Przestrzeń internetowa stale się rozwija, stwarzając nowe możliwości dla cyberataków w systemie komputerowym, sieci lub aplikacji internetowej. Aby złagodzić takie ryzyko i przygotować się na nie, niezbędnym krokiem w znalezieniu luk w zabezpieczeniach, które może wykorzystać osoba atakująca, są testy penetracyjne.
Co to są testy penetracyjne?
A test penetracyjnylub „test pióra” to test bezpieczeństwa przeprowadzany w celu wyśmiewania cyberataku w działaniu. A Cyber atak może obejmować próbę wyłudzenia informacji lub naruszenie systemu bezpieczeństwa sieci. W zależności od wymaganych środków bezpieczeństwa organizacja może skorzystać z różnych rodzajów testów penetracyjnych. Test można przeprowadzić ręcznie lub za pomocą zautomatyzowanych narzędzi, biorąc pod uwagę konkretny sposób działania lub metodologię testu piórowego.
Dlaczego testy penetracyjne i kto jest w nie zaangażowany?
Warunki "etyczne hakowanie” i „testy penetracyjne” są czasami używane zamiennie, ale jest różnica. Etyczny hacking to pojęcie szersze bezpieczeństwo cybernetyczne pole obejmujące wszelkie wykorzystanie umiejętności hakerskich w celu poprawy bezpieczeństwa sieci. Testy penetracyjne to tylko jedna z metod stosowanych przez etycznych hakerów. Etyczni hakerzy mogą również zapewniać analizę złośliwego oprogramowania, ocenę ryzyka oraz inne narzędzia i techniki hakerskie w celu wykrycia i naprawienia słabych punktów bezpieczeństwa, zamiast powodować szkody.
IBM Koszt zgłoszenia naruszenia danych W 2023 r. średni globalny koszt naruszenia bezpieczeństwa danych w 2023 r. wyniósł 4.45 mln USD, co oznacza wzrost o 15% w ciągu 3 lat. Jednym ze sposobów ograniczenia tych naruszeń jest przeprowadzenie dokładnych i precyzyjnych testów penetracyjnych.
Firmy zatrudniają testerów piór do przeprowadzania symulowanych ataków na ich aplikacje, sieci i inne zasoby. Testerzy penetracji pomagają w przeprowadzaniu fałszywych ataków zespoły bezpieczeństwa odkryć krytyczne luki w zabezpieczeniach i poprawić ogólny stan bezpieczeństwa. Ataki te są często przeprowadzane przez drużyny czerwone lub ofensywne zespoły bezpieczeństwa. The czerwona drużyna symuluje taktykę, techniki i procedury (TTP) prawdziwych atakujących przeciwko własnemu systemowi organizacji w celu oceny ryzyka bezpieczeństwa.
Przystępując do procesu testów piórowych, należy wziąć pod uwagę kilka metodologii testów penetracyjnych. Wybór organizacji będzie zależał od kategorii organizacji docelowej, celu testu piórowego i zakresu testu bezpieczeństwa. Nie ma jednego, uniwersalnego podejścia. Wymaga to od organizacji zrozumienia swoich problemów związanych z bezpieczeństwem i polityki bezpieczeństwa, aby przed procesem testowania piórowego przeprowadzić rzetelną analizę podatności.
Obejrzyj demonstracje testowania pióra firmy X-Force
5 najlepszych metodologii testów penetracyjnych
Jednym z pierwszych kroków w procesie testowania pióra jest podjęcie decyzji, którą metodologię zastosować.
Poniżej omówimy pięć najpopularniejszych platform testów penetracyjnych i metodologii testów piórowych, aby pomóc zainteresowanym stronom i organizacjom wybrać najlepszą metodę odpowiadającą ich konkretnym potrzebom i upewnić się, że obejmuje ona wszystkie wymagane obszary.
1. Podręcznik metodologii testowania bezpieczeństwa typu open source
Podręcznik metodologii testowania bezpieczeństwa typu open source (OSSTMM) to jeden z najpopularniejszych standardów testów penetracyjnych. Metodologia ta jest recenzowana pod kątem testowania bezpieczeństwa i została stworzona przez Instytut Bezpieczeństwa i Otwartych Metodologii (ISECOM).
Metoda opiera się na naukowym podejściu do testów piórowych z dostępnymi i elastycznymi przewodnikami dla testerów. OSSTMM obejmuje w swojej metodologii kluczowe funkcje, takie jak koncentracja operacyjna, testowanie kanałów, metryki i analiza zaufania.
OSSTMM zapewnia ramy do testów penetracyjnych sieci i oceny podatności dla profesjonalistów zajmujących się testowaniem piórem. Ma stanowić platformę dla dostawców umożliwiającą znajdowanie i eliminowanie luk w zabezpieczeniach, takich jak wrażliwe dane i problemy związane z uwierzytelnianiem.
2. Otwórz projekt dotyczący bezpieczeństwa aplikacji internetowych
OWASP, skrót od Open Web Application Security Project, to organizacja typu open source zajmująca się bezpieczeństwem aplikacji internetowych.
Celem tej organizacji non-profit jest udostępnienie wszystkich jej materiałów bezpłatnie i łatwo dostępnym każdemu, kto chce poprawić bezpieczeństwo swoich aplikacji internetowych. OWASP ma swój własny Top 10 (link znajduje się poza ibm.com), który jest dobrze opracowanym raportem przedstawiającym największe obawy i zagrożenia związane z bezpieczeństwem aplikacji internetowych, takie jak wykonywanie skryptów między witrynami, zepsute uwierzytelnianie i przedostawanie się za zaporę ogniową. OWASP wykorzystuje listę 10 najlepszych jako podstawę swojego Przewodnika testowania OWASP.
Przewodnik podzielony jest na trzy części: Framework testowy OWASP do tworzenia aplikacji internetowych, metodologia testowania aplikacji internetowych i raportowanie. Metodologii aplikacji internetowych można używać oddzielnie lub jako część struktury testów sieciowych do testów penetracyjnych aplikacji internetowych, testów penetracyjnych aplikacji mobilnych, testów penetracyjnych API i testów penetracyjnych IoT.
3. Standard wykonania testów penetracyjnych
PTES, czyli Penetration Testing Execution Standard, to kompleksowa metoda testów penetracyjnych.
PTES został zaprojektowany przez zespół specjalistów ds. bezpieczeństwa informacji i składa się z siedmiu głównych sekcji obejmujących wszystkie aspekty testów piórowych. Celem PTES jest posiadanie wytycznych technicznych określających, czego organizacje powinny oczekiwać od testu penetracyjnego i prowadzenie ich przez cały proces, począwszy od etapu poprzedzającego zaangażowanie.
Celem PTES jest stworzenie punktu odniesienia dla testów penetracyjnych i zapewnienie ustandaryzowanej metodologii specjalistom i organizacjom zajmującym się bezpieczeństwem. Przewodnik zawiera szereg zasobów, takich jak najlepsze praktyki na każdym etapie procesu testów penetracyjnych, od początku do końca. Niektóre kluczowe cechy PTES to eksploatacja i eksploatacja poeksploatacyjna. Eksploatacja odnosi się do procesu uzyskiwania dostępu do systemu za pomocą technik penetracji, takich jak inżynieria społeczna i łamanie haseł. Eksploatacja następcza polega na wyodrębnieniu danych z zaatakowanego systemu i utrzymaniu dostępu.
4. Ramy oceny bezpieczeństwa systemu informatycznego
Ramy oceny bezpieczeństwa systemu informacyjnego (ISSAF) to platforma testów piórowych wspierana przez Grupę ds. Bezpieczeństwa Systemów Informacyjnych (OISSG).
Metodologia ta nie jest już stosowana i prawdopodobnie nie jest najlepszym źródłem najbardziej aktualnych informacji. Jednak jedną z jego głównych zalet jest to, że łączy poszczególne etapy testowania piórem z konkretnymi narzędziami do testowania pióra. Tego typu format może być dobrą podstawą do stworzenia zindywidualizowanej metodologii.
5. Narodowy Instytut Normalizacji i Technologii
NIST, skrót od Narodowego Instytutu Standardów i Technologii, to struktura cyberbezpieczeństwa zapewniająca zestaw standardów testów piórowych do stosowania przez rząd federalny i organizacje zewnętrzne. NIST jest agencją wchodzącą w skład Departamentu Handlu Stanów Zjednoczonych i należy ją uważać za minimalny standard, którego należy przestrzegać.
Testy penetracyjne NIST są zgodne z wytycznymi przesłanymi przez NIST. Aby zastosować się do takich wytycznych, organizacje muszą przeprowadzić testy penetracyjne zgodnie z wcześniej ustalonym zestawem wytycznych.
Etapy testowania pióra
Ustaw zakres
Przed rozpoczęciem testu piórowego zespół testujący i firma ustalają zakres testu. Zakres określa, które systemy będą testowane, kiedy testy zostaną przeprowadzone, a także metody, z których mogą korzystać testerzy piórowi. Zakres określa również, ile informacji będą mieli testerzy pióra z wyprzedzeniem.
Rozpocznij test
Następnym krokiem byłoby przetestowanie planu zakresu oraz ocena luk w zabezpieczeniach i funkcjonalności. Na tym etapie można przeprowadzić skanowanie sieci i podatności na ataki, aby lepiej zrozumieć infrastrukturę organizacji. W zależności od potrzeb organizacji można przeprowadzić testy wewnętrzne i zewnętrzne. Testerzy piórowi mogą przeprowadzić wiele różnych testów, w tym test czarnej skrzynki, test białej skrzynki i test szarej skrzynki. Każdy z nich zapewnia różny poziom informacji o systemie docelowym.
Po ustaleniu przeglądu sieci testerzy mogą przystąpić do analizy systemu i aplikacji w podanym zakresie. Na tym etapie testerzy pióra zbierają jak najwięcej informacji, aby zrozumieć wszelkie błędne konfiguracje.
Raport z ustaleń
Ostatnim krokiem jest złożenie raportu i podsumowanie. Na tym etapie ważne jest opracowanie raportu z testu penetracyjnego zawierającego wszystkie wyniki testu piórowego i opisujące zidentyfikowane luki. Sprawozdanie powinno zawierać plan działań łagodzących i potencjalne ryzyko, jeśli środki zaradcze nie zostaną podjęte.
Testowanie piórem i IBM
Jeśli spróbujesz przetestować wszystko, zmarnujesz czas, budżet i zasoby. Korzystając z platformy komunikacji i współpracy z danymi historycznymi, możesz centralizować, zarządzać i ustalać priorytety sieci, aplikacji, urządzeń i innych zasobów wysokiego ryzyka, aby zoptymalizować program testów bezpieczeństwa. Portal X-Force® Red umożliwia wszystkim osobom zaangażowanym w naprawę przeglądanie wyników testów natychmiast po wykryciu luk w zabezpieczeniach i planowanie testów bezpieczeństwa w dogodny dla nich sposób.
Poznaj usługi testów penetracyjnych sieci oferowane przez X-Force
Czy ten artykuł był pomocny?
TakNie
Więcej z Transformacja biznesowa
Biuletyny IBM
Otrzymuj nasze biuletyny i aktualizacje tematów, które dostarczają najnowszych informacji i spostrzeżeń na temat pojawiających się trendów.
Subskrybuj teraz
Więcej biuletynów
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.ibm.com/blog/pen-testing-methodology/
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 1
- 10
- 15%
- 16
- 19
- 2023
- 2024
- 23
- 29
- 30
- 300
- 35%
- 39
- 40
- 400
- 7
- 80
- 9
- 95%
- a
- O nas
- dostęp
- dostępny
- dokładny
- Działania
- w dodatku
- zaliczki
- Reklama
- Po
- przed
- agencja
- przed
- Cele
- Wyrównuje
- Wszystkie kategorie
- już
- również
- amp
- an
- analiza
- analityka
- Analizując
- i
- każdy
- ktoś
- api
- Zastosowanie
- Application Development
- bezpieczeństwo aplikacji
- aplikacje
- podejście
- mobilne i webowe
- SĄ
- obszary
- artykuł
- AS
- aspekty
- oszacować
- oszacowanie
- Aktywa
- At
- Ataki
- próba
- Uwierzytelnianie
- autor
- zautomatyzowane
- dostępny
- średni
- z powrotem
- Bankowość
- na podstawie
- Baseline
- podstawa
- BE
- za
- BEST
- Najlepsze praktyki
- Ulepsz Swój
- Najwyższa
- Czarna skrzynka
- Blog
- blogi
- Niebieski
- Dolny
- marek
- naruszenie
- naruszenia
- Przynosi
- Złamany
- budżet
- budować
- biznes
- biznesmenka
- ale
- przycisk
- by
- CAN
- Pojemność
- kapitał
- Rynki kapitałowe
- węgiel
- karta
- Kartki okolicznosciowe
- ostrożnie
- noszenie
- CAT
- Kategoria
- Spowodować
- scentralizować
- zmiana
- Zmiany
- Kanał
- ZOBACZ
- Koszyk
- wybór
- koła
- CIS
- klasa
- współpraca
- koledzy
- kolor
- przyjście
- Handel
- Komunikacja
- Firmy
- sukcesy firma
- porównać
- konkurencyjny
- złożoności
- spełnienie
- wykonania
- wszechstronny
- Zagrożone
- komputer
- Obawy
- Rozważać
- za
- Konsumenci
- Pojemnik
- kontynuować
- ciągły
- bez przerwy
- umowa
- kontrola
- kontroli
- wygoda
- Koszty:
- Przeciwdziałać
- kurs
- pokrycie
- obejmuje
- świetny
- stworzony
- Tworzenie
- krytyczny
- CSS
- zwyczaj
- klient
- oczekiwania klienta
- doświadczenie klienta
- Lojalność klientów
- Klientów
- CX
- Cyber atak
- cyberataki
- Bezpieczeństwo cybernetyczne
- dane
- naruszenie danych
- bezpieczeństwo danych
- Data
- zdać sprawozdanie
- Decydowanie
- zmniejszenie
- dedykowane
- Domyślnie
- definicje
- dostarczyć
- dostawa
- Kreowanie
- Demos
- Departament
- Działy
- zależeć
- W zależności
- opis
- zaprojektowany
- określa
- rozwijać
- rozwijanie
- oprogramowania
- urządzenia
- różnica
- różne
- odkryj
- nurkować
- podzielony
- do
- robi
- zrobić
- każdy
- z łatwością
- krawędź
- wschodzących
- Umożliwia
- starać się
- zapewnić
- Wchodzę
- szczególnie
- ustanowiony
- Eter (ETH)
- etyczny
- Parzyste
- wydarzenia
- EVER
- wszyscy
- wszystko
- Doskonałość
- egzekucja
- Wyjście
- oczekiwać
- oczekiwania
- doświadczenie
- wyjaśniając
- eksploatacja
- Exploring
- zewnętrzny
- fabryka
- sprawiedliwy
- imitacja
- fałszywy
- Korzyści
- Federalny
- Rząd federalny
- pole
- filet
- finał
- finansować
- budżetowy
- usługi finansowe
- Znajdź
- znalezieniu
- Ustalenia
- koniec
- zapora
- i terminów, a
- pierwsze kroki
- pięć
- Fix
- Skupiać
- obserwuj
- następujący
- czcionki
- W razie zamówieenia projektu
- format
- naprzód
- znaleziono
- Fundacja
- Framework
- Ramy
- Darmowy
- od
- funkcjonować
- Funkcjonalność
- przyszłość
- zyskuje
- zebranie
- generator
- otrzymać
- miejsce
- dany
- Globalne
- cel
- dobry
- towary
- zarządzanie
- Rząd
- Krata
- Zarządzanie
- Rosnąć
- poradnictwo
- poprowadzi
- wytyczne
- Przewodniki
- hakerzy
- włamanie
- zdarzyć
- zaszkodzić
- Have
- Nagłówek
- wysokość
- pomoc
- pomocny
- Wysoki
- wysokie ryzyko
- zatrudnić
- historyczny
- holistyczne
- W jaki sposób
- How To
- Jednak
- HTTPS
- IBM
- ICO
- ICON
- zidentyfikowane
- identyfikacja
- if
- obraz
- natychmiast
- Rezultat
- ważny
- podnieść
- poprawa
- in
- w sklepie
- zawierać
- obejmuje
- Włącznie z
- Zwiększać
- przyrostowe
- wskaźnik
- indywidualny
- przemysł
- inflacja
- Informacja
- bezpieczeństwo informacji
- Systemy informacyjne
- Infrastruktura
- spostrzeżenia
- Instytut
- Interakcje
- odsetki
- Stopy procentowe
- wewnętrzny
- najnowszych
- zaangażowany
- Internet przedmiotów
- problemy
- IT
- JEGO
- styczeń
- jpg
- właśnie
- tylko jeden
- Klawisz
- krajobraz
- duży
- firmy
- uruchomić
- Przywództwo
- Obiektyw
- mniej
- Prawdopodobnie
- Linia
- LINK
- linki
- Lista
- miejscowy
- lokalny
- dłużej
- Lojalność
- zrobiony
- Główny
- utrzymać
- poważny
- robić
- malware
- zarządzanie
- i konserwacjami
- podręcznik
- ręcznie
- wiele
- rynek
- rynek
- rynki
- materiał
- Matters
- Maksymalna szerokość
- Może..
- Oznaczało
- metoda
- metodologie
- Metodologia
- metody
- Metryka
- może
- milion
- min
- minimum
- minuty
- Złagodzić
- łagodzenie
- Aplikacje mobilne
- jeszcze
- większość
- Najbardziej popularne posty
- dużo
- musi
- narodowy
- Nawigacja
- niezbędny
- potrzebne
- wymagania
- sieć
- Bezpieczeństwo sieci
- sieci
- Nowości
- nowy rok
- Newsletter
- Następny
- nist
- Nie
- niedochodowy
- nic
- już dziś
- występować
- of
- poza
- obraźliwy
- Biurowe
- często
- on
- ONE
- Online
- koncepcja
- open source
- otwarcie
- operacyjny
- operacje
- Szanse
- Optymalizacja
- zoptymalizowane
- optymalizacji
- or
- organizacja
- organizacji
- Inne
- ludzkiej,
- wyniki
- zarys
- wytyczne
- obrysowywanie
- zewnętrzne
- koniec
- ogólny
- przegląd
- własny
- właściciel
- krążył
- strona
- Ból
- Punkty bólowe
- część
- strony
- Hasło
- recenzowany
- penetracja
- wykonać
- wykonywane
- wykonywania
- Przemysł farmaceutyczny
- phishing
- telefon
- PHP
- krok po kroku
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- wtyczka
- zwrotnica
- polityka
- Popularny
- Portal
- position
- możliwy
- Post
- potencjał
- praktyki
- Przygotować
- nacisk
- pierwotny
- Wcześniejszy
- Priorytet
- procedury
- wygląda tak
- procesów
- Zamówień
- Produkt
- rozwój produktów
- Jakość produktu
- Produkty
- specjalistów
- Program
- projekt
- zapewniać
- dostawców
- zapewnia
- cel
- pościg
- jakość
- pytania
- zasięg
- szybko
- ceny
- raczej
- Czytający
- real
- w czasie rzeczywistym
- Czerwony
- redukcja
- odnosi
- pozostawać
- remediacja
- raport
- Raportowanie
- wymagany
- Wymaga
- mieszka
- rozwiązać
- Zasoby
- czuły
- zachować
- Ryzyko
- ocena ryzyka
- ryzyko
- roboty
- Pokój
- run
- s
- sole
- Oszczędności
- skanowanie
- rozkład
- naukowy
- zakres
- Zakres
- Ekran
- skrypty
- działy
- Sektory
- bezpieczeństwo
- testy bezpieczeństwa
- wrażliwy
- wysłany
- seo
- serwer
- usługa
- Usługi
- zestaw
- siedem
- kilka
- Short
- powinien
- pokazać
- Targi
- bok
- Signal
- witryna internetowa
- umiejętności
- mały
- mądry
- So
- Rozwiązywanie
- kilka
- czasami
- Źródło
- Typ przestrzeni
- specyficzny
- wydać
- Łącza
- kwadraty
- STAGE
- inscenizacja
- interesariusze
- standard
- standaryzowany
- standardy
- początek
- Startowy
- przebywający
- Ewolucja krok po kroku
- Cel
- sklep
- Strategia
- silne strony
- silny
- Badanie
- subskrybuj
- udany
- taki
- Utrzymany
- zaskakujący
- otaczający
- SVG
- system
- systemy
- taktyka
- cel
- zespół
- Zespoły
- Techniczny
- Techniki
- techniczny
- Technologia
- Tendencję
- REGULAMIN
- trzeciorzędowy
- test
- przetestowany
- testerzy
- Testowanie
- Testy
- niż
- dzięki
- że
- Połączenia
- Informacje
- ich
- Im
- motyw
- Tam.
- Te
- one
- myśleć
- to
- tych
- myśl
- myśl przywództwo
- trzy
- Przez
- poprzez
- czas
- Tytuł
- do
- dzisiaj
- razem
- także
- narzędzia
- Top
- Top 10
- aktualny
- Transformacja
- Trendy
- Zaufaj
- próbować
- burzliwie
- i twitterze
- rodzaj
- typy
- nas
- odkryć
- odkryte
- dla
- zrozumieć
- zrozumienie
- nieprzewidziany
- nowomodny
- Nowości
- URL
- USD
- posługiwać się
- używany
- zastosowania
- za pomocą
- różnorodność
- zmienne
- Zobacz i wysłuchaj
- widoczny
- Luki w zabezpieczeniach
- wrażliwość
- Ocena podatności
- skanowanie podatności
- W
- chce
- była
- Marnotrawstwo
- Droga..
- we
- Słabości
- Pogoda
- sieć
- Aplikacja internetowa
- Aplikacje internetowe
- Co
- jeśli chodzi o komunikację i motywację
- czy
- który
- Podczas
- KIM
- dlaczego
- będzie
- w
- w ciągu
- WordPress
- pracowników
- pracujący
- godny
- by
- pisarz
- napisany
- XML
- rok
- lat
- ty
- młody
- Twój
- zefirnet