Интернет-пространство продолжает быстро расти, открывая все больше возможностей для кибератак внутри компьютерной системы, сети или веб-приложения. Чтобы смягчить такие риски и подготовиться к ним, тестирование на проникновение является необходимым шагом в поиске уязвимостей безопасности, которые может использовать злоумышленник.
Что такое тестирование на проникновение?
A тест на проникновениеили «тест на проникновение» — это тест безопасности, который проводится для имитации кибератаки в действии. А кибератаки может включать попытку фишинга или нарушение системы сетевой безопасности. Организации доступны различные типы тестирования на проникновение в зависимости от необходимых мер безопасности. Тест может проводиться вручную или с помощью автоматизированных инструментов с учетом определенного курса действий или методологии пен-тестирования.
Зачем нужно тестирование на проникновение и кто в нем участвует?
Термины «этический хакер» и «тестирование на проникновение» иногда используются как синонимы, но разница есть. Этический хакерство – это более широкое понятие. информационной безопасности поле, которое включает в себя любое использование хакерских навыков для повышения безопасности сети. Тесты на проникновение — лишь один из методов, которые используют этические хакеры. Этические хакеры также могут предоставлять анализ вредоносного ПО, оценку рисков и другие хакерские инструменты и методы для выявления и устранения недостатков безопасности, а не для причинения вреда.
IBM, Стоимость отчета о утечке данных В 2023 году было обнаружено, что средняя глобальная стоимость утечки данных в 2023 году составит 4.45 миллиона долларов США, что на 15% больше, чем за 3 года. Одним из способов смягчения этих нарушений является проведение точного и целенаправленного тестирования на проникновение.
Компании нанимают пен-тестеров для имитации атак на их приложения, сети и другие активы. Проводя ложные атаки, тестеры на проникновение помогают службы безопасности выявлять критические уязвимости безопасности и улучшать общее состояние безопасности. Эти атаки часто осуществляются красными командами или наступательными группами безопасности. красная команда имитирует тактику, методы и процедуры реальных злоумышленников (TTP) против собственной системы организации как способ оценки риска безопасности.
Приступая к процессу тестирования на проникновение, следует учитывать несколько методологий тестирования на проникновение. Выбор организации будет зависеть от категории целевой организации, цели проверки на проникновение и объема проверки безопасности. Не существует универсального подхода. Чтобы провести справедливый анализ уязвимостей перед процессом пен-тестирования, организация должна понимать свои проблемы безопасности и политику безопасности.
Посмотрите демонстрации тестирования пера от X-Force
5 лучших методологий тестирования на проникновение
Одним из первых шагов в процессе пен-тестирования является принятие решения о том, какой методологии следовать.
Ниже мы рассмотрим пять наиболее популярных сред тестирования на проникновение и методологий тестирования на проникновение, чтобы помочь заинтересованным сторонам и организациям выбрать лучший метод для их конкретных потребностей и гарантировать, что он охватывает все необходимые области.
1. Руководство по методологии тестирования безопасности с открытым исходным кодом
Руководство по методологии тестирования безопасности с открытым исходным кодом (OSSTMM) — один из самых популярных стандартов тестирования на проникновение. Эта методология прошла рецензирование для тестирования безопасности и была создана Институтом безопасности и открытых методологий (ISECOM).
Метод основан на научном подходе к пен-тестированию с доступными и адаптируемыми руководствами для тестировщиков. OSSTMM включает в свою методологию ключевые функции, такие как операционная направленность, тестирование каналов, метрики и анализ доверия.
OSSTMM предоставляет основу для тестирования на проникновение в сеть и оценки уязвимостей для специалистов по пен-тестированию. Он предназначен для того, чтобы поставщики могли найти и устранить уязвимости, такие как конфиденциальные данные и проблемы, связанные с аутентификацией.
2. Откройте проект безопасности веб-приложений.
OWASP, сокращение от Open Web Application Security Project, — это организация с открытым исходным кодом, занимающаяся безопасностью веб-приложений.
Цель некоммерческой организации — сделать все свои материалы бесплатными и легко доступными для всех, кто хочет улучшить безопасность своих веб-приложений. OWASP имеет свой собственный Топ-10 (ссылка находится за пределами IBM.com), который представляет собой хорошо поддерживаемый отчет, в котором описываются самые большие проблемы безопасности и риски для веб-приложений, такие как межсайтовый скриптинг, нарушение аутентификации и проникновение за брандмауэр. OWASP использует список 10 лучших приложений в качестве основы для своего руководства по тестированию OWASP.
Руководство разделено на три части: среда тестирования OWASP для разработки веб-приложений, методология тестирования веб-приложений и отчеты. Методологию веб-приложений можно использовать отдельно или как часть среды веб-тестирования для тестирования на проникновение веб-приложений, тестирования на проникновение мобильных приложений, тестирования на проникновение API и тестирования на проникновение в Интернет вещей.
3. Стандарт проведения тестирования на проникновение
PTES, или Стандарт выполнения тестирования на проникновение, представляет собой комплексный метод тестирования на проникновение.
PTES был разработан командой профессионалов в области информационной безопасности и состоит из семи основных разделов, охватывающих все аспекты пен-тестирования. Цель PTES — разработать технические рекомендации, описывающие, чего организациям следует ожидать от теста на проникновение, и направлять их на протяжении всего процесса, начиная с предварительного этапа.
PTES призван стать основой для тестов на проникновение и предоставить стандартизированную методологию для специалистов и организаций по безопасности. В руководстве представлен ряд ресурсов, в том числе лучшие практики на каждом этапе процесса тестирования на проникновение, от начала до конца. Некоторыми ключевыми особенностями PTES являются эксплуатация и последующая эксплуатация. Эксплуатация относится к процессу получения доступа к системе с помощью таких методов проникновения, как социальная инженерия и взлом пароля. Пост-эксплуатация — это когда данные извлекаются из скомпрометированной системы и доступ сохраняется.
4. Структура оценки безопасности информационных систем
Структура оценки безопасности информационных систем (ISSAF) — это система тестирования на проникновение, поддерживаемая Группой безопасности информационных систем (OISSG).
Эта методология больше не поддерживается и, вероятно, не является лучшим источником самой актуальной информации. Однако одной из его основных сильных сторон является то, что он связывает отдельные этапы пен-тестирования с конкретными инструментами пен-теста. Этот тип формата может стать хорошей основой для создания индивидуальной методологии.
5. Национальный институт стандартов и технологий
NIST, сокращение от Национального института стандартов и технологий, представляет собой структуру кибербезопасности, которая предоставляет набор стандартов проверки на проникновение, которым должны следовать федеральное правительство и сторонние организации. NIST является агентством Министерства торговли США и его следует рассматривать как минимальный стандарт, которому необходимо следовать.
Тестирование на проникновение NIST соответствует рекомендациям NIST. Чтобы соответствовать таким рекомендациям, организации должны проводить тесты на проникновение, следуя заранее определенному набору правил.
Этапы тестирования пера
Установить область действия
Прежде чем начать пен-тест, группа тестирования и компания определяют объем теста. В объеме указывается, какие системы будут тестироваться, когда будет проводиться тестирование, а также методы, которые могут использовать пен-тестеры. Объем также определяет, какой объем информации будет у пен-тестеров заранее.
Запуск теста
Следующим шагом будет проверка плана масштабирования и оценка уязвимостей и функциональности. На этом этапе можно выполнить сканирование сети и уязвимостей, чтобы лучше понять инфраструктуру организации. Внутреннее тестирование и внешнее тестирование могут проводиться в зависимости от потребностей организации. Пен-тестеры могут проводить различные тесты, включая тест «черного ящика», тест «белого ящика» и тест «серого ящика». Каждый из них предоставляет разную степень информации о целевой системе.
Как только будет создан обзор сети, тестировщики могут приступить к анализу системы и приложений в рамках заданного объема. На этом этапе пентестеры собирают как можно больше информации, чтобы понять любые неправильные настройки.
Отчет о результатах
Последним шагом является составление отчета и подведение итогов. На этом этапе важно подготовить отчет о тестировании на проникновение, в котором будут указаны все результаты пен-теста с указанием выявленных уязвимостей. Отчет должен включать план смягчения последствий и потенциальные риски, если исправление не произойдет.
Пен-тестирование и IBM
Если вы попытаетесь протестировать все, вы потратите впустую свое время, бюджет и ресурсы. Используя платформу для общения и совместной работы с историческими данными, вы можете централизовать, управлять и определять приоритетность сетей, приложений, устройств и других активов высокого риска для оптимизации вашей программы тестирования безопасности. Портал X-Force® Red Portal позволяет всем, кто участвует в исправлении, просматривать результаты тестирования сразу после обнаружения уязвимостей и планировать тесты безопасности в удобное для них время.
Ознакомьтесь с услугами тестирования на проникновение в сеть от X-Force
Была ли эта статья полезна?
ДаНет
Еще из раздела «Трансформация бизнеса»
Информационные бюллетени IBM
Получайте наши информационные бюллетени и обновления тем, в которых представлены последние передовые идеи и понимание новых тенденций.
Подписаться
Больше информационных бюллетеней
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.ibm.com/blog/pen-testing-methodology/
- :имеет
- :является
- :нет
- :куда
- $UP
- 1
- 10
- 15%
- 16
- 19
- 2023
- 2024
- 23
- 29
- 30
- 300
- 35%
- 39
- 40
- 400
- 7
- 80
- 9
- 95%
- a
- О нас
- доступ
- доступной
- точный
- Действие
- добавленный
- авансы
- Реклама
- После
- против
- агентство
- впереди
- Цель
- Выравнивает
- Все
- уже
- причислены
- amp
- an
- анализ
- аналитика
- анализ
- и
- любой
- кто угодно
- API
- Применение
- Разработка приложения
- безопасность приложения
- Приложения
- подхода
- Программы
- МЫ
- области
- гайд
- AS
- аспекты
- оценить
- оценки;
- Активы
- At
- нападки
- попытка
- Аутентификация
- автор
- Автоматизированный
- доступен
- в среднем
- назад
- Банковское дело
- основанный
- Базовая линия
- основа
- BE
- за
- ЛУЧШЕЕ
- лучшие практики
- Лучшая
- Крупнейшая
- Черный ящик
- Блог
- блоги
- Синии
- Дно
- брендов
- нарушение
- нарушения
- Приносит
- Сломанный
- бюджет
- строить
- бизнес
- бизнес-леди
- но
- кнопка
- by
- CAN
- Пропускная способность
- столица
- Рынки капитала
- углерод
- карта
- Карты
- осторожно
- проведение
- КПП
- Категории
- Вызывать
- централизовать
- изменение
- изменения
- Канал
- проверка
- Оформить заказ
- выбор
- круги
- СНГ
- класс
- сотрудничество
- коллеги
- цвет
- приход
- Commerce
- Связь
- Компании
- Компания
- сравнить
- конкурентоспособный
- сложности
- Соответствие закону
- соблюдать
- комплексный
- Ослабленный
- компьютер
- Обеспокоенность
- Рассматривать
- считается
- Потребители
- Container
- продолжать
- продолжается
- непрерывно
- контракт
- контроль
- контрольная
- удобство
- Цена
- счетчик
- курс
- покрытие
- чехлы
- растрескивание
- создали
- Создающий
- критической
- CSS
- изготовленный на заказ
- клиент
- ожидания клиентов
- опыт работы с клиентами
- Лояльность клиентов
- Клиенты
- CX
- Кибератака
- кибератаки
- Информационная безопасность
- данным
- Данные нарушения
- безопасность данных
- Время
- опрашивать о выполнении задания
- Решение
- убывающий
- преданный
- По умолчанию
- Определения
- доставить
- поставка
- Спрос
- Демос
- Кафедра
- ведомства
- зависеть
- в зависимости
- описание
- предназначенный
- определяет
- развивать
- развивающийся
- Развитие
- Устройства
- разница
- различный
- обнаружить
- погружение
- Разделенный
- do
- приносит
- сделанный
- каждый
- легко
- Edge
- появление
- позволяет
- прилагать усилия
- обеспечивать
- Enter
- особенно
- установленный
- Эфир (ETH)
- этический
- Даже
- События
- НИКОГДА
- все члены
- многое
- Превосходство
- выполнение
- Выход
- ожидать
- ожидания
- опыт
- объясняя
- эксплуатация
- Исследование
- и, что лучший способ
- завод
- ярмарка
- не настоящие
- ложный
- Особенности
- Федеральный
- Федеральное правительство
- поле
- Файл
- окончательный
- финансы
- финансовый
- финансовые услуги
- Найдите
- обнаружение
- результаты
- окончание
- брандмауэр
- First
- первые шаги
- 5
- фиксированный
- Фокус
- следовать
- после
- шрифты
- Что касается
- формат
- вперед
- найденный
- Год основания
- Рамки
- каркасы
- Бесплатно
- от
- функция
- функциональность
- будущее
- получение
- сбор
- генератор
- получить
- получающий
- данный
- Глобальный
- цель
- хорошо
- товары
- управление
- Правительство
- сетка
- группы
- Расти
- руководство
- инструкция
- методические рекомендации
- Гиды
- Хакеры
- взлом
- происходить
- вред
- Есть
- Заголовок
- высота
- помощь
- полезный
- High
- высокий риск
- Наем
- исторический
- целостный
- Как
- How To
- Однако
- HTTPS
- IBM
- ICO
- ICON
- идентифицированный
- идентифицирующий
- if
- изображение
- немедленно
- Влияние
- важную
- улучшать
- улучшение
- in
- в магазине
- включают
- включает в себя
- В том числе
- Увеличение
- дополнительный
- индекс
- individual
- промышленность
- инфляция
- информация
- информационная безопасность
- Информационные системы
- Инфраструктура
- размышления
- Институт
- взаимодействие
- интерес
- Процентные ставки
- в нашей внутренней среде,
- в
- вовлеченный
- КАТО
- вопросы
- IT
- ЕГО
- январь
- JPG
- всего
- только один
- Основные
- пейзаж
- большой
- последний
- запуск
- Наша команда
- объектив
- Меньше
- Вероятно
- линия
- LINK
- связи
- Список
- локальным
- местный
- дольше
- Лояльность
- сделанный
- Главная
- поддерживать
- основной
- сделать
- вредоносных программ
- управлять
- управление
- руководство
- вручную
- многих
- рынок
- рынка
- Области применения:
- материала
- Вопросы
- макс-ширина
- Май..
- означает,
- метод
- методологии
- Методология
- методы
- Метрика
- может быть
- миллиона
- мин
- минимальный
- минут
- смягчать
- смягчение
- Мобильный телефон
- БОЛЕЕ
- самых
- Самые популярные
- много
- должен
- национальный
- Навигация
- необходимо
- необходимый
- потребности
- сеть
- Сетевая безопасность
- сетей
- Новые
- Новый год
- Рассылки
- следующий
- NIST
- нет
- некоммерческий
- ничего
- сейчас
- происходить
- of
- от
- наступление
- Офис
- .
- on
- ONE
- онлайн
- открытый
- с открытым исходным кодом
- открытие
- оперативный
- Операционный отдел
- Возможности
- Оптимизировать
- оптимизированный
- оптимизирующий
- or
- организация
- организации
- Другое
- наши
- Результаты
- контур
- контуры
- с изложением
- внешнюю
- за
- общий
- обзор
- собственный
- владелец
- шагают
- страница
- боль
- Болевые точки
- часть
- части
- Пароль
- рецензируемых
- проникновение
- выполнять
- выполнены
- выполнения
- в Фармацевтической отрасли
- фишинг
- Телефон
- PHP
- план
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- плагин
- пунктов
- политика
- Популярное
- Портал
- должность
- возможное
- После
- потенциал
- практиками
- Подготовить
- давление
- первичный
- Предварительный
- Расставляйте приоритеты
- Процедуры
- процесс
- Процессы
- приобретение
- Продукт
- разработка продукта
- Качество продукции и цвета
- Продукция
- профессионалы
- FitPartner™
- Проект
- обеспечивать
- поставщики
- приводит
- цель
- преследование
- Вопросы
- ассортимент
- быстро
- Стоимость
- скорее
- Reading
- реальные
- реального времени
- Red
- снижение
- понимается
- оставаться
- рекультивация
- отчету
- Reporting
- обязательный
- требуется
- проживает
- решение
- Полезные ресурсы
- отзывчивый
- сохранять
- Снижение
- оценка риска
- рисках,
- Роботы
- Комната
- Run
- s
- главная
- экономия
- сканирование
- график
- научный
- сфера
- Обзорный
- экран
- скрипты
- разделах
- Сектора юридического права
- безопасность
- тестирование безопасности
- чувствительный
- послать
- поисковая оптимизация
- сервер
- обслуживание
- Услуги
- набор
- семь
- несколько
- Короткое
- должен
- показывать
- Шоу
- сторона
- сигнал
- сайте
- навыки
- небольшой
- умный
- So
- Решение
- некоторые
- иногда
- Источник
- Space
- конкретный
- тратить
- Спонсоров
- квадраты
- Этап
- инсценировка
- заинтересованных сторон
- стандарт
- нормированный
- стандартов
- Начало
- Начало
- пребывание
- Шаг
- Шаги
- магазин
- Стратегия
- сильные
- сильный
- Кабинет
- подписаться
- успешный
- такие
- Поддержанный
- удивительный
- окружающих
- SVG
- система
- системы
- тактика
- цель
- команда
- команды
- Технический
- снижения вреда
- технологический
- Технологии
- Тенденцию
- terms
- третичный
- тестXNUMX
- проверенный
- Тестеры
- Тестирование
- тестов
- чем
- благодаря
- который
- Ассоциация
- информация
- их
- Их
- тема
- Там.
- Эти
- они
- think
- этой
- те
- мысль
- продуманное лидерство
- три
- Через
- по всему
- время
- Название
- в
- Сегодняшних
- вместе
- слишком
- инструменты
- топ
- Топ-10
- тема
- трансформация
- Тенденции
- Доверие
- стараться
- турбулентный
- напишите
- Типы
- нам
- открывай
- непокрытый
- под
- понимать
- понимание
- непредвиденный
- новейший
- Updates
- URL
- USD
- использование
- используемый
- использования
- через
- разнообразие
- Различная
- Вид
- видимый
- Уязвимости
- уязвимость
- Оценка уязвимости
- сканирование уязвимостей
- W
- хочет
- законопроект
- Снизить отходы
- Путь..
- we
- слабые
- Погода
- Web
- веб приложение
- веб-приложений
- Что
- когда
- будь то
- который
- в то время как
- КТО
- зачем
- будете
- в
- WordPress
- рабочие
- работает
- достойный
- бы
- писатель
- письменный
- XML
- год
- лет
- являетесь
- молодой
- ВАШЕ
- зефирнет