Metodologie i standardy testów penetracyjnych – blog IBM

Przestrzeń internetowa stale się rozwija, stwarzając nowe możliwości dla cyberataków w systemie komputerowym, sieci lub aplikacji internetowej. Aby złagodzić takie ryzyko i przygotować się na nie, niezbędnym krokiem w znalezieniu luk w zabezpieczeniach, które może wykorzystać osoba atakująca, są testy penetracyjne.

Co to są testy penetracyjne?

A test penetracyjnylub „test pióra” to test bezpieczeństwa przeprowadzany w celu wyśmiewania cyberataku w działaniu. A Cyber ​​atak może obejmować próbę wyłudzenia informacji lub naruszenie systemu bezpieczeństwa sieci. W zależności od wymaganych środków bezpieczeństwa organizacja może skorzystać z różnych rodzajów testów penetracyjnych. Test można przeprowadzić ręcznie lub za pomocą zautomatyzowanych narzędzi, biorąc pod uwagę konkretny sposób działania lub metodologię testu piórowego.

Dlaczego testy penetracyjne i kto jest w nie zaangażowany?

Warunki "etyczne hakowanie” i „testy penetracyjne” są czasami używane zamiennie, ale jest różnica. Etyczny hacking to pojęcie szersze bezpieczeństwo cybernetyczne pole obejmujące wszelkie wykorzystanie umiejętności hakerskich w celu poprawy bezpieczeństwa sieci. Testy penetracyjne to tylko jedna z metod stosowanych przez etycznych hakerów. Etyczni hakerzy mogą również zapewniać analizę złośliwego oprogramowania, ocenę ryzyka oraz inne narzędzia i techniki hakerskie w celu wykrycia i naprawienia słabych punktów bezpieczeństwa, zamiast powodować szkody.

IBM Koszt zgłoszenia naruszenia danych W 2023 r. średni globalny koszt naruszenia bezpieczeństwa danych w 2023 r. wyniósł 4.45 mln USD, co oznacza wzrost o 15% w ciągu 3 lat. Jednym ze sposobów ograniczenia tych naruszeń jest przeprowadzenie dokładnych i precyzyjnych testów penetracyjnych.

Firmy zatrudniają testerów piór do przeprowadzania symulowanych ataków na ich aplikacje, sieci i inne zasoby. Testerzy penetracji pomagają w przeprowadzaniu fałszywych ataków zespoły bezpieczeństwa odkryć krytyczne luki w zabezpieczeniach i poprawić ogólny stan bezpieczeństwa. Ataki te są często przeprowadzane przez drużyny czerwone lub ofensywne zespoły bezpieczeństwa. The czerwona drużyna symuluje taktykę, techniki i procedury (TTP) prawdziwych atakujących przeciwko własnemu systemowi organizacji w celu oceny ryzyka bezpieczeństwa.

Przystępując do procesu testów piórowych, należy wziąć pod uwagę kilka metodologii testów penetracyjnych. Wybór organizacji będzie zależał od kategorii organizacji docelowej, celu testu piórowego i zakresu testu bezpieczeństwa. Nie ma jednego, uniwersalnego podejścia. Wymaga to od organizacji zrozumienia swoich problemów związanych z bezpieczeństwem i polityki bezpieczeństwa, aby przed procesem testowania piórowego przeprowadzić rzetelną analizę podatności.

Obejrzyj demonstracje testowania pióra firmy X-Force

5 najlepszych metodologii testów penetracyjnych

Jednym z pierwszych kroków w procesie testowania pióra jest podjęcie decyzji, którą metodologię zastosować.

Poniżej omówimy pięć najpopularniejszych platform testów penetracyjnych i metodologii testów piórowych, aby pomóc zainteresowanym stronom i organizacjom wybrać najlepszą metodę odpowiadającą ich konkretnym potrzebom i upewnić się, że obejmuje ona wszystkie wymagane obszary.

1. Podręcznik metodologii testowania bezpieczeństwa typu open source

Podręcznik metodologii testowania bezpieczeństwa typu open source (OSSTMM) to jeden z najpopularniejszych standardów testów penetracyjnych. Metodologia ta jest recenzowana pod kątem testowania bezpieczeństwa i została stworzona przez Instytut Bezpieczeństwa i Otwartych Metodologii (ISECOM).

Metoda opiera się na naukowym podejściu do testów piórowych z dostępnymi i elastycznymi przewodnikami dla testerów. OSSTMM obejmuje w swojej metodologii kluczowe funkcje, takie jak koncentracja operacyjna, testowanie kanałów, metryki i analiza zaufania.

OSSTMM zapewnia ramy do testów penetracyjnych sieci i oceny podatności dla profesjonalistów zajmujących się testowaniem piórem. Ma stanowić platformę dla dostawców umożliwiającą znajdowanie i eliminowanie luk w zabezpieczeniach, takich jak wrażliwe dane i problemy związane z uwierzytelnianiem.

2. Otwórz projekt dotyczący bezpieczeństwa aplikacji internetowych

OWASP, skrót od Open Web Application Security Project, to organizacja typu open source zajmująca się bezpieczeństwem aplikacji internetowych.

Celem tej organizacji non-profit jest udostępnienie wszystkich jej materiałów bezpłatnie i łatwo dostępnym każdemu, kto chce poprawić bezpieczeństwo swoich aplikacji internetowych. OWASP ma swój własny Top 10 (link znajduje się poza ibm.com), który jest dobrze opracowanym raportem przedstawiającym największe obawy i zagrożenia związane z bezpieczeństwem aplikacji internetowych, takie jak wykonywanie skryptów między witrynami, zepsute uwierzytelnianie i przedostawanie się za zaporę ogniową. OWASP wykorzystuje listę 10 najlepszych jako podstawę swojego Przewodnika testowania OWASP. 

Przewodnik podzielony jest na trzy części: Framework testowy OWASP do tworzenia aplikacji internetowych, metodologia testowania aplikacji internetowych i raportowanie. Metodologii aplikacji internetowych można używać oddzielnie lub jako część struktury testów sieciowych do testów penetracyjnych aplikacji internetowych, testów penetracyjnych aplikacji mobilnych, testów penetracyjnych API i testów penetracyjnych IoT.

3. Standard wykonania testów penetracyjnych

PTES, czyli Penetration Testing Execution Standard, to kompleksowa metoda testów penetracyjnych.

PTES został zaprojektowany przez zespół specjalistów ds. bezpieczeństwa informacji i składa się z siedmiu głównych sekcji obejmujących wszystkie aspekty testów piórowych. Celem PTES jest posiadanie wytycznych technicznych określających, czego organizacje powinny oczekiwać od testu penetracyjnego i prowadzenie ich przez cały proces, począwszy od etapu poprzedzającego zaangażowanie.

Celem PTES jest stworzenie punktu odniesienia dla testów penetracyjnych i zapewnienie ustandaryzowanej metodologii specjalistom i organizacjom zajmującym się bezpieczeństwem. Przewodnik zawiera szereg zasobów, takich jak najlepsze praktyki na każdym etapie procesu testów penetracyjnych, od początku do końca. Niektóre kluczowe cechy PTES to eksploatacja i eksploatacja poeksploatacyjna. Eksploatacja odnosi się do procesu uzyskiwania dostępu do systemu za pomocą technik penetracji, takich jak inżynieria społeczna i łamanie haseł. Eksploatacja następcza polega na wyodrębnieniu danych z zaatakowanego systemu i utrzymaniu dostępu.

4. Ramy oceny bezpieczeństwa systemu informatycznego

Ramy oceny bezpieczeństwa systemu informacyjnego (ISSAF) to platforma testów piórowych wspierana przez Grupę ds. Bezpieczeństwa Systemów Informacyjnych (OISSG).

Metodologia ta nie jest już stosowana i prawdopodobnie nie jest najlepszym źródłem najbardziej aktualnych informacji. Jednak jedną z jego głównych zalet jest to, że łączy poszczególne etapy testowania piórem z konkretnymi narzędziami do testowania pióra. Tego typu format może być dobrą podstawą do stworzenia zindywidualizowanej metodologii.

5. Narodowy Instytut Normalizacji i Technologii  

NIST, skrót od Narodowego Instytutu Standardów i Technologii, to struktura cyberbezpieczeństwa zapewniająca zestaw standardów testów piórowych do stosowania przez rząd federalny i organizacje zewnętrzne. NIST jest agencją wchodzącą w skład Departamentu Handlu Stanów Zjednoczonych i należy ją uważać za minimalny standard, którego należy przestrzegać.

Testy penetracyjne NIST są zgodne z wytycznymi przesłanymi przez NIST. Aby zastosować się do takich wytycznych, organizacje muszą przeprowadzić testy penetracyjne zgodnie z wcześniej ustalonym zestawem wytycznych.

Etapy testowania pióra

Ustaw zakres

Przed rozpoczęciem testu piórowego zespół testujący i firma ustalają zakres testu. Zakres określa, które systemy będą testowane, kiedy testy zostaną przeprowadzone, a także metody, z których mogą korzystać testerzy piórowi. Zakres określa również, ile informacji będą mieli testerzy pióra z wyprzedzeniem.

Rozpocznij test

Następnym krokiem byłoby przetestowanie planu zakresu oraz ocena luk w zabezpieczeniach i funkcjonalności. Na tym etapie można przeprowadzić skanowanie sieci i podatności na ataki, aby lepiej zrozumieć infrastrukturę organizacji. W zależności od potrzeb organizacji można przeprowadzić testy wewnętrzne i zewnętrzne. Testerzy piórowi mogą przeprowadzić wiele różnych testów, w tym test czarnej skrzynki, test białej skrzynki i test szarej skrzynki. Każdy z nich zapewnia różny poziom informacji o systemie docelowym.

Po ustaleniu przeglądu sieci testerzy mogą przystąpić do analizy systemu i aplikacji w podanym zakresie. Na tym etapie testerzy pióra zbierają jak najwięcej informacji, aby zrozumieć wszelkie błędne konfiguracje.

Raport z ustaleń

Ostatnim krokiem jest złożenie raportu i podsumowanie. Na tym etapie ważne jest opracowanie raportu z testu penetracyjnego zawierającego wszystkie wyniki testu piórowego i opisujące zidentyfikowane luki. Sprawozdanie powinno zawierać plan działań łagodzących i potencjalne ryzyko, jeśli środki zaradcze nie zostaną podjęte.

Testowanie piórem i IBM

Jeśli spróbujesz przetestować wszystko, zmarnujesz czas, budżet i zasoby. Korzystając z platformy komunikacji i współpracy z danymi historycznymi, możesz centralizować, zarządzać i ustalać priorytety sieci, aplikacji, urządzeń i innych zasobów wysokiego ryzyka, aby zoptymalizować program testów bezpieczeństwa. Portal X-Force® Red umożliwia wszystkim osobom zaangażowanym w naprawę przeglądanie wyników testów natychmiast po wykryciu luk w zabezpieczeniach i planowanie testów bezpieczeństwa w dogodny dla nich sposób.

Poznaj usługi testów penetracyjnych sieci oferowane przez X-Force