Penetrasjonstestmetoder og standarder – IBM Blog

Nettområdet fortsetter å vokse raskt, noe som åpner flere muligheter for cyberangrep i et datasystem, nettverk eller nettapplikasjon. For å redusere og forberede seg på slike risikoer, er penetrasjonstesting et nødvendig skritt for å finne sikkerhetssårbarheter som en angriper kan bruke.

Hva er penetrasjonstesting?

A penetrasjonstest, eller "pennetest," er en sikkerhetstest som kjøres for å håne et nettangrep i aksjon. EN Cyber ​​angrep kan omfatte et phishing-forsøk eller et brudd på et nettverkssikkerhetssystem. Det finnes forskjellige typer penetrasjonstesting tilgjengelig for en organisasjon avhengig av sikkerhetskontrollene som trengs. Testen kan kjøres manuelt eller med automatiserte verktøy gjennom linsen til et bestemt handlingsforløp, eller penntestmetodikk.

Hvorfor penetrasjonstesting og hvem er involvert?

Vilkårene "etisk hacking” og “penetrasjonstesting” brukes noen ganger om hverandre, men det er en forskjell. Etisk hacking er bredere Cybersecurity felt som inkluderer bruk av hackingferdigheter for å forbedre nettverkssikkerheten. Penetrasjonstester er bare en av metodene etiske hackere bruker. Etiske hackere kan også tilby malware-analyse, risikovurdering og andre hackingverktøy og -teknikker for å avdekke og fikse sikkerhetssvakheter i stedet for å forårsake skade.

IBMs Kostnader for en dataovertredelsesrapport 2023 fant at den globale gjennomsnittskostnaden for et datainnbrudd i 2023 var USD 4.45 millioner, en økning på 15 % over 3 år. En måte å redusere disse bruddene på er å utføre nøyaktige og spisse penetrasjonstesting.

Bedrifter ansetter pennetestere for å starte simulerte angrep mot appene, nettverkene og andre eiendeler. Ved å iscenesette falske angrep hjelper penetrasjonstestere sikkerhetsteam avdekke kritiske sikkerhetssårbarheter og forbedre den generelle sikkerhetsstillingen. Disse angrepene utføres ofte av røde team, eller offensive sikkerhetsteam. De rødt lag simulerer en ekte angripers taktikk, teknikker og prosedyrer (TTP) mot organisasjonens eget system som en måte å vurdere sikkerhetsrisiko.

Det er flere penetrasjonstestmetoder å vurdere når du kommer inn i penntestingsprosessen. Organisasjonens valg vil avhenge av kategorien til målorganisasjonen, målet med pennetesten og omfanget av sikkerhetstesten. Det er ingen ensartet tilnærming. Det krever at en organisasjon forstår sine sikkerhetsproblemer og sikkerhetspolicyer for at det skal være en rettferdig sårbarhetsanalyse før pennetestprosessen.

Se demoer for penntesting fra X-Force

5 beste penetrasjonstestmetoder

Et av de første trinnene i penntestingsprosessen er å bestemme hvilken metodikk som skal følges.

Nedenfor vil vi dykke ned i fem av de mest populære rammeverkene for penetrasjonstesting og pennetestmetodene for å hjelpe interessenter og organisasjoner til den beste metoden for deres spesifikke behov og sikre at den dekker alle nødvendige områder.

1. Håndbok for metodikk for åpen kildekode for sikkerhetstesting

Open-Source Security Testing Methodology Manual (OSSTMM) er en av de mest populære standardene for penetrasjonstesting. Denne metodikken er fagfellevurdert for sikkerhetstesting og ble opprettet av Institute for Security and Open Methodologies (ISECOM).

Metoden er basert på en vitenskapelig tilnærming til pennetesting med tilgjengelige og tilpasningsdyktige veiledninger for testere. OSSTMM inkluderer nøkkelfunksjoner, for eksempel et operasjonelt fokus, kanaltesting, beregninger og tillitsanalyse i metodikken.

OSSTMM gir et rammeverk for testing av nettverkspenetrasjon og sårbarhetsvurdering for fagfolk innen penntesting. Det er ment å være et rammeverk for leverandører for å finne og løse sårbarheter, for eksempel sensitive data og problemer rundt autentisering.

2. Åpne Web Application Security Project

OWASP, forkortelse for Open Web Application Security Project, er en åpen kildekode-organisasjon dedikert til nettapplikasjonssikkerhet.

Den ideelle organisasjonens mål er å gjøre alt sitt materiale gratis og lett tilgjengelig for alle som ønsker å forbedre sin egen nettapplikasjonssikkerhet. OWASP har sin egen Top 10 (lenken ligger utenfor ibm.com), som er en godt vedlikeholdt rapport som skisserer de største sikkerhetsproblemene og risikoene for nettapplikasjoner, for eksempel skripting på tvers av nettsteder, ødelagt autentisering og å komme bak en brannmur. OWASP bruker topp 10-listen som grunnlag for sin OWASP Testing Guide. 

Veiledningen er delt inn i tre deler: OWASP testramme for webapplikasjonsutvikling, webapplikasjonstestmetodikk og rapportering. Nettapplikasjonsmetodikken kan brukes separat eller som en del av rammeverket for netttesting for penetrasjonstesting av nettapplikasjoner, penetrasjonstesting for mobilapplikasjoner, API-penetrasjonstesting og IoT-penetrasjonstesting.

3. Gjennomføringsstandard for penetrasjonstesting

PTES, eller Penetration Testing Execution Standard, er en omfattende penetrasjonstestmetode.

PTES ble designet av et team av informasjonssikkerhetseksperter og består av syv hovedseksjoner som dekker alle aspekter av penntesting. Hensikten med PTES er å ha tekniske retningslinjer for å skissere hva organisasjoner bør forvente av en penetrasjonstest og veilede dem gjennom hele prosessen, med start på pre-engasjementstadiet.

PTES har som mål å være grunnlaget for penetrasjonstester og gi en standardisert metodikk for sikkerhetspersonell og organisasjoner. Veiledningen gir en rekke ressurser, for eksempel beste praksis i hvert trinn av penetrasjonstestingsprosessen, fra start til slutt. Noen nøkkeltrekk ved PTES er utnyttelse og etterutnyttelse. Utnyttelse refererer til prosessen med å få tilgang til et system gjennom penetrasjonsteknikker som f.eks sosialteknikk og knekking av passord. Etterutnyttelse er når data trekkes ut fra et kompromittert system og tilgang opprettholdes.

4. Framework for vurdering av informasjonssystemsikkerhet

Information System Security Assessment Framework (ISSAF) er et rammeverk for penntesting som støttes av Information Systems Security Group (OISSG).

Denne metodikken opprettholdes ikke lenger og er sannsynligvis ikke den beste kilden for den mest oppdaterte informasjonen. En av hovedstyrkene er imidlertid at den kobler individuelle penntestingstrinn med spesifikke penntestingsverktøy. Denne typen formater kan være et godt grunnlag for å lage en individualisert metodikk.

5. Nasjonalt institutt for standarder og teknologi  

NIST, forkortelse for National Institute of Standards and Technology, er et cybersikkerhetsrammeverk som gir et sett med standarder for penntesting som den føderale regjeringen og eksterne organisasjoner kan følge. NIST er et byrå innenfor det amerikanske handelsdepartementet og bør betraktes som minimumsstandarden å følge.

NIST-penetrasjonstesting stemmer overens med veiledningen sendt av NIST. For å overholde slike retningslinjer, må organisasjoner utføre penetrasjonstester i henhold til det forhåndsbestemte settet med retningslinjer.

Penn teststadier

Angi et omfang

Før en pennetest begynner, setter testteamet og selskapet et omfang for testen. Omfanget skisserer hvilke systemer som skal testes, når testingen skal skje, og metodene pennetestere kan bruke. Omfanget avgjør også hvor mye informasjon pennetestere vil ha på forhånd.

Start testen

Det neste trinnet ville være å teste omfangsplanen og vurdere sårbarheter og funksjonalitet. I dette trinnet kan nettverks- og sårbarhetsskanning gjøres for å få en bedre forståelse av organisasjonens infrastruktur. Intern testing og ekstern testing kan gjøres avhengig av organisasjonens behov. Det finnes en rekke tester pennetestere kan gjøre, inkludert en svart-boks-test, hvit-boks-test og grå-boks-test. Hver gir ulik grad av informasjon om målsystemet.

Når en oversikt over nettverket er etablert, kan testerne begynne å analysere systemet og applikasjonene innenfor det angitte omfanget. I dette trinnet samler pennetestere inn så mye informasjon som mulig for å forstå eventuelle feilkonfigurasjoner.

Rapport om funn

Det siste trinnet er å rapportere og debriefe. I dette trinnet er det viktig å utvikle en penetrasjonstestrapport med alle funnene fra pennetesten som beskriver sårbarhetene som er identifisert. Rapporten bør inneholde en plan for avbøtende tiltak og potensielle risikoer dersom utbedring ikke skjer.

Penntesting og IBM

Hvis du prøver å teste alt, vil du kaste bort tid, budsjett og ressurser. Ved å bruke en kommunikasjons- og samarbeidsplattform med historiske data kan du sentralisere, administrere og prioritere høyrisikonettverk, applikasjoner, enheter og andre eiendeler for å optimalisere sikkerhetstestprogrammet ditt. X-Force® Red Portal lar alle som er involvert i utbedring se testfunn umiddelbart etter at sårbarheter er avdekket og planlegge sikkerhetstester når det passer det.

Utforsk tjenester for testing av nettverkspenetrasjon fra X-Force