vulnerability assessment
Testování penetrace vs Skenování zranitelnosti:
Občas jsem viděl, jak se testeři a majitelé firem mýlí, aby pochopili základní myšlenku, která stojí za penetračním testem a skenováním zranitelnosti.
Oba jsou často zaměňováni za stejné služby. Když se podnik nedokáže rozhodnout, zda půjde na penetrační test nebo test zranitelnosti. Je penetrační testování stejné jako testování zranitelnosti nebo se liší? Pokud se liší, pak jsou příbuzní? Který si vybrat - Penetrační test nebo test zranitelnosti ?
Pokusíme se v tomto tutoriálu zjistit odpovědi na všechny výše uvedené otázky.
Co se naučíte:
- Úvod
- Úvod do testování penetrace
- Úvod do skenování zranitelností
- Testování penetrace vs Skenování zranitelnosti
- Souvisí skenování a testování penetrace navzájem?
- Který si vybrat - test pera nebo skenování zranitelnosti?
- Nejoblíbenější nástroje
- Závěr
- Doporučené čtení
Úvod
Nejprve bych chtěl, abyste si přečetli pět vět:
- Banány rostou na stromě.
- Normální člověk používá pouze 10% svého mozku.
- Praskání kloubů způsobuje ve stáří artritidu.
- Netopýři jsou slepí.
- Penetrační testování je stejné jako u testu zranitelnosti.
Dokážete uhodnout jednu společnou věc ze všech výše uvedených tvrzení? Všichni jsou mýty. Ano to je správně. Všichni jsou skutečně mýty.
V tomto našem výukovém programu se však neobtěžujeme ani o banány, ani o netopýry. Záleží nám jen na tom, aby se testování penetrace porovnalo se skenováním zranitelnosti. Chcete-li vědět více o srovnání nebo dokázat, že tvrzení je mýtus, nejprve analyzujeme Penetrační testování a skenování zranitelnosti samostatně.
Úvod do testování penetrace
Penetrační test je ve zkratce také známý jako „Pen Test“. Tento druh testu se provádí v systému, aby se našla cesta do systému. To může vystavit důležitá data, která jsou systémem uložena, vnějšímu světu.
Obecně může být cíl penetračního testování Typ bílé skříňky nebo typu černé skříňky .
Penetrační testování černé skříňky:
Tester obvykle neobsahuje žádné podrobnosti o systému kromě názvu. Je to velmi podobné hackerům z reálného života, kdy hacker neví o ničem jiném než o názvu aplikace.
Testování černé skříňky replikuje skutečné podmínky a není časově náročné. Kvůli neznámým oblastem souvisejícím se zdrojovým kódem a infrastrukturou však vždy existuje možnost zmeškaných částí systému.
Penetrační testování bílé krabice:
V tomto procesu jsou Testeru poskytnuta všechna potřebná data týkající se systému, který musí projít penetračním testováním.
Data mohou být síťová architektura, konfigurace systému, zdrojové kódy atd. Jedná se o zdlouhavější proces než testování perem typu Black Box. Jedná se o důkladný proces a ve srovnání s typem Black Box má hlubší pokrytí.
Testování perem se vždy provádí se svolením / požadavkem klienta. Provádění testování perem na webu bez souhlasu vlastníka je nezákonné a lze jej označit jako hacking.
Od této chvíle víme, co je to penetrační testování, a je čas znát důvod, proč se pro něj organizace rozhodnou. Říká se, že je lepší být v bezpečí, než litovat. Díky testování pera je architektura silnější a odolnější vůči útokům.
Úvod do skenování zranitelností
Kontrola zranitelnosti se používá k zjištění zranitelnosti / slabosti v systému. Tato úloha se provádí spuštěním aplikace [nazývané jako skener zranitelnosti] na cílovém počítači. Tyto aplikace nebo skenery lze spustit přímo na cílovém počítači nebo ze síťového umístění.
Umístění v síti přichází do obrazu pro větší organizace, zatímco není možné spustit skener na místních počítačích stále.
Nyní, Jak víte, který skener může pro vaši aplikaci fungovat? Odpověď je docela jednoduchá. To znamená, že skenery Vulnerability při skenování téměř nepoužívají podrobnosti / parametry systému.
Vše, co potřebují, je IP systému. Díky samotné IP adrese může skener zranitelnosti zjistit potenciální místa, kde lze v systému provést útok.
Existují situace, kdy má společnost intranet a ne všechny počítače jsou vystaveny světu internetu. V takovém případě musí být skener zranitelnosti spuštěn z intranetu, kterým lze zachytit skenování jak interních, tak externích zranitelností.
Jakmile je test / skenování dokončeno, skener pomáhá získat zprávu zobrazující všechny možné chyby zabezpečení. Vygenerovaná zpráva obsahuje různá data týkající se slabých míst v ní.
Data sahají od statistik serveru [na základě indexu zranitelnosti], stavu různých služeb běžících na různých serverech, stavu nalezených zranitelností na základě jejich úrovně závažnosti.
Jakmile je zpráva vygenerována, musí být analyzována, aby se zjistila skutečná situace. Ne vždy jsou zjištěné chyby zabezpečení tak závažné. Mohou nastat případy, kdy skener vytáhne název jen proto, že očekávaná data neodpovídají výstupu. To ale nakonec nemusí být opravdová zranitelnost.
To je důvod, proč je třeba provést další analýzu zprávy o kontrole zranitelnosti, aby se zjistilo, zda je nalezená zranitelnost správná nebo ne.
Testování penetrace vs Skenování zranitelnosti
Nyní víme, co je proces testování penetrace a co je skenování zranitelností.
Nyní by pokračování střetu mezi oběma obry bylo zábavné.
Příklad:
Dostaneme se do reálného příkladu, abychom pochopili rozdíl mezi těmito dvěma.
Vezměme si jako příklad pana X. Pan X je specialista na loupeže. Budeme sledovat jeho plán pro jeho další loupež. Plánuje vyloupit banku přítomnou uprostřed města.
Budova banky je obklopena policejní stanicí, hasičskou stanicí, veřejným parkem [který je v noci zavřený] a rybníkem. Budova banky je 20podlažní budova s heliportem nahoře. Než skutečně vykradne banku, musí najít možné vstupní body do budovy banky.
Boky budovy, která má policejní stanici a hasičskou stanici, nelze prolomit. Fungují 24 hodin 7 dní v týdnu a kdo by se odvážil vyloupit banku s využitím Cop's brodu jako vstupního bodu! To ponechává panu X další 3 možnosti. Ano, chápete to správně. Také má střechu jako vstupní bod [Pamatujete si Heath Ledger z Batman Trilogy?].
Střecha se zde jeví jako zvláštní volba, protože budova má pouze 20 podlaží a šance na zachycení od lidí kolem vás je velmi vysoká. A banka je jedinou výškovou budovou stojící v této oblasti. Díky tomu je vstup na střechu velkým NE! Se dvěma zbývajícími možnostmi začne pan X analyzovat jezero jako vstupní bod.
Jezero může být dobrým způsobem vstupu, ale viditelnost by byla problémem. Jak by někdo reagoval, kdyby viděl někoho plavat o půlnoci, i to směrem k budově Banky? Poslední možností je Public Park.
Pojďme podrobně analyzovat park. Po šesté večer je uzavřeno pro veřejnost. Park má spoustu stromů, které dávají potřebný stín a podporují tajný režim. Park má hraniční zeď, která je sdílená s areálem banky.
Nyní lze všechny výše uvedené analýzy označit jako skenování zranitelnosti. Všechny tyto věci dělá skener. Chcete-li zjistit zranitelnou pozici, abyste se dostali dovnitř.
Vraťme se zpět k našemu příběhu, předpokládejme, že pan X bude úspěšný při vstupu do banky prostřednictvím vstupního bodu veřejného parku. Co dělá dál? Ať už se vloupá do trezoru, aby získal hotovost, nebo do úschoven, aby získal cennosti.
Tato část je Penetrační testování. Získáte přístup a pokusíte se zneužít systém. Poznáte hloubku, kterou můžete tímto útokem dosáhnout.
Poznámka: Při psaní tohoto tutoriálu nebyly okradeny žádné banky. A také se nedoporučuje následovat kroky pana X.
Ponechám vám níže uvedený srovnávací graf, abyste mohli lépe objasnit rozdíl mezi těmito dvěma.
Souvisí skenování a testování penetrace navzájem?
Ano, skenování zranitelnosti a testování penetrace spolu souvisejí. Penetrační testování má závislost na skenování zranitelnosti.
Aby bylo možné zahájit Penetrační testování, provede se kompletní kontrola zranitelnosti, aby se tester seznámil se všemi zranitelnostmi, které jsou v systému přítomny, a poté je zneužil.
jak otevřít soubor jar s runtime prostředím Java
Díky skenování zranitelností se tedy seznámíme s možnými chybami zabezpečení, ale tyto chyby zabezpečení jsou až dosud nevyužité. Právě penetrační testování potvrzuje, do jaké míry je možné zranitelnost zneužít.
Také se navzájem protínají v určitých bodech, jak je znázorněno na následujícím obrázku:
Který si vybrat - test pera nebo skenování zranitelnosti?
Po pochopení rozdílu mezi oběma nyní vyvstává otázka - který z nich si vybrat?
Cílem skenování zranitelností je zjistit slabiny vašeho systému a opravit je. Zatímco cílem penetračního testování je zjistit, zda někdo může narušit váš systém, a pokud ano, jaká bude hloubka útoku a kolik smysluplných dat může získat.
Test zranitelnosti a test pera vám společně řeknou, co je v ohrožení a jak to lze opravit. Cílem je zlepšit celkovou bezpečnost vašeho systému. Musíte si vybrat mezi těmito dvěma v závislosti na kritičnosti vašeho podnikání. Pokud se chystáte na test pera, pak zahrnuje také skenování zranitelnosti.
Test perem je však ve srovnání se skenováním zranitelnosti velmi nákladný (kolem 4 000 až 20 000 USD) a také časově náročný. Důvodem je, že přináší velmi přesné a důkladné výsledky a eliminuje falešně pozitivní zranitelnosti.
Skenování zranitelnosti je zatím velmi rychlé a mnohem levnější (téměř 100 $ za IP, ročně, v závislosti na prodejci) než test perem. Jako organizace můžete skenování zranitelností provádět měsíčně, čtvrtletně nebo dokonce týdně. A rozhodněte se pro test pera každý rok.
Nejoblíbenější nástroje
Mezi běžně používané nástroje pro skenování zranitelnosti patří:
- Nessus
- nikdo
- SVATÝ
- OpenVAS atd.
Běžně používané nástroje pro Pen Test zahrnují:
- Qualys
- Dopad jádra
- Metasploit atd.
Testeři pera také píší svůj vlastní zneužitelný kód podle požadavku.
Závěr
Z tohoto tutoriálu si uvědomujeme, že test pera i kontrola zranitelnosti jsou zcela dvě různé aktivity, které se provádějí, aby byla aplikace bezpečnější před útoky. V případě potřeby je lze také použít společně.
Test zranitelnosti identifikuje možné mezery a test Pen využívá tyto mezery k odhalení rozsahu poškození / krádeže, ke kterému může dojít u důležitých obchodních informací. Provádějí se za účelem odstranění mezer a zabránění potenciálním útokům a narušení bezpečnosti informačního systému.
Další čtení
- Začínáme s testem penetrace webových aplikací
- 37 nejúčinnějších nástrojů pro testování penetrace (nástroje pro testování zabezpečení)
- Penetrační testování - kompletní průvodce s ukázkovými testovacími případy
- Top 10 nejužitečnějších nástrojů pro skenování posouzení zranitelnosti
- Jak otestovat zabezpečení webových aplikací pomocí Acunetix Web Vulnerability Scanner (WVS) - praktická kontrola
Doporučené čtení
- Nejlepší nástroje pro testování softwaru 2021 [QA Test Automation Tools]
- Rozdíl mezi desktopem, klientským serverem a webovým testováním
- Testování zabezpečení sítě a nejlepší nástroje pro zabezpečení sítě
- 19 výkonných nástrojů pro testování penetrace používaných profesionály v roce 2021
- Testování stahování e-knih Primer
- Statické testování a dynamické testování - rozdíl mezi těmito dvěma důležitými testovacími technikami
- Testování výkonu vs. zátěžové testování vs. zátěžové testování (rozdíl)
- 101 Rozdíly mezi základy testování softwaru