Metodologije in standardi penetracijskega testiranja – IBM-ov blog

Spletni prostor še naprej hitro raste in odpira več možnosti za kibernetske napade znotraj računalniškega sistema, omrežja ali spletne aplikacije. Za ublažitev takšnih tveganj in pripravo nanje je testiranje penetracije nujen korak pri iskanju varnostnih ranljivosti, ki bi jih lahko uporabil napadalec.

Kaj je penetracijski test?

A test penetracije, ali "pen test," je varnostni test, ki se izvaja za posmeh kibernetskemu napadu v akciji. A kibernapada lahko vključuje poskus lažnega predstavljanja ali vdor v varnostni sistem omrežja. Organizaciji so na voljo različne vrste testiranja prodora, odvisno od potrebnih varnostnih kontrol. Preizkus je mogoče izvesti ročno ali z avtomatiziranimi orodji skozi objektiv določenega poteka dejanja ali metodologije testiranja peresa.

Zakaj testiranje penetracije in kdo je vključen?

Izrazi „etični taksist« in »testiranje prodora« se včasih uporabljata izmenično, vendar obstaja razlika. Etično hekanje je širše kibernetske varnosti področje, ki vključuje uporabo hekerskih veščin za izboljšanje varnosti omrežja. Penetracijski testi so le ena od metod, ki jih uporabljajo etični hekerji. Etični hekerji lahko zagotovijo tudi analizo zlonamerne programske opreme, oceno tveganja ter druga hekerska orodja in tehnike za odkrivanje in odpravljanje varnostnih pomanjkljivosti, namesto da povzročijo škodo.

IBM-ovih Stroški poročila o kršitvi podatkov 2023 je ugotovil, da je svetovni povprečni strošek vdora podatkov v letu 2023 znašal 4.45 milijona USD, kar je 15-odstotno povečanje v treh letih. Eden od načinov za ublažitev teh kršitev je izvajanje natančnega in natančnega testiranja prodora.

Podjetja najemajo preizkuševalce peres, da sprožijo simulirane napade na njihove aplikacije, omrežja in druga sredstva. Z uprizarjanjem lažnih napadov pomagajo preizkuševalci penetracije varnostne ekipe odkriti kritične varnostne ranljivosti in izboljšati splošno varnostno stanje. Te napade pogosto izvajajo rdeče ekipe ali napadalne varnostne ekipe. The rdeča ekipa simulira taktiko, tehnike in postopke resničnega napadalca (TTP) proti lastnemu sistemu organizacije kot način za oceno varnostnega tveganja.

Obstaja več metodologij testiranja penetracije, ki jih morate upoštevati, ko vstopite v postopek testiranja peresa. Izbira organizacije bo odvisna od kategorije ciljne organizacije, cilja peresnega testa in obsega varnostnega testa. Pristopa, ki bi ustrezal vsem, ni. Od organizacije zahteva, da razume svoja varnostna vprašanja in varnostno politiko, da lahko pred postopkom testiranja peresa opravi pošteno analizo ranljivosti.

Oglejte si predstavitve testiranja peresa X-Force

5 najboljših metodologij testiranja penetracije

Eden od prvih korakov v procesu testiranja peresa je odločitev, kateri metodologiji boste sledili.

Spodaj se bomo poglobili v pet najbolj priljubljenih ogrodij testiranja prodora in metodologij testiranja peresa, da bi zainteresiranim stranem in organizacijam pomagali priti do najboljše metode za njihove posebne potrebe in zagotoviti, da pokriva vsa zahtevana področja.

1. Metodološki priročnik za testiranje odprtokodne varnosti

Open-Source Security Testing Methodology Manual (OSSTMM) je eden najbolj priljubljenih standardov testiranja penetracije. Ta metodologija je strokovno pregledana za varnostno testiranje in jo je ustvaril Inštitut za varnost in odprte metodologije (ISECOM).

Metoda temelji na znanstvenem pristopu k testiranju peresa z dostopnimi in prilagodljivimi vodniki za testerje. OSSTMM vključuje ključne funkcije, kot so operativni fokus, testiranje kanalov, metrike in analiza zaupanja v svoji metodologiji.

OSSTMM zagotavlja okvir za testiranje prodora v omrežje in oceno ranljivosti za strokovnjake za testiranje peresa. Zamišljeno je kot ogrodje za ponudnike, da najdejo in odpravijo ranljivosti, kot so občutljivi podatki in težave v zvezi z avtentikacijo.

2. Odprite Web Application Security Project

OWASP, okrajšava za Open Web Application Security Project, je odprtokodna organizacija, namenjena varnosti spletnih aplikacij.

Cilj neprofitne organizacije je narediti vse svoje gradivo brezplačno in lahko dostopno vsem, ki želijo izboljšati varnost lastne spletne aplikacije. OWASP ima svojega Top 10 (povezava se nahaja zunaj ibm.com), ki je dobro vzdrževano poročilo, ki opisuje največje varnostne pomisleke in tveganja za spletne aplikacije, kot so skriptno izvajanje med spletnimi mesti, pokvarjeno preverjanje pristnosti in uhajanje za požarni zid. OWASP uporablja seznam 10 najboljših kot osnovo za svoj vodnik za testiranje OWASP. 

Priročnik je razdeljen na tri dele: OWASP testni okvir za razvoj spletnih aplikacij, metodologija testiranja spletnih aplikacij in poročanje. Metodologijo spletne aplikacije je mogoče uporabiti ločeno ali kot del ogrodja za spletno testiranje za penetracijsko testiranje spletne aplikacije, penetracijsko testiranje mobilne aplikacije, penetracijsko testiranje API-ja in penetracijsko testiranje IoT.

3. Standard izvedbe penetracijskega testiranja

PTES ali Penetration Testing Execution Standard je celovita metoda testiranja prodora.

PTES je oblikovala skupina strokovnjakov za informacijsko varnost in je sestavljen iz sedmih glavnih razdelkov, ki pokrivajo vse vidike testiranja peresa. Namen PTES je imeti tehnične smernice, ki opisujejo, kaj naj organizacije pričakujejo od penetracijskega testa, in jih vodijo skozi celoten proces, začenši v fazi pred zaposlitvijo.

Cilj PTES je biti osnova za teste prodora in zagotoviti standardizirano metodologijo za varnostne strokovnjake in organizacije. Priročnik ponuja vrsto virov, kot so najboljše prakse v vsaki fazi postopka testiranja prodora, od začetka do konca. Nekatere ključne značilnosti PTES so izkoriščanje in naknadno izkoriščanje. Izkoriščanje se nanaša na proces pridobivanja dostopa do sistema s tehnikami prodora, kot je npr socialni inženiring in razbijanje gesel. Naknadno izkoriščanje je, ko se podatki izvlečejo iz ogroženega sistema in se ohrani dostop.

4. Ogrodje za ocenjevanje varnosti informacijskega sistema

Ogrodje za ocenjevanje varnosti informacijskega sistema (ISSAF) je ogrodje za testiranje peresa, ki ga podpira Skupina za varnost informacijskih sistemov (OISSG).

Ta metodologija se ne vzdržuje več in verjetno ni najboljši vir za najsodobnejše informacije. Vendar pa je ena njegovih glavnih prednosti ta, da povezuje posamezne korake testiranja peresa s posebnimi orodji za testiranje peresa. Ta vrsta formata je lahko dobra osnova za ustvarjanje individualizirane metodologije.

5. Nacionalni inštitut za standarde in tehnologijo  

NIST, okrajšava za Nacionalni inštitut za standarde in tehnologijo, je okvir kibernetske varnosti, ki zagotavlja nabor standardov za testiranje peres, ki jih morajo upoštevati zvezna vlada in zunanje organizacije. NIST je agencija znotraj Ministrstva za trgovino ZDA in bi morala veljati za minimalni standard, ki mu je treba slediti.

Preizkušanje penetracije NIST je v skladu z navodili, ki jih je poslal NIST. Za izpolnjevanje takšnih smernic morajo organizacije izvajati penetracijske teste po vnaprej določenem nizu smernic.

Faze testiranja peresa

Nastavite obseg

Preden se preizkus peresa začne, ekipa za testiranje in podjetje določita obseg za test. Obseg opisuje, kateri sistemi bodo testirani, kdaj se bo testiranje izvajalo in metode, ki jih lahko uporabljajo preizkuševalci peres. Obseg tudi določa, koliko informacij bodo preizkuševalci peres imeli vnaprej.

Začnite test

Naslednji korak bi bil preizkus načrta obsega ter ocena ranljivosti in funkcionalnosti. V tem koraku je mogoče opraviti skeniranje omrežja in ranljivosti, da bi bolje razumeli infrastrukturo organizacije. Notranje testiranje in zunanje testiranje se lahko izvajata glede na potrebe organizacije. Obstajajo številni testi, ki jih lahko opravijo preizkuševalci peres, vključno s testom črne škatle, testom bele škatle in testom sive škatle. Vsak zagotavlja različne stopnje informacij o ciljnem sistemu.

Ko je vzpostavljen pregled nad omrežjem, lahko testerji začnejo analizirati sistem in aplikacije v danem obsegu. V tem koraku preizkuševalci peres zbirajo čim več informacij, da bi razumeli morebitne napačne konfiguracije.

Poročilo o ugotovitvah

Zadnji korak je poročanje in poročilo. V tem koraku je pomembno razviti poročilo o penetracijskem testiranju z vsemi ugotovitvami iz testa peresa, ki opisuje ugotovljene ranljivosti. Poročilo mora vključevati načrt za ublažitev in morebitna tveganja, če do sanacije ne pride.

Testiranje peresa in IBM

Če poskušate preizkusiti vse, boste izgubili čas, proračun in sredstva. Z uporabo platforme za komunikacijo in sodelovanje s preteklimi podatki lahko centralizirate, upravljate in prednostno razvrstite omrežja, aplikacije, naprave in druga sredstva z visokim tveganjem, da optimizirate svoj program testiranja varnosti. Portal X-Force® Red omogoča vsem, ki so vključeni v sanacijo, da si ogledajo rezultate testov takoj po odkritju ranljivosti in načrtujejo varnostne teste, ko jim ustreza.

Raziščite storitve testiranja prodora v omrežje podjetja X-Force