Penetrasjonstesting (Pen-testing) er en kritisk og uunnværlig komponent som hver organisasjon må ha i sin cybersecurity armory. Penetrasjonstesting gjør det mulig for organisasjoner å vurdere styrken og effektiviteten av sine sikkerhetstiltak der pålitelige pen-testere simulerer cyberangrep under sikre forhold og sender inn en rapport med status og forslag til mottiltak for å minimere risiko og forbedre sikkerhetsstillingen.

det er ikke forsvarlig eller økonomisk forsvarlig å utføre penntester tilfeldig / blindt eller for alle dine digitale eiendeler og komponenter på nettstedet/ webapplikasjonen / nettverket. Omfanget og inntrengingsnivået for enhver pen-test avhenger av dine forventede resultater, behov og kontekst. En pålitelig og ekspert sikkerhetspersonell, Som Induface, vil alltid velge riktig blanding av penetrasjonstestverktøy, metoder og teknikker basert på disse parametrene. i denne artikkelen vil vi se på penetrasjonstester klassifisert basert på hvordan testene er gjort / metoder, samt komponenter/ eiendeler / områder som målrettes. Pen-Testing Typer Basert på Metoder Som Brukes A. Black Box Testing Black Box Pen-testing, også kjent Som Ekstern Testing Eller Prøving Og Feiling Testing, er der eksterne overfor eiendeler av selskapet / eiendeler synlig på internett. Slike tester etterligner et virkelighetsangrep der testeren ikke kjenner inn og ut av applikasjonen/ nettverket/ systemet og vil starte et brute force-angrep eller et blindt angrep PÅ IT-infrastrukturen.testeren trekker ut innsikt i målene og evaluerer deres funksjonalitet basert på innspill fra bots eller andre automatiserte prosesser og verktøy som avdekker sårbarheter og hull i det målrettede systemet/ nettverket / applikasjonen.

b. White Box Testing

White Box Pen-testing, også kjent Som Intern Testing eller Strukturell / Klar / Glass Boks Testing, er der testeren har root – / admin-nivå tilgang til og fullstendig informasjon om systemer / nettverk / programmer som skal testes, inkludert kildekoden, IP-adresse skjema, OS detaljer, etc. Målet er å teste den interne strukturen og styrken til systemene/ nettverkene / applikasjonene mot ondsinnede innsidere eller en outsider som har stjålet legitimasjonen ved hjelp av et phishing-angrep.Med White Box Testing kan du forstå om interne operasjoner og moduler er riktig utført i henhold til spesifikasjoner, og oppdage logiske, design, typografiske og syntaksfeil, samt feilkonfigurasjoner i infrastrukturen eller miljøet. Disse krever mye mer sofistikerte Penetrasjonstestverktøy.

C. Grå Boks Testing Grå Boks Penn-testing er der testeren er gitt delvis informasjon om systemer / nettverk / programmer som tilgang til programvarekode, systemarkitektur diagrammer, etc. for å simulere et angrep. Denne typen test emulerer et scenario der en ekstern enhet har fått ulovlig tilgang til infrastrukturdokumenter og sporer hvordan delvis informasjonstilgang påvirker målet. p>

Pen-testing Typer Basert På Målrettede Komponenter/ Eiendeler/Områder

  1. Nettverkstjenester Testing
  2. den vanligste og etterspurte typen pen-test, nettverkstjenester testing, søker å avdekke sårbarheter og hull i nettverksinfrastrukturen og kombinerer både intern / klientsiden og ekstern / ekstern testing. Det er ikke en dyp type penn test. Her inkluderer nettverksområdene målrettet Brannmurkonfigurasjon, Tilstandsanalyse,SQL Server, SMTP-postservere, DNS, ips-evasion, etc. 2. Webapplikasjonstesting er en mye mer intens, dypere, detaljert og målrettet form for penntest for å avdekke sårbarheter, hull og feilkonfigurasjoner i webappen. Det er en tidkrevende og kompleks form for testing der planlegging og strategi er avgjørende for større effektivitet. Områdene målrettet her inkluderer Apier, ActiveX, Plug-ins, Applets, Scriptlets, etc. 3. Denne typen testing søker å identifisere sårbarheter på programvaren som oppstår lokalt og kan utnyttes fra klientens slutt. For Eksempel, Nettleser, Innholdsprogramvare (MS Office Suite, Photoshop, Adobe Page Maker), mediespillere, etc. 4. Social Engineering Testing

    her prøver testeren å simulere et angrep ved å lure ansatte / brukere til å få proprietær eller konfidensiell informasjon. Målet er å teste bevisstheten og styrken til det menneskelige nettverket i organisasjonen. Det er to underkategorier i social engineering testing:

    Ekstern testing der phishing-teknikker brukes til å stjele konfidensiell informasjon via elektroniske midler. Fysisk testing hvor testeren bruker fysiske midler eller tilstedeværelse gjennom etterligning, dumpster dykking, trusler, overbevisende telefonsamtaler, etc. for å få tilgang til konfidensiell informasjon. 5. Testing av trådløst Nettverk denne typen penntesting søker å identifisere sårbarheter og svakheter i de trådløse enhetene som brukes på klientsiden. For eksempel, tabletter, smarttelefoner, notatbøker, etc. Disse testene inkluderer også trådløse protokoller, trådløse tilgangspunkter og administratorlegitimasjon. Velg den riktige blandingen av verktøy for penetrasjonstesting for å tilføre de sårt tiltrengte elementene proaktivitet og perceptiveness i organisasjonens sikkerhetsinnsats.

    web application security banner