penetrační testování (Pen-testing) je kritická a nepostradatelná součást, kterou musí mít každá organizace ve své zbrojnici kybernetické bezpečnosti. Penetrační testování umožňuje organizacím posoudit sílu a účinnost jejich bezpečnostních opatření, kde důvěryhodní testeři simulují kybernetické útoky za bezpečných podmínek a předloží zprávu se stavem a návrhy protiopatření k minimalizaci rizik a posílení bezpečnostního postoje.

není rozumné nebo finančně životaschopné provádět testy perem náhodně / slepě nebo pro všechna vaše digitální aktiva a součásti webové stránky / webové aplikace / sítě. Rozsah a úroveň narušení každého testu pera závisí na vašich očekávaných výsledcích, potřebách a kontextu. Důvěryhodný a odborný odborník v oblasti bezpečnosti, jako je Indusface, vždy vybere správnou kombinaci nástrojů, metod a technik penetračního testování založených na těchto parametrech.

v tomto článku se podíváme na penetrační testy klasifikované na základě toho, jak se testy provádějí / metody, a také na komponenty/ aktiva/ oblasti, na které se zaměřuje.

typy testování Pen založené na použitých metodách

a. testování černé skříňky

testování pera Black Box, známé také jako externí testování nebo testování pokusů a omylů, je místo, kde jsou externí aktiva společnosti/ aktiv viditelná na internetu. Tyto druhy testů napodobují útok v reálném světě, kdy tester nezná vstupy a výstupy aplikace/ sítě/ systému a zahájí útok hrubou silou nebo slepý útok na IT infrastrukturu.

tester extrahuje poznatky o cílech a vyhodnocuje jejich funkčnost na základě vstupů z robotů nebo jiných automatizovaných procesů a nástrojů, které odhalují zranitelnosti a mezery v cílovém systému/ síti/ aplikaci.

b. White Box testování

White Box Pen-testování, také známý jako interní testování nebo strukturální / Clear / Glass Box testování, je místo, kde tester má root – / admin-level přístup a úplné informace o systémech / sítě/ aplikace, které mají být testovány, včetně zdrojového kódu, IP adresa schéma, OS detaily, atd. Cílem je otestovat vnitřní strukturu a sílu systémů/ sítí/ aplikací proti škodlivým zasvěceným osobám nebo outsiderovi, který ukradl pověření pomocí phishingového útoku.

S White Box testování, můžete pochopit, zda vnitřní operace a moduly jsou správně provedeny podle specifikace, a detekovat logické, design, typografické a syntaxe chyby, stejně jako, chybné konfigurace v rámci infrastruktury nebo prostředí. Ty vyžadují mnohem sofistikovanější nástroje pro penetrační testování.

c. testování šedého boxu

testování šedého boxu je místem, kde je testerovi poskytnuta částečná informace o systémech/ sítích/ aplikacích, jako je přístup k Softwarovému kódu, diagramy architektury systému atd. simulovat útok. Tento typ testu emuluje scénář, kdy externí subjekt získal nelegitimní přístup k dokumentům infrastruktury a sleduje, jak částečný přístup k informacím ovlivňuje cíl.

typy testování Pen založené na cílených součástech/ aktivech / oblastech

  1. testování síťových služeb

    nejběžnější a nejžádanější druh testu pen, testování síťových služeb, se snaží odhalit zranitelnosti a mezery v síťové infrastruktuře a kombinuje interní/ klientské i externí / vzdálené testování. Není to hluboký druh testu pera. Mezi cílové oblasti sítě patří Konfigurace brány Firewall, stavová analýza, SQL Server, poštovní servery SMTP, DNS, IPS evasion atd.

    2. Testování webových aplikací

    testování webových aplikací je mnohem intenzivnější, hlubší, podrobnější a cílenější druh testu pera, který odhalí zranitelnosti, mezery a nesprávné konfigurace ve webové aplikaci. Jedná se o časově náročný a složitý druh testování, kde plánování a strategie jsou nezbytné pro větší efektivitu. Zde cílené oblasti zahrnují API, ActiveX, Plug-iny, applety, Scriptlety atd.

    3. Testování na straně klienta

    Tento typ testování se snaží identifikovat zranitelnosti softwaru, které se objevují lokálně a mohou být zneužity od konce klienta. Například webový prohlížeč, software pro tvorbu obsahu (MS Office Suite, Photoshop, Adobe Page Maker), přehrávače médií atd.

    4. Testování sociálního inženýrství

    zde se tester snaží simulovat útok podváděním zaměstnanců / uživatelů, aby získali proprietární nebo důvěrné informace. Cílem je otestovat povědomí a sílu lidské sítě v Organizaci. V testování sociálního inženýrství existují dvě podkategorie:

    • vzdálené testování, kde se phishingové techniky používají k odcizení důvěrných informací elektronickými prostředky.
    • fyzické testování, kde tester používá fyzické prostředky nebo přítomnost prostřednictvím zosobnění, potápění v kontejneru,hrozby, přesvědčivé telefonní hovory atd. Chcete-li získat přístup k důvěrným informacím.

      5. Testování bezdrátové sítě

      Tento typ testování perem se snaží identifikovat zranitelnosti a slabiny bezdrátových zařízení používaných na straně klienta. Například tablety, smartphony, notebooky atd. Tyto testy také zahrnují bezdrátové protokoly, bezdrátové přístupové body a pověření správce.

      Vyberte si správnou kombinaci nástrojů pro penetrační testování, abyste naplnili tolik potřebné prvky proaktivity a vnímavosti v bezpečnostním úsilí vaší organizace.

      web application security banner