侵入テスト: 意味、例、種類、段階

侵入テストは、Web アプリケーション セキュリティのコンテキストで Web アプリケーション ファイアウォール (WAF) を補完するために広く使用されています。 ペン テストとも呼ばれる侵入テストは、悪用可能な欠陥を特定するために、コンピューター システムに対するサイバー攻撃をシミュレートします。 侵入テストの結果は、WAF セキュリティ ポリシーを微調整し、見つかった脆弱性に対処するために使用できます。 さまざまな種類や方法を含む、侵入テストについて知っておく必要があるすべてのことを以下に示します。

侵入テストとは何ですか?

侵入テスト (侵入テスト) は、法的に認可された、コンピューター システムのセキュリティを評価するためのシミュレートされた攻撃です。 侵入テスターは、攻撃者と同じツール、戦略、およびプロセスを使用して、システムの欠陥の商業的影響を特定して示します。 侵入テストは通常​​、企業を危険にさらす可能性のある多数の攻撃を再現します。 システムが、認証された位置と認証されていない位置の両方、およびさまざまなシステムの役割からの攻撃に耐えるのに十分な強度があるかどうかを判断できます。 侵入テストは、正しい範囲でシステムのあらゆる側面に入ることができます。

侵入テストにはどのような利点がありますか?

理想的には、ソフトウェアとシステムは、潜在的に危険なセキュリティの問題を排除することを目的として最初から開発されます。 侵入テストは、その目標がどの程度達成されたかに関する情報を提供します。 侵入テストが企業にとってどのように役立つかを次に示します。

• システムの欠陥を特定する
• コントロールの堅牢性を決定します。
• データのプライバシーとセキュリティに関する規制 (PCI DSS、HIPAA、GDPR など) への準拠を支援します。
• 既存のセキュリティ体制と予算の優先順位について、経営陣に定性的および定量的な証拠を提供します。

侵入テストの段階は何ですか?

ペンテスターは、攻撃を模倣する動機のある敵として行動します。 彼らは通常、次のステップを含む計画に従います。

＃1。 偵察。

攻撃アプローチを導くために、公的および私的なソースからターゲットに関するできるだけ多くの情報を収集します。 インターネット検索、ドメイン登録情報の検索、ソーシャル エンジニアリング、非侵入型ネットワーク スキャン、および場合によってはごみ箱への飛び込みがすべてのソースです。 このデータは、侵入テスターがターゲットの攻撃面と潜在的な脆弱性をマッピングするのに役立ちます。 偵察は、侵入テストの範囲と目的によって異なります。 システムの機能を説明するために電話をかけるのと同じくらい基本的なことかもしれません。

#2. 走査

侵入テスターはツールを利用して、オープン サービス、アプリケーションのセキュリティ上の問題、オープン ソースの脆弱性など、ターゲットの Web サイトまたはシステムの欠陥を探します。 侵入テスターは、偵察とテスト中に発見したものに基づいて、さまざまなツールを使用します。

＃3。 エントリー取得。

攻撃者の動機は、データの盗用、変更、または破壊から、資金の移動または単に企業の評判を傷つけることにまで及びます。 侵入テスト担当者は、SQL インジェクションなどの欠陥によるものか、マルウェア、ソーシャル エンジニアリング、またはその他の手段によるものかにかかわらず、システムにアクセスするために使用するツールと戦術を決定します。

＃4。 アクセスを開いたままにする

侵入テスト担当者がターゲットにアクセスできるようになったら、シミュレートされた攻撃は、データの流出、変更、または機能の悪用という目標を達成するのに十分な時間、接続されたままにする必要があります。 影響の可能性を実証する必要があります。

侵入テストの種類

プロバイダーを決定する前に、エンゲージメントの焦点、深さ、および期間が異なるため、アクセス可能なさまざまな種類の侵入テストを理解することが重要です。 以下は、一般的な倫理的ハッキング行為の例です。

＃1。 内部および外部インフラストラクチャの侵入テ​​スト

ファイアウォール、システム ホスト、およびルーターやスイッチなどのデバイスを含む、オンプレミスおよびクラウド ネットワーク インフラストラクチャの評価。 ビジネスネットワーク内の資産に焦点を当てた内部侵入テスト、またはインターネットに接続されたインフラストラクチャに焦点を当てた外部侵入テストが使用される場合があります。 テストのスコープを設定するには、検査する内部 IP と外部 IP の数、ネットワーク サブネットのサイズ、およびサイトの数を把握しておく必要があります。

＃2。 無線侵入検査

組織の WLAN および Bluetooth、ZigBee、Z-Wave などのワイヤレス プロトコルを明示的に対象とする WLAN (ワイヤレス ローカル エリア ネットワーク) テスト。 不正なアクセス ポイント、暗号化の欠陥、および WPA の脆弱性の検出に役立ちます。 テスターは、エンゲージメントの範囲を特定するために、評価するワイヤレス ネットワークとゲスト ネットワーク、場所、および一意の SSID の数を知る必要があります。

＃3。 Web アプリケーションのテスト

悪意を持って悪用される可能性のあるコーディング、設計、および開発上の欠陥を特定するために、インターネット経由で配布される Web サイトおよびカスタム プログラムを検査します。 テスト プロバイダーに問い合わせる前に、テストが必要なアプリの数と、評価が必要な静的ページ、動的サイト、および入力フィールドの数を決定します。

＃4。 モバイル アプリケーションのテスト

Android や iOS などのプラットフォームでモバイル アプリケーションをテストして、認証、承認、データ漏洩、セッション処理の脆弱性を発見します。 テストのスコープを設定するには、プロバイダーは、アプリを評価するオペレーティング システムとバージョン、API 呼び出しの数、ジェイルブレイクとルート検出の前提条件を把握している必要があります。

＃5。 ビルドと構成の確認

ネットワークのビルドと構成を調べて、Web サーバーとアプリ サーバー、ルーター、ファイアウォールのエラーを確認します。 テスト対象のビルド、オペレーティング システム、およびアプリケーション サーバーの数は、この種のエンゲージメントの範囲を決定するための重要な情報です。

＃6。 ソーシャルエンジニアリング

電子メール フィッシングの試みを認識して対応するシステムと担当者の能力の評価。 カスタマイズされたフィッシング、スピア フィッシング、およびビジネス メール詐欺 (BEC) の攻撃により、潜在的な危険性に関する詳細な洞察が得られます。

＃7。 雲の侵入のテスト

カスタム クラウド セキュリティ評価は、重要な資産を公開する可能性があるクラウドおよびハイブリッド設定の脆弱性を特定して対処することにより、組織が共有責任の問題を克服するのに役立ちます。

#8。 アジャイル環境での侵入テスト

開発サイクル中にセキュリティ上の欠陥を検出して修正することを目的とした、開発者中心の継続的なセキュリティ評価。 この機敏な方法論は、単純なバグ修正であろうと大規模な機能であろうと、すべての製品リリースがセキュリティのために徹底的にテストされていることを保証するのに役立ちます.

侵入テストの方法

＃1。 外部評価

外部侵入テストは、Web アプリケーション自体、会社の Web サイト、電子メール、ドメイン ネーム サーバー (DNS) など、会社のインターネットから見える資産を対象としています。 目標は、アクセスを取得して有用な情報を抽出することです。

＃2。 内部評価

内部テストでは、会社のファイアウォールの背後にあるアプリケーションにアクセスできるテスターが、悪意のある内部関係者の攻撃を模倣します。 これは常に改革派の従業員をエミュレートしているわけではありません。 一般的な出発点は、フィッシング攻撃の結果として資格情報を取得した従業員です。

＃3。 ブラインドテスト

ブラインド テストでは、テスト担当者に対象組織の名前が提供されるだけです。 これにより、セキュリティ担当者は、実際のアプリケーション攻撃がどのように発生するかをリアルタイムで把握できます。

＃4。 二重盲検法

二重ブラインド テストのセキュリティ ワーカーは、シミュレートされた攻撃に関する事前情報を持っていません。 現実の世界と同じように、侵入が試みられる前に要塞を強化する時間はありません。

＃5。 対象を絞ったテスト

このシナリオでは、テスターとセキュリティ スタッフが協力し、お互いの動きを常に把握しています。 これは、セキュリティ チームにハッカーの視点からのリアルタイムのフィードバックを提供する優れたトレーニングです。

ペネトレーションテスターの役割とは?

侵入テスターは、他のコンピューター サイエンスの専門家とは異なり、サイバーセキュリティの特定の側面に焦点を当てています。 脆弱性テストとして知られるプロセスである、攻撃が発生する前にシステムの欠陥を検出することにより、ビジネスのデジタル情報の保護を支援します。

ペネトレーション テスターは、重大なデータ侵害に伴う金銭的および公共の信頼の損失から組織を救うことができます。 潜在的な欠陥を発見し、将来の攻撃を回避するために、これらの専門家は危険なハッカーのように考えます.

侵入テスターは、サイバーセキュリティまたは情報技術 (IT) チームによって頻繁に採用されています。 ハッキング ツール、コーディングとスクリプト作成の経験、および脆弱性とオペレーティング システムの包括的な理解は、すべて重要な侵入テスト機能です。

ペネトレーション テスターは、優れたコミュニケーション、対人関係、およびレポート作成のスキルから恩恵を受けます。

ペンテスターはいくら稼げますか?

ペンテスターは大金を稼ぐことができます。 Payscale によると、2021 年 87,440 月のペネトレーション テスターの平均給与は 2020 ドルです。 この金額は、BLS の 41,950 年 XNUMX 月の全国平均賃金の XNUMX ドルをはるかに上回っています。

初心者レベルの侵入テスターは、経験豊富な専門家よりも収入が少なくなります。 給与は教育によって異なり、より高いレベルのペネトレーション テスターは多くの場合、より多くの収入を得ています。 場所、業界、専門分野はすべて、報酬に影響を与える可能性のある要因です。

経験に基づく侵入テスターの給与

侵入テスターの給与範囲は、経験レベルによって異なります。 20 年の経験を持つペネトレーション テスターの年収は平均 124,610 ドルで、これは初級レベルの労働者の平均報酬よりも約 57,000 ドル多くなっています。

1 ～ 4 年の経験があるだけで、ペネトレーション テスターの収入は、エントリー レベルのペネトレーション テスターの 67,950 ドルから、初期のキャリア エキスパートの 81,230 ドルに劇的に増加します。

教育に基づくペネトレーションテスターの給与

侵入テスターの給与は、学位のレベルに応じて上昇することがよくあります。 たとえば、情報セキュリティの学士号から修士号に移行すると、平均賃金が年間 19,000 ドル上昇する可能性があります。

別の学位を取得するために必要な時間とお金に対して、潜在的により良い賃金を評価することにより、追加教育の利点と欠点を検討してください。 認定資格とブート キャンプは、費用がかからない可能性があります。

多くの場合、侵入テストの学術プログラムは、コンピューター サイエンス、サイバーセキュリティ、または情報セキュリティの学位を取得します。 

場所別のペネトレーションテスターの給与

教育と経験は別として、住んでいる場所が報酬に影響を与える可能性があります。 侵入テスターの収入は、雇用需要、生活費、人口密度などの要因の影響を受ける可能性があります。 収入の可能性を最適化するために、生活費の統計が平均よりも低い高収入地域の職業を検討してください。

侵入テスターはどのくらいのアクセス権を持っていますか?

テスターに​​は、侵入テストの目的に応じて、ターゲット システムに関するさまざまなレベルの情報またはターゲット システムへのアクセスが提供されます。 特定の状況では、侵入テスト チームは XNUMX つの戦略から開始し、それを維持します。 侵入テスト中にシステムに対する理解が深まるにつれて、テスト チームの戦略が発展することもあります。 侵入テスト アクセスは XNUMX つのレベルに分かれています。

• 不透明なボックス。 チームは、ターゲット システムの内部構造についての知識を持っていません。 ハッカーと同様に動作し、外部から悪用可能な欠陥を探します。
• 半透明の箱。 スタッフは、XNUMX つまたは複数の資格情報セットに精通しています。 また、ターゲットのコア データ構造、コード、およびアルゴリズムも理解します。 侵入テスト担当者は、ターゲット システムのアーキテクチャ図などの広範な設計ドキュメントからテスト ケースを作成する場合があります。
• 透明ボックス。 侵入テスト担当者は、システムと、ソース コード、バイナリ、コンテナー、場合によってはシステムを実行するサーバーなどのシステム成果物にアクセスできます。 この方法は、最短時間で最高レベルの保証を提供します。

侵入テストツールとは?

ペネトレーション テスト ツールは、ペネトレーション テスト (ペン テスト) の一部として使用され、特定のプロセスを自動化し、テスト速度を向上させ、手動の分析手法だけでは見つけにくい欠陥を明らかにします。 静的分析ツールと動的分析ツールは、XNUMX 種類の侵入テスト ツールです。

侵入テストツールの種類は何ですか?

万能のペン テスト ツールはありません。 代わりに、ターゲットが異なれば、ポート スキャン、アプリケーション スキャン、Wi-Fi 侵入、ネットワークへの直接侵入のためのさまざまなツール セットが必要になります。 侵入テスト ツールは、大きく XNUMX つのグループに分類されます。

• ネットワークホストと開いているポートを見つけるための偵察ソフトウェア
• ネットワーク サービス、Web アプリケーション、および API の脆弱性を検出するスキャナー
• 特殊な Web プロキシや一般的な中間者プロキシなどのプロキシ ツールを使用できます。
• エクスプロイト ツールは、システムの足がかりや資産へのアクセスを獲得するために使用されます。
• システムに関与し、アクセスを維持および拡大し、攻撃の目標を達成するためのポストエクスプロイト ツール

侵入テストと自動テストの違いは何ですか?

侵入テストは主に手動で行われますが、侵入テスト担当者は自動化されたスキャンおよびテスト ツールを使用します。 また、現在の攻撃戦略に関する知識を利用して、ツールを超えて、脆弱性評価よりも詳細なテスト (自動テストなど) を提供します。

手動ペン テスト

手動侵入テストでは、一般的なリスト (OWASP トップ 10 など) に含まれていない脆弱性と弱点を特定し、自動テストでは無視される可能性のあるビジネス ロジック (データ検証、整合性チェックなど) を評価します。 手動侵入テストは、自動テストによって提供される誤検出の識別にも役立ちます。 侵入テスト担当者は、敵のように考える専門家であるため、定義済みのルーチンに従う自動テスト ソリューションではできない方法で、データを調べて攻撃の対象を絞り込み、システムや Web サイトをテストできます。

自動テスト

完全に手動のペン テスト アプローチと比較して、自動テストはより迅速に結果を出し、必要な資格のある担当者が少なくて済みます。 自動化されたテスト プログラムは自動的に結果を追跡し、場合によってはそれらを中央のレポート プラットフォームにエクスポートできます。 さらに、手動ペン テストの結果はテストごとに異なる可能性がありますが、同じシステムで自動テストを繰り返し実行すると、同じ結果が得られます。

侵入テストの長所と短所は何ですか?

セキュリティ侵害の数と深刻度が年々増加しているため、企業が攻撃にどのように耐えられるかを可視化する必要性がかつてないほど高まっています。 PCI DSS や HIPAA などの規制には、コンプライアンスを確保するための定期的な侵入テストが必要です。 これらの制約を念頭に置いて、このタイプの欠陥検出技術の長所と短所を以下に示します。

侵入テストの利点

• 自動化されたツール、構成とコーディングの標準、アーキテクチャ分析、およびその他の軽量の脆弱性評価タスクなど、上流のセキュリティ保証アプローチには欠陥があることが示されています。
• 既知および未知のソフトウェア障害とセキュリティの脆弱性の両方を検出します。これには、単独では大きな懸念を引き起こさないかもしれないが、より大きな攻撃パターンの一部として深刻な害を引き起こす可能性がある小さな問題が含まれます。
• ほとんどの敵対的なハッカーがどのように振る舞うかをエミュレートし、現実世界の敵を可能な限りシミュレートすることで、あらゆるシステムを攻撃できます。

侵入テストの欠点

• 労働集約的で高価です
• 本番環境へのバグや欠陥の侵入を完全に防ぐことはできません。

一般的に使用される XNUMX つの侵入テストとは?

最も普及している XNUMX 種類の侵入テストは、自動と手動です。 

侵入テストを使用する理由

侵入テストの目的は、企業が攻撃に対して最も脆弱な場所を特定し、ハッカーが悪用する前にこれらの脆弱性に積極的に対処するのを支援することです。

要約する、

侵入テスト (侵入テスト) は、法的に認可された、コンピューター システムのセキュリティを評価するためのシミュレートされた攻撃です。 侵入テストは、悪用される可能性のある実際のセキュリティ脅威に関する広範な情報を提供します。 侵入テストを実行することで、重大な脆弱性、マイナーな脆弱性、誤検知の脆弱性を特定できます。

関連記事

1. 2023 年に最高の製品テスト Web サイトと企業
2. GAME TESTER: 意味、仕事、給料、無料のヒント
3. ビデオ ゲーム テスター: 意味、給与、XNUMX つになる方法 & リモート ジョブ
4. 市場浸透戦略: 市場浸透へのガイド (+無料のヒント)

参考文献

• シノプシス.com
• Imperva.com
• Redscan.com
• Cyber​​degrees.org