Berapa kerapkah kita perlu menjalani ujian pen?

Irama biasa: setiap tahun untuk postur umum, selepas perubahan besar (aplikasi baharu, baik pulih seni bina), dan seperti yang diperlukan oleh pematuhan (PCI-DSS memerlukan ujian pen tahunan untuk persekitaran pemegang kad).

Ujian pena vs pasukan merah — apakah perbezaannya?

Ujian pen diskop untuk mencari seberapa banyak kelemahan yang mungkin dalam sasaran yang ditentukan. Penglibatan pasukan merah mensimulasikan serangan dunia sebenar khusus dari hujung ke hujung (akses awal, pergerakan sisi, exfiltration) untuk menguji keupayaan pengesanan dan tindak balas. Pasukan merah lebih luas, lebih panjang, selalunya lebih tersembunyi. Lihat artikel pasukan red kami .

Adakah syarikat kecil bernilai ujian pena?

Bergantung pada apa yang dipertaruhkan. SMB yang mengendalikan data pelanggan, menerima pembayaran atau beroperasi dalam industri terkawal mendapat faedah. Tapak perisian brosur tulen tanpa data pengguna mendapat nilai yang lebih rendah. Kos berkisar antara beberapa ribu untuk skop sempit hingga puluhan ribu untuk komprehensif.

Bolehkah ujian pena menemui setiap kelemahan?

Tidak. Mereka mendapati perkara yang boleh ditemui dalam masa yang diperuntukkan oleh manusia dengan alat yang mereka gunakan. Ujian terhad masa terlepas perkara; ujian yang cukup teliti adalah terlalu mahal untuk dijalankan dengan kerap. Gabungkan dengan pengimbasan berterusan dan hadiah pepijat untuk liputan berlapis.

Adakah penguji pen perlu memecahkan sesuatu?

Kadang-kadang. Menunjukkan impak selalunya memerlukan eksploitasi sebenar. Penguji bereputasi berkomunikasi sebelum tindakan yang merosakkan, menggunakan pementasan apabila boleh dan mendokumenkan segala-galanya. Dokumen skop hendaklah menyatakan had tindakan merosakkan di hadapan.

Ujian Penembusan Dijelaskan: Apa Yang Penguji Pen Sebenarnya Lakukan

Ujian penembusan — ujian pen secara ringkas — ialah simulasi serangan yang dibenarkan terhadap sistem organisasi untuk mencari kelemahan sebelum musuh melakukannya. Disiplin ini telah matang daripada individu bijak yang memecah masuk ke dalam rangkaian kepada industri berstruktur dengan rangka kerja metodologi, pensijilan dan pengiktirafan peraturan. Memahami rupa ujian pen sebenar menjelaskan nilai dan hadnya.

Badan artikel penuh disediakan dalam bahasa Inggeris di bawah.

Pengujian penembusan ialah amalan dibenarkan untuk cuba menjejaskan sistem organisasi untuk mengenal pasti kelemahan keselamatan. Penguji pen beroperasi di bawah perjanjian bertulis yang merangkumi perkara yang dibenarkan, perkara yang di luar had dan jenis pelaporan yang diikuti. Ujian tanpa kebenaran — walaupun dengan niat yang baik — ialah aktiviti jenayah gaya penipuan komputer di kebanyakan bidang kuasa.

Fasa-fasa ujian pen

Scoping. Tentukan perkara dalam skop (rangkaian tertentu, aplikasi, tetingkap masa), apa yang tidak (sistem kritikal pengeluaran, data pihak ketiga), teknik apa yang dibenarkan (kejuruteraan sosial ya/tidak, DoS ya/tidak). Didokumenkan secara bertulis.
Reconnaissance. Pengumpulan maklumat. OSINT, pemetaan rangkaian, pengimbasan port, pengenalpastian perkhidmatan.
Vulnerability identification. Mengimbas untuk kelemahan yang diketahui, memeriksa logik aplikasi tersuai, mengenal pasti salah konfigurasi.
Exploitation. Mengimbas untuk menunjukkan kelemahan. yang boleh mengeksploitasi. Bukan sahaja "ini boleh menjadi buruk" tetapi "inilah yang akan dilakukan oleh penyerang."
Post-exploitation. Setelah akses awal diperoleh, meneroka perkara yang boleh dilakukan oleh penyerang — pergerakan sisi, akses data, peningkatan keistimewaan. Dihentikan apabila objektif ujian tercapai.
Reporting. Penemuan terperinci dengan langkah pembiakan, penilaian keterukan, pengesyoran pemulihan.
Re-test. Pengesahan yang membetulkan masa, selepas organisasi mempunyai masa untuk menangani penemuan.

Kategori ujian biasa

Ujian penembusan luaran. Serang organisasi daripada Internet awam. Apakah yang orang luar boleh lihat, imbas, eksploitasi?
Ujian penembusan dalaman. Andaikan pijakan awal (komputer riba pekerja yang terjejas, orang dalam yang berniat jahat). Apakah yang boleh dicapai oleh penyerang dari sana?
Ujian aplikasi Web. Fokus pada apl tertentu — suntikan SQL, XSS, kelemahan logik perniagaan, kelemahan pengesahan.
Ujian aplikasi mudah alih., manipulasi masa API/kejuruteraan songsang eksploitasi.
API ujian penembusan. Fokus pada lapisan API — kelemahan keizinan, pendedahan data, pintasan had kadar.
Penilaian konfigurasi Cloud. AWS/Azure/GCP-specific-specific terdedah yang salah IAM, Lambda awam.
Penilaian tanpa wayar. ujian keselamatan Wi-Fi.
Ujian penembusan fizikal. Cuba untuk mendapatkan akses fizikal — tailgating, mengunci, kejuruteraan sosial di kaunter penerimaan tetamu.
6XX5 kejuruteraan sosial penilaian. Kempen pancingan data, vishing, percubaan untuk memanipulasi pekerja.

Kotak hitam lwn kotak kelabu lwn kotak putih

Kotak hitam. Penguji hanya mengetahui perkara yang akan dilakukan oleh penyerang luar. Realistik tetapi perlahan.
Kotak kelabu. Maklumat terhad disediakan (bukti kelayakan akaun, gambar rajah rangkaian). Paling biasa dalam amalan.
Kotak putih. Akses penuh termasuk kod sumber, dokumentasi seni bina, bukti kelayakan pentadbir. Paling teliti; menemui isu alatan automatik dan ujian luaran yang mungkin terlepas.

Rangka kerja kaedah

OWASP Panduan Pengujian Keselamatan Web. Rangka kerja komprehensif untuk ujian aplikasi web.
1. 94X
2. 94XXPLZ98 Panduan teknikal kerajaan AS untuk ujian keselamatan.
3. OSSTMM. Manual Kaedah Ujian Keselamatan Sumber Terbuka.
4. PTES. Standard Pelaksanaan Ujian Penembusan A.

TAlat dagangan

Peninjauan:XPLZ1Harvester nmap, Masscan, nmap Recon-ng
Ujian web: Burp Suite (standard industri), OWASP ZAP, sqlmap
Rangka kerja eksploitasi: Metasploit, Red Cobalt Strike, (Standard Team Red) Sliver
Wayarles: Aircrack-ng, Wifite, hcxdumptool
Serangan kata laluan: Hashcat, John the Ripper
43XXPLZ13 sistem:
4OXXPLZ13 Kali Linux ialah pengedaran standard yang menggabungkan banyak alat

pen ujian vs pengimbasan kerentanan

Sering keliru; yang penting berbeza:

Vulnerability scan — alat automatik yang menyenaraikan isu yang diketahui. Murah, cepat, boleh dijalankan setiap minggu. Terlepas kelemahan logik perniagaan, kelemahan berantai, vektor kejuruteraan sosial.
Ujian penembusan — penguji manusia dengan kaedah kreatif. Mahal, memakan masa, mencari isu yang terlepas pengimbas. Lazimnya tahunan atau separuh tahunan.

Program keselamatan matang menggunakan kedua-duanya — imbasan automatik untuk liputan berterusan, ujian pen berkala untuk kedalaman.

Certifications

OSCP1 (Profesional Offensive Security Certification) standard. Peperiksaan tangan 24 jam terhadap makmal terdedah.
OSCE3 — apl web lanjutan, eksploitasi pembangun, pensijilan wayarles daripada Offensive Security.
GPEN, GWAPT, GXPN — SA pensijilan.
CEH (Penggodam Etika Disahkan) — kelayakan peringkat permulaan, lebih teori daripada OSCP.
PNPT (Penguji Penembusan Rangkaian Praktikal) — TCM Security's peperiksaan.

OSCP ialah bukti kelayakan yang paling biasa diperlukan oleh firma ujian pen yang bereputasi.

Lapisan undang-undang dan etika

Pen ujian tanpa kebenaran bertulis adalah jenayah di kebanyakan bidang kuasa — CFAA AS, Akta Penyalahgunaan Komputer UK di tempat lain, undang-undang yang serupa Walaupun dengan kebenaran, skop rayapan boleh menyebabkan masalah undang-undang. Keizinan bertulis (kadangkala dipanggil "Surat Bebas Keluar dari Penjara") ialah perlindungan undang-undang penguji.

Firma ujian pen yang bereputasi mengekalkan insurans untuk insiden, ikut polisi pengendalian data yang ketat untuk sebarang data sensitif yang dihadapi dan mempunyai laluan peningkatan yang jelas jika mereka menghadapi pencerobohan yang berterusan atau data peribadi yang sensitif3X3XPLZPLZ4X yang sepatutnya3X3X32Peribadi yang sensitif. laporan ujian pen expect

A biasanya termasuk:

Ringkasan eksekutif untuk kepimpinan bukan teknikal
Penemuan berperingkat keterukan dengan skor CVSS
Langkah pengeluaran semula terperinci untuk setiap penemuanPLXPLZ53Screenshot dan bukti bukti konsep
Cadangan pemulihan khusus
Pemerhatian agregat tentang postur keselamatan

Penemuan harus boleh diambil tindakan. "Kerentanan X wujud dalam komponen Y, begini cara ia dieksploitasi, inilah cara untuk membetulkannya" — bukan "keselamatan anda teruk."

Soalan lazim

Berapa kerapkah kita perlu menjalani ujian pen?: Irama biasa: setiap tahun untuk postur umum, selepas perubahan besar (aplikasi baharu, baik pulih seni bina), dan seperti yang diperlukan oleh pematuhan (PCI-DSS memerlukan ujian pen tahunan untuk persekitaran pemegang kad).
Ujian pena vs pasukan merah — apakah perbezaannya?: Ujian pen diskop untuk mencari seberapa banyak kelemahan yang mungkin dalam sasaran yang ditentukan. Penglibatan pasukan merah mensimulasikan serangan dunia sebenar khusus dari hujung ke hujung (akses awal, pergerakan sisi, exfiltration) untuk menguji keupayaan pengesanan dan tindak balas. Pasukan merah lebih luas, lebih panjang, selalunya lebih tersembunyi. Lihat artikel pasukan <a href="/learning/red-team-blue-team">red kami</a>.
Adakah syarikat kecil bernilai ujian pena?: Bergantung pada apa yang dipertaruhkan. SMB yang mengendalikan data pelanggan, menerima pembayaran atau beroperasi dalam industri terkawal mendapat faedah. Tapak perisian brosur tulen tanpa data pengguna mendapat nilai yang lebih rendah. Kos berkisar antara beberapa ribu untuk skop sempit hingga puluhan ribu untuk komprehensif.
Bolehkah ujian pena menemui setiap kelemahan?: Tidak. Mereka mendapati perkara yang boleh ditemui dalam masa yang diperuntukkan oleh manusia dengan alat yang mereka gunakan. Ujian terhad masa terlepas perkara; ujian yang cukup teliti adalah terlalu mahal untuk dijalankan dengan kerap. Gabungkan dengan pengimbasan berterusan dan hadiah pepijat untuk liputan berlapis.
Adakah penguji pen perlu memecahkan sesuatu?: Kadang-kadang. Menunjukkan impak selalunya memerlukan eksploitasi sebenar. Penguji bereputasi berkomunikasi sebelum tindakan yang merosakkan, menggunakan pementasan apabila boleh dan mendokumenkan segala-galanya. Dokumen skop hendaklah menyatakan had tindakan merosakkan di hadapan.