能なガイドを備えたペネトレーション テストへの科学的アプローチに基づいています。 OSSTMM には、その方法論における運用上の焦点、チャネル テスト、メトリクス、信頼分析などの主要な機能が含まれています。
OSSTMM は、ペネトレーション テストの専門家向けに、ネットワーク侵入テストと脆弱性評価のフレームワークを提供します。これは、プロバイダーが機密データや認証に関する問題などの脆弱性を発見して解決するためのフレームワークとなることを目的としています。
2. Web アプリケーション セキュリティ プロジェクトを開く
OWASP は Open Web Application Security Project の略で、Web アプリケーション セキュリティに特化したオープンソース組織です。
この非営利団体の目標は、そのすべての資料を無料にして、Web アプリケーションのセキュリティを向上させたい人が簡単にアクセスできるようにすることです。 OWASP には独自の トップ10 (リンクは外部にあります) IBM.com)、これは、クロスサイト スクリプティング、認証の失敗、ファイアウォールの背後への侵入など、Web アプリケーションに対する最大のセキュリティ上の懸念事項とリスクを概説する、よく整備されたレポートです。 OWASP は、OWASP テスト ガイドの基礎として上位 10 リストを使用します。
このガイドは、Web アプリケーション開発用の OWASP テスト フレームワーク、Web アプリケーションのテスト方法およびレポートの 3 つの部分に分かれています。 Web アプリケーション方法論は、Web アプリケーション侵入テスト、モバイル アプリケーション侵入テスト、API 侵入テスト、IoT 侵入テストの Web テスト フレームワークの一部として、個別に使用することもできます。
3. ペネトレーションテスト実施基準
PTES (Penetration Testing Execution Standard) は、包括的な侵入テスト手法です。
PTES は情報セキュリティ専門家のチームによって設計され、ペネトレーション テストのあらゆる側面をカバーする 7 つの主要なセクションで構成されています。 PTES の目的は、組織がペネトレーション テストに何を期待すべきかを概説し、事前契約段階からプロセス全体を通してガイドするための技術ガイドラインを作成することです。
PTES は、侵入テストのベースラインとなり、セキュリティ専門家や組織に標準化された方法論を提供することを目的としています。このガイドでは、侵入テスト プロセスの最初から最後までの各段階でのベスト プラクティスなど、さまざまなリソースが提供されます。 PTES の主要な機能には、エクスプロイトとポストエクスプロイトがあります。エクスプロイトとは、次のような侵入テクニックを通じてシステムにアクセスするプロセスを指します。 社会工学 そしてパスワードクラッキング。悪用後とは、侵害されたシステムからデータが抽出され、アクセスが維持されることです。
4. 情報システムセキュリティ評価の枠組み
情報システム セキュリティ評価フレームワーク (ISSAF) は、情報システム セキュリティ グループ (OISSG) によってサポートされているペネトレーション テスト フレームワークです。
この方法論は現在は維持されていないため、最新の情報を得るには最適な情報源ではない可能性があります。ただし、その主な強みの 1 つは、個々の侵入テストのステップを特定の侵入テスト ツールにリンクしていることです。このタイプの形式は、個別の方法論を作成するための優れた基盤となります。
5. 米国国立標準技術研究所
NIST (National Institute of Standards and Technology) の略称は、連邦政府および外部組織が従うべき一連の侵入テスト標準を提供するサイバーセキュリティ フレームワークです。 NIST は米国商務省内の機関であり、従うべき最低基準と見なされるべきです。
NIST 侵入テストは、NIST から送信されたガイダンスに準拠しています。このようなガイダンスに準拠するには、組織は事前に決定された一連のガイドラインに従って侵入テストを実行する必要があります。
侵入テストの段階
スコープを設定する
侵入テストを開始する前に、テスト チームと会社はテストの範囲を設定します。この範囲では、どのシステムがテストされるのか、いつテストが行われるのか、侵入テスターが使用できる方法が概説されます。また、スコープによって、ペネトレーション テスターが事前にどれだけの情報を得ることができるかが決まります。
テストを開始する
次のステップは、スコープ計画をテストし、脆弱性と機能を評価することです。このステップでは、組織のインフラストラクチャをより深く理解するために、ネットワークと脆弱性のスキャンを実行できます。組織のニーズに応じて、内部テストと外部テストを実行できます。侵入テスターが実行できるテストには、ブラック ボックス テスト、ホワイト ボックス テスト、グレー ボックス テストなど、さまざまなテストがあります。それぞれが、ターゲット システムに関するさまざまな程度の情報を提供します。
ネットワークの概要を確立したら、テスターは指定された範囲内でシステムとアプリケーションの分析を開始できます。このステップでは、侵入テスターは構成ミスを理解するためにできるだけ多くの情報を収集します。
調査結果の報告
最後のステップは報告と報告です。このステップでは、特定された脆弱性の概要を示すペネトレーション テストの結果をすべて記載したペネトレーション テスト レポートを作成することが重要です。報告書には、軽減計画と、修復が行われない場合の潜在的なリスクを含める必要があります。
ペネトレーションテストとIBM
すべてをテストしようとすると、時間、予算、リソースが無駄になります。履歴データを備えた通信およびコラボレーション プラットフォームを使用することで、リスクの高いネットワーク、アプリケーション、デバイス、その他の資産を一元化、管理、優先順位付けして、セキュリティ テスト プログラムを最適化できます。 X-Force® Red Portal を使用すると、修復に関係する全員が脆弱性が発見された直後にテスト結果を表示し、都合の良いときにセキュリティ テストをスケジュールすることができます。
X-Force のネットワーク侵入テスト サービスを探索する
この記事は役に立ちましたか?
はいいいえ
ビジネス変革の詳細
IBM ニュースレター
最新の思想的リーダーシップと新たなトレンドに関する洞察を提供するニュースレターとトピックの最新情報を入手してください。
今すぐ会員登録します。
その他のニュースレター
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.ibm.com/blog/pen-testing-methodology/
- :持っている
- :は
- :not
- :どこ
- $UP
- 1
- 10
- 視聴者の38%が
- 16
- 19
- 2023
- 2024
- 23
- 29
- 30
- 300
- 視聴者の38%が
- 39
- 40
- 400
- 7
- 80
- 9
- 視聴者の38%が
- a
- 私たちについて
- アクセス
- アクセス可能な
- 正確な
- Action
- 追加されました
- 進歩
- 広告運用
- 後
- に対して
- 代理店
- 先んじて
- 目指して
- 整列
- すべて
- 既に
- また
- amp
- an
- 分析
- 分析論
- 分析する
- および
- どれか
- 誰も
- API
- 申し込み
- アプリケーション開発
- アプリケーションセキュリティ
- アプローチ
- アプリ
- です
- エリア
- 記事
- AS
- 側面
- 評価する
- 評価
- 資産
- At
- 攻撃
- 試み
- 認証
- 著者
- 自動化
- 利用できます
- 平均
- バック
- バンキング
- ベース
- ベースライン
- 基礎
- BE
- 背後に
- BEST
- ベストプラクティス
- より良いです
- 最大の
- ブラックボックス
- ブログ
- ブログ
- 青
- ボトム
- ブランド
- 違反
- 違反
- もたらす
- 壊れた
- 予算
- ビルド
- ビジネス
- 実業家
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- (Comma Separated Values) ボタンをクリックして、各々のジョブ実行の詳細(開始/停止時間、変数値など)のCSVファイルをダウンロードします。
- by
- 缶
- 容量
- 資本
- 資本市場
- カーボン
- カード
- カード
- 慎重に
- 携帯
- CAT
- カテゴリー
- 原因となる
- 一元化
- 変化する
- 変更
- チャネル
- チェック
- 注文
- 選択
- 円
- CIS
- class
- 環境、テクノロジーを推奨
- 同僚
- カラー
- 到来
- 貿易
- コミュニケーション
- 企業
- 会社
- 比較します
- 競争力のある
- 複雑さ
- コンプライアンス
- 従う
- 包括的な
- 損害を受けた
- コンピュータ
- 懸念事項
- 検討
- 見なさ
- 消費者
- コンテナ
- 続ける
- 続ける
- 連続的に
- 縮小することはできません。
- コントロール
- controls
- 利便性
- 費用
- カウンター
- ここから
- カバーする
- カバー
- クラッキング
- 作成した
- 作成
- 重大な
- CSS
- カスタム
- 顧客
- 顧客の期待
- 顧客満足体験
- カスタマー・ロイヤルティ
- Customers
- CX
- サイバー攻撃
- サイバー攻撃
- サイバーセキュリティ
- データ
- データ侵害
- データセキュリティ
- 日付
- デブリーフィング
- 決定する
- 減少
- 専用の
- デフォルト
- 定義
- 配信する
- 配達
- 需要
- デモ
- 部門
- 部署
- 決まる
- によっては
- 説明
- 設計
- 決定する
- 開発する
- 開発
- 開発
- Devices
- 違い
- 異なります
- 発見する
- ダイビング
- 分割された
- do
- ありません
- 行われ
- 各
- 簡単に
- エッジ(Edge)
- 新興の
- 可能
- 将来
- 確保
- 入力します
- 特に
- 設立
- エーテル(ETH)
- 倫理的な
- さらに
- イベント
- EVER
- 誰も
- すべてのもの
- 優秀
- 実行
- 出口
- 期待する
- 期待
- 体験
- 説明
- 搾取
- 探る
- 外部
- 工場
- フェア
- 偽
- false
- 特徴
- 連邦政府の
- 連邦政府
- フィールド
- File
- ファイナル
- ファイナンス
- ファイナンシャル
- 金融業務
- もう完成させ、ワークスペースに掲示しましたか?
- 発見
- 調査結果
- 仕上げ
- ファイアウォール
- 名
- 最初のステップ
- 五
- 修正する
- フォーカス
- フォロー中
- フォント
- 形式でアーカイブしたプロジェクトを保存します.
- 前進
- 発見
- Foundation
- フレームワーク
- フレームワーク
- 無料版
- から
- function
- 機能性
- 未来
- 獲得
- 集まり
- ジェネレータ
- 取得する
- 受け
- 与えられた
- グローバル
- 目標
- 良い
- 商品
- ガバナンス
- 政府・公共機関
- グリッド
- グループ
- 成長する
- ガイダンス
- ガイド
- ガイドライン
- ガイド
- ハッカー
- ハッキング
- 起こる
- 害
- 持ってる
- 見出し
- 高さ
- 助けます
- 役立つ
- ハイ
- リスクが高い
- 雇う
- 歴史的
- 包括的な
- 認定条件
- How To
- しかしながら
- HTTPS
- IBM
- ICO
- ICON
- 特定され
- 識別
- if
- 画像
- 直ちに
- 影響
- 重要
- 改善します
- 改善
- in
- ストア内
- include
- 含ま
- 含めて
- 増える
- インクリメンタル
- index
- 個人
- 産業を変えます
- インフレ
- 情報
- 情報セキュリティー
- 情報機器
- インフラ
- 洞察
- 機関
- 相互作用
- 関心
- 金利
- 内部
- に
- 関係する
- IOT
- 問題
- IT
- ITS
- 1月
- JPG
- ただ
- 一つだけ
- キー
- 風景
- 大
- 最新の
- 起動する
- リーダーシップ
- レンズ
- less
- 可能性が高い
- LINE
- LINK
- リンク
- リスト
- ローカル
- ローカル
- より長いです
- 忠誠心
- 製
- メイン
- 維持する
- 主要な
- make
- マルウェア
- 管理します
- 管理
- マニュアル
- 手動で
- 多くの
- 市場
- 市場
- マーケット
- 材料
- 事態
- 最大幅
- 五月..
- 意味した
- 方法
- 方法論
- 方法論
- メソッド
- メトリック
- かもしれない
- 百万
- 分
- 最小
- 分
- 軽減する
- 緩和
- モバイル
- 他には?
- 最も
- 一番人気
- ずっと
- しなければなりません
- 国民
- ナビゲーション
- 必要
- 必要とされる
- ニーズ
- ネットワーク
- ネットワークセキュリティー
- ネットワーク
- 新作
- 新年
- ニュースレター
- 次の
- ニスト
- いいえ
- 非営利
- 何も
- 今
- 発生する
- of
- オフ
- 攻撃
- Office
- 頻繁に
- on
- ONE
- オンライン
- 開いた
- オープンソース
- 開設
- オペレーショナル
- 業務執行統括
- 機会
- 最適化
- 最適化
- 最適化
- or
- 組織
- 組織
- その他
- 私たちの
- 成果
- アウトライン
- 輪郭
- 概説する
- 外側
- が
- 全体
- 概要
- 自分の
- 所有者
- ペース
- ページ
- 痛み
- 苦痛点
- 部
- 部品
- パスワード
- ピアレビューされた
- 浸透
- 実行する
- 実行
- 実行
- 薬剤
- フィッシング詐欺
- 電話
- PHP
- 計画
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プラグイン
- ポイント
- 方針
- 人気
- ポータル
- 位置
- 可能
- ポスト
- 潜在的な
- プラクティス
- 準備
- 圧力
- 主要な
- 事前の
- 優先順位をつける
- 手続き
- プロセス
- ラボレーション
- 調達
- プロダクト
- 製品開発
- 製品品質
- 製品
- 専門家
- 演奏曲目
- プロジェクト
- 提供します
- プロバイダ
- は、大阪で
- 目的
- 追求
- 品質
- 質問
- 範囲
- 急速に
- 価格表
- むしろ
- リーディング
- リアル
- への
- レッド
- 削減
- 指し
- 残る
- 改善
- レポート
- 各種レポート作成
- の提出が必要です
- 必要
- 常駐
- 解決する
- リソース
- 反応する
- リテンションを維持
- リスク
- リスクアセスメント
- リスク
- ロボット
- ルーム
- ラン
- s
- セールス
- 貯蓄
- スキャニング
- スケジュール
- 科学的な
- スコープ
- スコーピング
- 画面
- スクリプト
- セクション
- セクター
- セキュリティ
- セキュリティテスト
- 敏感な
- 送信
- SEO
- サービス
- サービス
- セッションに
- セブン
- いくつかの
- ショート
- すべき
- 表示する
- 作品
- 側
- シグナル
- ウェブサイト
- スキル
- 小さい
- スマート
- So
- 解決
- 一部
- 時々
- ソース
- スペース
- 特定の
- 過ごす
- スポンサー
- 正方形
- ステージ
- ステージング
- ステークホルダー
- 標準
- 標準化されました
- 規格
- start
- 起動
- 滞在
- 手順
- ステップ
- 店舗
- 戦略
- 強み
- 強い
- 勉強
- 申し込む
- 成功した
- そのような
- サポート
- 驚くべき
- 周囲の
- SVG
- システム
- 戦術
- ターゲット
- チーム
- チーム
- 技術的
- テクニック
- 技術の
- テクノロジー
- 傾向があります
- 条件
- 三次
- test
- テスト
- テスター
- テスト
- テスト
- より
- 感謝
- それ
- 情報
- アプリ環境に合わせて
- それら
- テーマ
- そこ。
- ボーマン
- 彼ら
- 考える
- この
- それらの
- 考え
- 思考リーダーシップ
- 三
- 介して
- 全体
- 時間
- 役職
- 〜へ
- 今日の
- 一緒に
- あまりに
- 豊富なツール群
- top
- トップ10
- トピック
- 変換
- トレンド
- 信頼
- 試します
- 荒れ狂う
- さえずり
- type
- 私達
- 明らかにする
- 発見
- 下
- わかる
- 理解する
- 思いがけない
- 最新
- 更新版
- URL
- USD
- つかいます
- 中古
- 使用されます
- 多様
- 変化する
- 詳しく見る
- 目に見える
- 脆弱性
- 脆弱性
- 脆弱性評価
- 脆弱性スキャン
- W
- 望んでいる
- ました
- 無駄
- 仕方..
- we
- 弱点
- 天気
- ウェブ
- ウェブアプリケーション
- Webアプリケーション
- この試験は
- いつ
- かどうか
- which
- while
- 誰
- なぜ
- 意志
- 以内
- WordPress
- 労働者
- ワーキング
- 立派な
- でしょう
- 作家
- 書かれた
- XML
- 年
- 年
- 貴社
- 若い
- あなたの
- ゼファーネット