侵入テストは、コンピュータ システムのセキュリティの脆弱性を見つけて悪用して、これらのシステムのセキュリティを向上させる正当な、許可された試みとして定義できます。 このプロセスには、脆弱性のテストと、いわゆる「脆弱性」攻撃の完全な証拠の提供が含まれます。 POC(概念実証)。 これは、報告されたセキュリティ エラーが使用できることを確認するためです。 さらに、侵入テストは特定の推奨事項で終了します。 これには、テスト中に検出されたエラーを修正する方法が含まれます。 このプロセスは、コンピュータやネットワークを将来の攻撃から保護するために設計されています。 侵入テストは、p entesty、PT、ハッキング、倫理的ハッキング、ホワイトハットハッキングなどの名前でも知られています。 重要な選択は、侵入テストとリスク評価または監査の違いを確認することです。 監査人は「バックアップはありますか」と尋ねると、ペンテスターから「バックアップがあります」と通知????. セキュリティ コミュニティの多くの人々 (および企業) は、これらの概念を同じ意味で使用します。リスク評価は、潜在的なセキュリティ問題に焦点を当てたサービスとシステムをレビューするプロセスであり、悪用や実際の攻撃による侵入テストは、実際に存在するセキュリティエラーを示します。 侵入テストの実施は、ハッカーの活動をシミュレートし、既成の攻撃ベクトルを提供することによって脆弱性を評価する以上のものです。 侵入テストは、次の要因を考慮して、いくつかのカテゴリに分類できます。
- 利用可能な知識のレベル。
- テストのスコープ。
- テストチームの構成。
- テストがどのように行われるか。
- テストの場所。
- SDLCサイクル内の位置(開発ライフ サイクル);
以下は、上記の基準に基づく侵入テストの分類です : (a) 利用可能な知識のレベル:
- ブラックボックス – テスターが攻撃対象システムに関する情報を最小限に抑える方法。 通常、これはテストのスコープに関する情報にすぎません。 これは、外部からのハッキング攻撃をシミュレートするためです(攻撃者は何も知らないシステムにハッキングしようとします)。
- greybox – テスターがシステムに関する一定の知識を持っているが、ソースコードにアクセスできない方法。 通常、データ構造を表示する (たとえば、権限の低いユーザー アカウントを使用して共有されます)。 この攻撃は、社内からのハッキング攻撃をシミュレートすることを目的としています (攻撃者は会社の従業員であるか、システムにアカウントを持っています)。
- ホワイトボックス – テスト担当者が技術文書に完全にアクセスできる方法。 このテストは、主にソース コードを確認し、その中のセキュリティ エラーを検出することを目的としています。
(b) テストの範囲:
- 侵略的なテストは、実際の攻撃をシミュレートすること、例えばデータの変更やサービスのブロックなどで構成されます。 したがって、システムの機能に影響を与えます。
- 侵襲的なテストの反対である非侵襲的なテストは、システムの機能に影響を与えない。 彼らは、例えば、ソースコードを見直すことによって、実際の検証なしに脆弱性を見つけることに依存しています。
(c) テストチームの構成:
- 会社の内部従業員によって実施されたテスト。
- 第三者の研究;
- 混合構成、すなわち会社の社内従業員および第三者の従業員によって実施されるテスト。
(d) テストの実施方法:
- 専門家のテスト, 手動で行われます, つまり、認定された専門家によって手動で;
- ネットワークスキャナー、ソースコードアナライザなど、専用ツールを使用して行われる自動テスト。
- 混合テストには、手動テストと自動テストの両方が含まれます。
(e) テスト場所:
- 内部テストは、ほとんどの場合、イントラネットを使用して、ファイアウォールなどのセキュリティをバイパスして社内から攻撃をシミュレートすることから成ります。
- 外部テストは、インターネットを介して、外部攻撃に対するシミュレーションで構成されます。 この場合、攻撃者はファイアウォールメカニズムやアプリケーションフィルタを克服する方法を持っています。
(f) システム開発ライフサイクル (SDLC):
- ソフトウェア開発中のテストいわゆるテスト駆動開発;
- 受け入れテストは、既に作成されたソフトウェアで実行されます。
