it-swarm-tr.com

Sızma testi ile güvenlik açığı değerlendirmesi arasındaki fark nedir?

Sızma testi ile güvenlik açığı değerlendirmesi arasındaki fark nedir?

Neden birini diğerine tercih edesin ki?

Hangi çıktıları almayı beklersiniz ve kalitesini nasıl değerlendirirsiniz?

30
Sim

Eminim buna daha önce bir cevap gönderdim, ama google-fu'm bu sabah zayıf olmalı. Penetrasyon Taksonomisi blog yazısı 'dan, kabul gören test türlerinin bir listesine sahibiz. Ayrıca, Sızma Testi Yürütme Standardı ile bunu daha da geliştirmeyi umuyoruz. Bu liste bir diğerinin nasıl seçileceğini açıklamaya yardımcı olmalıdır.

Çıktılar neredeyse ayrı bir konudur ve ihtiyaç ve izleyici tarafından tanımlanmalıdır (örneğin bir yönetim organı için teknik bir iyileştirme ekibine vereceğinizle aynı ayrıntıyı beklemezsiniz, ancak iş riski bilgilerini dahil etmek istersiniz) . PTES geliştirme içinde bu alanı kodlamaya çalışmak için bir Raporlama akışı da vardır:

Keşif

Bu aşamanın amacı, kapsamdaki sistemleri ve kullanılan hizmetleri tanımlamaktır. Güvenlik açıklarını keşfetmesi amaçlanmamıştır, ancak sürüm algılama yazılım/ürün yazılımının kullanımdan kaldırılmış sürümlerini vurgulayabilir ve bu nedenle olası güvenlik açıklarını gösterebilir.

Güvenlik Açığı Taraması

Keşif aşamasını takiben, bilinen güvenlik açıklarıyla koşulları eşleştirmek için otomatik araçlar kullanarak bilinen güvenlik sorunları aranır. Rapor edilen risk seviyesi, test satıcısı tarafından manuel doğrulama veya yorum yapılmadan araç tarafından otomatik olarak ayarlanır. Bu, bir hizmetle kimlik doğrulaması yapmak için verilen kimlik bilgilerini kullanarak (yerel windows hesapları gibi) bazı yaygın yanlış pozitifleri kaldırmaya benzeyen kimlik bilgisi tabanlı tarama ile desteklenebilir.

Güvenlik Açığı Değerlendirmesi

Bu, güvenlik açıklarını belirlemek için keşif ve güvenlik açığı taramasını kullanır ve bulguları test edilen ortamın bağlamına yerleştirir. Bir örnek, yaygın yanlış pozitifleri rapordan çıkarmak ve iş anlayışını ve bağlamını iyileştirmek için her rapor bulgusuna uygulanması gereken risk düzeylerine karar vermektir.

Güvenlik Değerlendirmesi

Maruz kalmayı onaylamak için manuel doğrulama ekleyerek Güvenlik Açığı Değerlendirmesi'ni temel alır, ancak daha fazla erişim elde etmek için güvenlik açıklarından yararlanmayı içermez. Doğrulama, sistem ayarlarını onaylamak ve günlükleri, sistem yanıtlarını, hata mesajlarını, kodları vb. İncelemek için bir sisteme yetkili erişim şeklinde olabilir. Güvenlik Değerlendirmesi, test edilen sistemlerin geniş kapsamını kazanmak istiyor, ancak derinliği değil Belirli bir güvenlik açığının yol açabileceği risk.

Sızma Testi

Sızma testi, kötü niyetli bir tarafın saldırısını simüle eder. Önceki aşamalara dayanarak ve daha fazla erişim elde etmek için bulunan güvenlik açıklarından yararlanma içerir. Bu yaklaşımı kullanmak, bir saldırganın gizli bilgilere erişme, veri bütünlüğünü veya bir hizmetin kullanılabilirliğini ve ilgili etkiyi etkileme yeteneğinin anlaşılmasına neden olacaktır. Her teste, test cihazının problem çözme yeteneklerini, bir dizi araçtan elde edilen çıktıyı ve kendi ağ ve sistem bilgisini, otomatik araçlar. Bu yaklaşım, daha geniş kapsama alan Güvenlik Değerlendirmesi yaklaşımına kıyasla saldırı derinliğine bakar.

Güvenlik Denetimi

Belirli bir kontrol veya uyumluluk sorununa bakmak için bir Denetim/Risk fonksiyonu tarafından yönlendirilir. Dar bir kapsamla karakterize edilen bu tür katılım, tartışılan önceki yaklaşımlardan herhangi birini kullanabilir (güvenlik açığı değerlendirmesi, güvenlik değerlendirmesi, sızma testi).

Güvenlik İncelemesi

Sistem bileşenlerine veya ürüne endüstri veya iç güvenlik standartlarının uygulandığının doğrulanması. Bu genellikle boşluk analizi ile tamamlanır ve derleme/kod incelemelerini veya tasarım belgelerini ve mimari diyagramları inceleyerek kullanır. Bu aktivite daha önceki yaklaşımlardan herhangi birini kullanmaz (Güvenlik Açığı Değerlendirmesi, Güvenlik Değerlendirmesi, Sızma Testi, Güvenlik Denetimi)

27
Rory Alsop

Halihazırda verilen cevaplara ek olarak, neden diğerini seçebileceğinizi de anlatacağım. Güvenlik açıklığınızdan emin değilseniz ve sorunlarınızın nerede olabileceği hakkında bir fikir edinmek istiyorsanız, güvenlik açığı değerlendirmeleri daha yararlıdır.

Yine de, tüm güvenlik çalışması güvenlik açığı değerlendirmelerinin hepsinin eşit yaratılmadığını belirtmek gerekir. Bazı satıcılar için yalnızca araç çıktısına odaklanabilir, burada diğerleri bu bulguları doğrulamak ve genişletmek için daha fazla manuel çalışma yapar.

Hedefiniz buysa, @ RoryAlsop'un cevabında belirtilen "güvenlik değerlendirmesi" yaklaşımına odaklanırdım.

Sızma testi, klasik olarak, bir saldırganın bir sistemin veya kuruluşun güvenliğini tehlikeye atma girişimlerini yinelemek için tasarlanmıştır. Bu nedenle, bu, belirli bir sistem için yürürlükte bulunan güvenlik denetimleri konusunda emin olan ve etkinliklerini kanıtlamak veya çürütmek isteyen kuruluşlar için daha uygun olacaktır.

Ancak saldırganlarınızın kim olduğuna bağlı olarak bu yaklaşımla ilgili sorunlar var. Yetenekli hedefli saldırganlara (ör. Organize suç) karşı savunacak kontroller tasarlamak istiyorsanız, saldırganların kullanabileceği bazı teknikler içermeyeceği için bunları kontrol etmek için etkili bir penetrasyon testi kullanmak çok zordur.

Sızma testinin yasal sorunlar nedeniyle kapsamakta zorluk çekeceği alanlara bazı örnekler, evdeki PC'leri uzaktan erişim tesislerini tehlikeye atmak için hedeflemek, destek amacıyla hedef sistemlere erişebilecek üçüncü taraf iş ortaklarına saldırmak veya botnet satın almak gibi şeyler olabilir. hedef ortamda zaten mevcut olan zombiler olabilir.

Bu nedenle, her iki test türünün sınırlamalarının farkında olmaya değer, ancak genel bir kural, VA ve güvenlik değerlendirmelerinin ne kadar güvenli olduğunuzdan ve penetrasyondan emin olmadığınızda iyi olmasıdır. Testler, bir kez bildiğinizde kanıtlamak için iyidir.

11
Rory McCune

Çoğu insan için - onlar aynıdır. PTES gibi çabaların başarısız olmasının nedeni budur. Değişmek istemeyen insanları değiştiremezsiniz.

Doğru soru şudur: "Sızma testi ve etik hackleme arasındaki fark nedir?".

Bu sorunun cevabı, penetrasyon testinin, zaman sınırı ve genellikle uzun bir katılım kuralları listesi göz önünde bulundurularak belirli bir ödüle sahip olmasıdır (kısa liste olanlar kimsenin fiziksel olarak zarar görmesini veya tehdit edilmesini istemez). Etik hackleme, mümkün olduğu kadar çok kusurun ortaya çıktığı, tipik olarak yalnızca fiziksel olmayan yöntemler kullanılarak zamana bağlı etkinliktir.

"Değerlendirmeler", "denetimler" ve "testler" genellikle bilgi güvenliği alanındaki değiştirilebilir kelimelerdir. "Güvenlik açığı", "tehdit" ve diğer birkaç kelime genellikle yanlış anlaşılır ve yanlış yorumlanır. 20 yıllık deneyime, aynı geçmişe ve aynı sertifikalara sahip profesyoneller genellikle bu temel şartlar üzerinde tartışacaklardır. Birinin "söylediği" veya "düşündüğü" şeyin doğru cevap olduğunu göz ardı etmek en iyisidir ve bunun yerine terimi başlatılmamış bir görüşmede uygularken bağırsak içgüdünüze ve sağduyunuza gidin.

5
atdre

Bu sorudaki sorun, "penetrasyon testi" nin sektörde ne anlama geldiğine dair kesin/takip edilen bir tanım olmamasıdır. Topluluktan gelen bazı zeki insanlar bu sorunu çözmek için bir araya gelerek " Sızma Testi Yürütme Standardı ."

Şirket yöneticilerinin ve Sızma Testlerinin etkileşimlerini dayandırabileceği makul bir beklenti oluşturmak için bir penetrasyon testinin her aşamasını tanımlamaya çalışır.

Listeledikleri aşamalar

  1. Katılım Öncesi Etkileşimler
  2. İstihbarat Toplama
  3. Tehdit Modellemesi
  4. Güvenlik Açığı Analizi
  5. yararlanılabilmesi
  6. Sömürü Sonrası
  7. Raporlama

İşte her birinin sulandırılmış bir tanımı. Net bir resim elde etmek için bağlantılı wiki sayfalarını okumalısınız.

Katılım Öncesi Etkileşimler , iş odaklı birçok yönün yanı sıra kapsam ve katılım kuralları oluşturmayı içerir.

İstihbarat Toplama , saldırganın güvenlik açığı analizi ve sömürü sırasında kullanılmak üzere hedef (hem insan hem de teknik yönler) hakkında olabildiğince çok şey öğrendiği keşif aşamasıdır.

Tehdit Modellemesi , varlık ve tehditlerin tanımlanmasını, sınıflandırılmasını ve son olarak ilişkilendirilmesini içerir.

Güvenlik Açığı Analizi ", bir saldırgan tarafından kullanılabilecek sistem ve uygulamalardaki kusurları keşfetme işlemidir." İnsanlar çoğu zaman yanlışlıkla bunun ve sömürü testinin ilgili olduğu şey olduğunu varsaymaktadır.

Sömürü "yalnızca güvenlik kısıtlamalarını atlayarak bir sisteme veya kaynağa erişim sağlamaya odaklanır."

Sömürü Sonrası güvenliği ihlal edilen makinelerin değerinin belirlenmesi ve daha sonra kullanılmak üzere kontrolün korunmasıdır. Bu aşamada daha derine inmenizi sağlayan bilgiler toplayabilirsiniz (açık olan kimlik bilgileri).

Raporlama "Çeşitli kitlelere yapılan testin amaçlarını, yöntemlerini ve sonuçlarını [iletir]."

Misyonlarında başarılı olup olmadıkları tartışmaya açık, ama bunun kapsamlı bir anlayış için başlangıç ​​geliştirmek için iyi bir yer olduğuna inanıyorum.

Bir penetrasyon testi sırasında kullanılabilecek " PTES Teknik Yönergeleri " taktikleri ve araçları da vardır.

5
chao-mu

Bunun için uzun bir şeyler yazmak için oyun değilim, ama çoğu kalem testçisinin paylaştığı eğlenceli bir şey:

  • Yıllar boyunca geçen PCI ASV taramalarını alan bir istemcim var (yani, ciddi, yüksek veya kritik güvenlik açıkları bulunmayan harici bir güvenlik açığı değerlendirmesi). PCI'ye göre “temiz” bir tarama.
  • Son birkaç yıldır, tüm dahili veritabanları, yetenekli kalem testi ile genişletilebilir, tespit edilemez (müşteri tarafı saldırıları, sosyal mühendislik, fiziksel kalem testi, kimlik avı bile söylemez)

Kalem testi, en azından takıldığım köşede, motive bir düşmanın saldırısını simüle etmeyi amaçlıyor. Güvenlik açığı değerlendirmeleri genellikle daha az bir şeydir.

4
Tate Hansen

Güvenlik Açığı Analizi bir ağdaki güvenlik açıklarını belirleme sürecidir, oysa Sızma Testi gerçekte test edilen sistemlere yetkisiz erişim sağlamaya ve bu erişimi ağın veya verilere istemci tarafından belirtildiği şekilde kullanmaya odaklanmıştır. Bir Güvenlik Açığı Analizi, sistemde var olan kusurlara genel bir bakış sunarken, hataların bir etki analizi sağlamak için devam ederken, hataların temel ağ, işletim sistemi, veritabanı vb. Üzerindeki olası etkisini tanımlar. Güvenlik Açığı Analizi daha fazladır pasif bir süreç. Güvenlik Açığı Analizinde, saldırılara karşı savunmasızlığı artıran herhangi bir riski belirlemek için hem ağ trafiğini hem de sistemleri analiz eden yazılım araçlarını kullanırsınız. Sızma Testi, bir saldırıyı simüle etmek ve ağ ile sistemlerin direncini test etmek için etik korsanların kullanıldığı aktif bir uygulamadır.

Bunu kapsayan tam bir yazı yazdım. Burada okuyun: http://www.ivizsecurity.com/blog/penetration-testing/difference-vulnerability-penetration-testing/

4
RudraK