Penetration Testing (Pen-testing) on kriittinen ja välttämätön komponentti, joka jokaisella organisaatiolla on oltava kyberturvallisuuden asevarastossa. Penetration Testing antaa organisaatioille mahdollisuuden arvioida turvatoimiensa vahvuutta ja tehokkuutta, kun luotettavat kynätestaajat simuloivat kyberhyökkäyksiä turvallisissa olosuhteissa ja toimittavat raportin, jossa on tila ja ehdotuksia vastatoimista riskien minimoimiseksi ja turvallisuuden parantamiseksi. p>

ei ole järkevää tai taloudellisesti kannattavaa tehdä kynätestejä satunnaisesti/ sokeasti tai kaikille verkkosivun/ verkkosovelluksen / verkon digitaalisille voimavaroille ja komponenteille. Laajuus ja tunkeutumisen taso tahansa kynä-testi riippuu odotetut tulokset, tarpeet, ja yhteydessä. Luotettava ja asiantunteva tietoturva-ammattilainen, kuten Indusface, valitsee aina oikean yhdistelmän tunkeutumisen testausvälineitä, menetelmiä ja tekniikoita, jotka perustuvat näihin parametreihin. p>

tässä artikkelissa tarkastellaan levinneisyystestejä, jotka on luokiteltu sen mukaan, miten testit tehdään/ menetelmät, sekä kohteena olevia komponentteja/ voimavaroja / alueita.

Pen-testaustyypit, jotka perustuvat käytettyihin menetelmiin

a. Black Box Testing h3>

Black Box Pen-testing, joka tunnetaan myös nimellä Ulkoinen testaus tai yritys-ja Virhetestaus, on sellainen, jossa yrityksen / omaisuuden ulkoiset ominaisuudet näkyvät Internetissä. Tällaiset testit jäljittelevät reaalimaailman hyökkäystä, jossa testaaja ei tunne sovelluksen/ verkon/ järjestelmän perinpohjaisia osia ja käynnistää raa ’ an voimahyökkäyksen tai sokean hyökkäyksen IT-infrastruktuuriin. p>

testaaja poimii tietoa kohteista ja arvioi niiden toimivuutta bottien tai muiden automatisoitujen prosessien ja työkalujen syötteiden perusteella, jotka paljastavat haavoittuvuuksia ja aukkoja kohdejärjestelmässä/ verkossa / sovelluksessa.

b. White Box Testing

White Box Pen-testing, joka tunnetaan myös nimellä sisäinen testaus tai rakenteellinen / kirkas / lasi laatikko testaus, jossa testaajalla on root / admin-tason pääsy ja täydelliset tiedot testattavista järjestelmistä/ verkoista / sovelluksista, mukaan lukien lähdekoodi, IP-osoitteen skeema, käyttöjärjestelmän yksityiskohdat jne. Tavoitteena on testata järjestelmien/ verkkojen/ sovellusten sisäistä rakennetta ja lujuutta haitallisia sisäpiiriläisiä tai ulkopuolista vastaan, joka on varastanut tunnukset tietojenkalasteluhyökkäyksellä.

White Box-testauksella voit ymmärtää, onko sisäiset toiminnot ja moduulit toteutettu oikein spesifikaatioiden mukaisesti, ja havaita loogiset, suunnittelu -, kirjoitusvirheet ja syntaksivirheet sekä virhemääritykset infrastruktuurin tai ympäristön sisällä. Nämä vaativat paljon kehittyneempiä tunkeutumisen testausvälineitä.

c. Grey Box Testing h3>

Grey Box Pen-testauksessa testaajalle annetaan osittaista tietoa järjestelmistä/ verkoista / sovelluksista, kuten pääsy ohjelmistokoodiin, järjestelmäarkkitehtuurikaaviot jne. simuloimaan hyökkäystä. Tällainen testi jäljittelee tilannetta, jossa ulkopuolinen taho on saanut luvattoman pääsyn infrastruktuuria koskeviin asiakirjoihin, ja seuraa, miten osittainen tiedonsaanti vaikuttaa kohteeseen. p>

Pen-testaustyypit, jotka perustuvat kohdennettuihin komponentteihin/ omaisuuseriin/alueisiin

  1. verkkopalvelujen testaus
  2. ol>

    yleisin ja kysytyin kynätesti, verkkopalvelujen testaus, pyrkii löytämään verkkoinfrastruktuurin haavoittuvuuksia ja aukkoja ja yhdistää sekä sisäisen/ asiakaspuolen että ulkoisen / etätestauksen. Kyseessä ei ole syvällinen kynätesti. Tässä, verkkoalueiden kohteena ovat palomuuri kokoonpano, tilallinen analyysi, SQL Server, SMTP sähköpostipalvelimet, DNS, IPS veronkierto, jne.

    2. Web Application Testing

    Web Application Testing on paljon intensiivisempi, syvempi, yksityiskohtainen, ja kohdennettu eräänlainen kynä-testi kaivaa esiin haavoittuvuuksia, aukkoja, ja virhetiedot web-sovellus. Se on aikaa vievää ja monimutkaista testausta, jossa suunnittelu ja strategia ovat olennaisia tehokkuuden lisäämiseksi. Tässä kohdealueina ovat sovellusliittymät, ActiveX,laajennukset, sovelmat, skriptit jne.

    3. Asiakaspuolen testaus

    tämän tyyppisessä testauksessa pyritään tunnistamaan ohjelmistosta paikallisesti ilmeneviä haavoittuvuuksia, joita voidaan hyödyntää asiakkaan päästä käsin. Esimerkiksi verkkoselain, sisällön Luontiohjelmisto (MS Office Suite, Photoshop, Adobe Page Maker), mediasoittimet jne.

    4. Social Engineering Testing p>

    tässä testaaja yrittää simuloida hyökkäystä huijaamalla työntekijöitä / käyttäjiä saadakseen Omistusoikeudellista tai luottamuksellista tietoa. Tavoitteena on testata ihmisverkoston tunnettuutta ja vahvuutta organisaatiossa. Social Engineeringin testauksessa on kaksi alaluokkaa:

  • Etätestaus, jossa tietojenkalastelutekniikoilla varastetaan luottamuksellista tietoa sähköisin keinoin.
  • fyysinen testaus, jossa testaaja käyttää fyysisiä keinoja tai läsnäoloa tekeytymällä, roskisdyykkaamalla, uhkailemalla, vakuuttamalla puhelinsoitoilla jne. päästä käsiksi luottamuksellisiin tietoihin.

    5. Langattomien verkkojen testaus

    tämän tyyppisessä kynätestauksessa pyritään tunnistamaan asiakaspuolella käytettävien langattomien laitteiden haavoittuvuuksia ja heikkouksia. Esimerkiksi tabletit, älypuhelimet, muistikirjat jne. Näihin testeihin kuuluvat myös langattomat protokollat, langattomat tukiasemat ja järjestelmänvalvojan tunnistetiedot.

    Valitse oikea yhdistelmä levinneisyystestausvälineitä valamaan organisaatiosi turvallisuustoimiin kaivattuja ennakoivan ja havainnollisen toiminnan elementtejä.

    web application security banner