Penetration Testing (Pen-testing) er en kritisk og uundværlig komponent, som enhver organisation skal have i sin cybersikkerhed arsenal. Penetrationstest giver organisationer mulighed for at vurdere styrken og effektiviteten af deres sikkerhedsforanstaltninger, hvor pålidelige pen-testere simulerer cyberangreb under sikre forhold og indsender en rapport med status og forslag til modforanstaltninger for at minimere risici og forbedre sikkerhedsstillingen.det er ikke klogt eller økonomisk rentabelt at gennemføre pen-tests tilfældigt/ blindt eller for alle dine digitale aktiver og komponenter på hjemmesiden/ internetapplikationen/ netværket. Omfanget og indtrængningsniveauet for enhver pen-test afhænger af dine forventede resultater, behov og kontekst. En betroet og ekspert sikkerhedsprofessionel, som Indusface, vil altid vælge den rigtige blanding af penetrationstestværktøjer, metoder og teknikker baseret på disse parametre.

i denne artikel vil vi se på penetrationstest klassificeret baseret på, hvordan testene udføres/ metoder, samt de komponenter/ aktiver/ områder, der målrettes.

Pen-test typer baseret på anvendte metoder

a. sort boks test h3> sort boks Pen-test, også kendt som ekstern test eller forsøg og fejl test, er hvor de eksterne vender aktiver i virksomheden / aktiver synlige på internettet. Denne slags tests efterligner et angreb i den virkelige verden, hvor testeren ikke kender ins og outs i applikationen/ netværket/ systemet og vil starte et brute force-angreb eller et blindt angreb på IT-infrastrukturen.testeren uddrager indsigt i målene og evaluerer deres funktionalitet baseret på input fra bots eller andre automatiserede processer og værktøjer, der afslører sårbarheder og huller i det målrettede system/ netværk/ applikation. b. Hvid boks test hvid boks Pen-test, også kendt som intern test eller strukturel/ klar/ glas boks test, er hvor testeren har root-/ admin-niveau adgang til og fuldstændige oplysninger om de systemer/ netværk/ applikationer, der skal testes, herunder kildekoden, IP-adresse skema, os detaljer, etc. Målet er at teste den interne struktur og styrke af systemer/ netværk/ applikationer mod ondsindede insidere eller en outsider, der har stjålet legitimationsoplysningerne ved hjælp af et phishing-angreb.

Med test af hvid boks kan du forstå, om interne operationer og moduler udføres korrekt i henhold til specifikationerne, og opdage logiske, design -, typografiske og syntaksfejl samt fejlkonfigurationer inden for infrastrukturen eller miljøet. Disse kræver meget mere sofistikerede Penetrationstestværktøjer.

c. grå boks test h3> grå boks Pen-test er, hvor testeren gives delvis information om systemer/ netværk / applikationer såsom adgang til programkode, systemarkitekturdiagrammer osv. at simulere et angreb. Denne type test emulerer et scenario, hvor en ekstern enhed har fået ulovlig adgang til infrastrukturdokumenter og sporer, hvordan delvis informationsadgang påvirker målet. p>

Pen-testtyper baseret på målrettede komponenter/ aktiver/områder

  1. test af netværkstjenester
  2. ol> den mest almindelige og efterspurgte type pen-test, test af netværkstjenester, søger at afsløre sårbarheder og huller i netværksinfrastrukturen og kombinerer både intern/ klientside og ekstern / fjerntest. Det er ikke en dyb slags pen test. Her omfatter de målrettede netværksområder konfiguration, Stateful analyse, SMTP-mailservere, DNS, IPS-unddragelse osv. 2. Test af applikationer er en meget mere intens, dybere, detaljeret og målrettet form for pen-test for at afdække sårbarheder, huller og fejlkonfigurationer i appen. Det er en tidskrævende og kompleks form for test, hvor planlægning og strategi er afgørende for større effektivitet. De områder, der er målrettet her, inkluderer API ‘ er, Activeks, Plug-ins, Applets, Scriptlets osv. 3. Test på klientsiden denne type test søger at identificere sårbarheder på programmet, der opstår lokalt og kan udnyttes fra klientens ende. F. eks.programmer til oprettelse af indhold (MS Office Suite, Photoshop, Adobe Page Maker), medieafspillere osv. 4. Her forsøger testeren at simulere et angreb ved at narre medarbejdere/ brugere for at få proprietære eller fortrolige oplysninger. Målet er at teste bevidstheden og styrken af det menneskelige netværk i organisationen. Der er to underkategorier i social engineering test:

    Fjerntest, hvor phishing-teknikker bruges til at stjæle fortrolige oplysninger via elektroniske midler. fysisk test, hvor testeren bruger fysiske midler eller tilstedeværelse gennem efterligning, dumpster dykning, trusler, overbevisende telefonopkald osv. for at få adgang til fortrolige oplysninger. 5. Test af trådløst netværk denne type pen-test søger at identificere sårbarheder og svagheder i de trådløse enheder, der bruges på klientsiden. For eksempel tablets, smartphones, notesbøger osv. Disse tests inkluderer også trådløse protokoller, trådløse adgangspunkter og administratoroplysninger.

    Vælg den rigtige blanding af penetrationstestværktøjer til at tilføre de meget tiltrængte elementer af proaktivitet og Kløgt i din organisations sikkerhedsindsats.

    web application security banner