Тестирование на проникновение широко используется в дополнение к брандмауэру веб-приложений (WAF) в контексте безопасности веб-приложений. Тест на проникновение, также известный как тест на проникновение, имитирует кибератаку на вашу компьютерную систему с целью выявления уязвимых мест. Затем результаты теста на проникновение можно использовать для тонкой настройки политик безопасности WAF и устранения найденных уязвимостей. Вот все, что вам нужно знать о тесте на проникновение, включая различные типы и методы.
Что такое тест на проникновение?
Тест на проникновение (пен-тест) — это санкционированная законом смоделированная атака на компьютерную систему для оценки ее безопасности. Специалисты по тестированию на проникновение используют те же инструменты, стратегии и процессы, что и злоумышленники, для выявления и демонстрации коммерческих последствий недостатков системы. Тесты на проникновение обычно повторяют ряд атак, которые могут поставить компанию под угрозу. Они могут определить, достаточно ли надежна система, чтобы противостоять атакам как с аутентифицированных, так и с неаутентифицированных позиций, а также с различных системных ролей. Тест на проникновение может пройти в любой аспект системы с правильной областью действия.
Какие преимущества дает тестирование на проникновение?
В идеале программное обеспечение и системы разрабатываются с самого начала с целью устранения потенциально опасных проблем безопасности. Пен-тест предлагает информацию о том, насколько хорошо эта цель была достигнута. Вот как ручное тестирование может быть полезным для корпорации.
- Выявление недостатков системы
- Определить устойчивость управления.
- Помощь в соблюдении правил конфиденциальности и безопасности данных (например, PCI DSS, HIPAA и GDPR).
- Предоставьте руководству качественные и количественные данные о существующей системе безопасности и бюджетных приоритетах.
Каковы этапы пен-тестирования?
Пен-тестеры действуют как мотивированные противники, имитирующие нападения. Обычно они следуют плану, который включает следующие шаги:
№1. Разведка.
Чтобы определить подход к атаке, соберите как можно больше информации о цели из общедоступных и частных источников. Поиск в Интернете, поиск информации о регистрации домена, социальная инженерия, неинтрузивное сканирование сети и иногда погружение в мусорные баки — все это источники. Эти данные помогают пен-тестерам в определении поверхности атаки цели и потенциальных уязвимостей. Разведка варьируется в зависимости от объема и целей пентеста; это может быть так же просто, как сделать телефонный звонок, чтобы просмотреть возможности системы.
№2. Сканирование
Пен-тестеры используют инструменты для поиска недостатков в целевом веб-сайте или системе, таких как открытые сервисы, проблемы безопасности приложений и уязвимости с открытым исходным кодом. Пен-тестеры используют ряд инструментов, основанных на том, что они обнаруживают во время разведки и тестирования.
№3. Получение входа.
Мотивы злоумышленников могут варьироваться от кражи, изменения или уничтожения данных до перевода средств или простого нанесения ущерба репутации компании. Пен-тестеры решают, какие инструменты и тактики использовать для получения доступа к системе, будь то с помощью уязвимости, такой как внедрение SQL, или с помощью вредоносного ПО, социальной инженерии или чего-то еще.
№ 4. Держите доступ открытым
После того, как пен-тестеры получили доступ к цели, их смоделированная атака должна оставаться на связи достаточно долго, чтобы достичь своих целей по краже данных, модификации или злоупотреблению функциональными возможностями. Необходимо продемонстрировать возможное воздействие.
Типы тестов на проникновение
Прежде чем принять решение о поставщике, очень важно разобраться во многих доступных типах пен-тестов, поскольку задания различаются по направленности, глубине и продолжительности. Ниже приведены примеры распространенных этических хакерских действий:
№1. Тестирование на проникновение внутренней и внешней инфраструктуры
Оценка локальной и облачной сетевой инфраструктуры, включая брандмауэры, узлы системы и такие устройства, как маршрутизаторы и коммутаторы. Можно использовать внутреннее тестирование на проникновение, сосредоточив внимание на активах в бизнес-сети, или внешнее тестирование на проникновение, сосредоточив внимание на инфраструктуре с выходом в Интернет. Чтобы провести тест, вы должны знать количество внутренних и внешних IP-адресов, которые необходимо проверить, размер сетевой подсети и количество сайтов.
№ 2. Проверка проникновения в беспроводную сеть
Тест WLAN (беспроводной локальной сети), который явно нацелен на WLAN организации, а также на беспроводные протоколы, такие как Bluetooth, ZigBee и Z-Wave. Помогает обнаруживать мошеннические точки доступа, недостатки шифрования и уязвимости WPA. Тестировщикам необходимо знать количество беспроводных и гостевых сетей, местоположений и уникальных идентификаторов SSID, которые необходимо оценить, чтобы определить объем участия.
№3. Тестирование веб-приложений
Проверка веб-сайтов и пользовательских программ, распространяемых через Интернет, для выявления дефектов кодирования, дизайна и разработки, которые могут быть использованы злоумышленниками. Прежде чем обращаться к поставщику услуг тестирования, определите количество приложений, требующих тестирования, а также количество статических страниц, динамических сайтов и полей ввода, которые необходимо оценить.
№ 4. Тестирование мобильных приложений
Тестирование мобильных приложений на таких платформах, как Android и iOS, для выявления уязвимостей аутентификации, авторизации, утечки данных и обработки сеансов. Чтобы провести тест, поставщики должны знать операционные системы и версии, на которых они хотят оценить приложение, количество вызовов API и предварительные условия для взлома и обнаружения рута.
№ 5. Обзор сборки и конфигурации
Проверяйте сборки и конфигурации сети на наличие ошибок на веб-серверах и серверах приложений, маршрутизаторах и брандмауэрах. Количество сборок, операционных систем и серверов приложений, которые необходимо протестировать, является важной информацией для определения масштаба этого типа взаимодействия.
№6. Социальная инженерия
Оценка ваших систем и способности персонала распознавать попытки фишинга по электронной почте и реагировать на них. Индивидуальные атаки фишинга, целевого фишинга и компрометации деловой электронной почты (BEC) позволяют получить подробное представление о потенциальных опасностях.
№ 7. Тестирование на проникновение в облако
Индивидуальные оценки безопасности в облаке могут помочь вашей организации преодолеть трудности с общей ответственностью за счет выявления и устранения уязвимостей в облачных и гибридных настройках, которые могут подвергнуть опасности важные активы.
№8. Тестирование на проникновение в Agile-среде
Непрерывные, ориентированные на разработчиков оценки безопасности, направленные на обнаружение и исправление недостатков безопасности в течение цикла разработки. Эта гибкая методология помогает гарантировать, что каждый выпуск продукта, будь то простое исправление ошибки или крупная функция, был тщательно протестирован на предмет безопасности.
Методы тестирования на проникновение
№1. Внешняя оценка
Внешние тесты на проникновение нацелены на видимые в Интернете активы фирмы, такие как само веб-приложение, веб-сайт компании, электронная почта и серверы доменных имен (DNS). Цель состоит в том, чтобы получить доступ и извлечь полезную информацию.
№ 2. Внутренняя оценка
Во время внутреннего тестирования тестировщик, имеющий доступ к приложению за брандмауэром компании, имитирует атаку злоумышленников изнутри. Это не всегда подражание сотруднику-ренегату. Распространенной отправной точкой является сотрудник, учетные данные которого были получены в результате попытки фишинга.
№3. Слепое тестирование
При слепом тестировании тестировщику просто сообщают название целевой организации. Это дает персоналу службы безопасности представление в режиме реального времени о том, как может произойти реальная атака на приложение.
№ 4. Двойное слепое тестирование
Работники службы безопасности в двойном слепом тесте не имеют предварительной информации о смоделированной атаке. У них не будет времени укрепить свои укрепления до попытки прорыва, как в реальном мире.
№ 5. Целевое тестирование
В этом сценарии тестировщик и сотрудники службы безопасности сотрудничают и информируют друг друга о своих перемещениях. Это отличное учебное упражнение, которое предлагает команде безопасности обратную связь в режиме реального времени с точки зрения хакера.
Какова роль тестера на проникновение?
Тестировщик на проникновение, в отличие от других экспертов в области компьютерных наук, фокусируется на конкретном аспекте кибербезопасности. Они помогают защитить цифровую информацию своего бизнеса, обнаруживая системные недостатки до того, как произойдет атака. Этот процесс известен как тестирование уязвимостей.
Специалисты по тестированию на проникновение могут спасти свои организации от финансового ущерба и ущерба общественному доверию, который возникает в результате серьезных утечек данных. Чтобы выявить потенциальные недостатки и избежать атак в будущем, эти профессионалы думают как опасные хакеры.
Специалисты по тестированию на проникновение часто нанимаются командами по кибербезопасности или информационным технологиям (ИТ). Опыт работы с хакерскими инструментами, кодированием и сценариями, а также всестороннее понимание уязвимостей и операционных систем — все это важные возможности тестирования на проникновение.
Тестеры на проникновение выигрывают от сильных навыков общения, межличностного общения и написания отчетов.
Сколько может заработать тестер пера?
Пен-тестеры могут заработать много денег. По данным Payscale, средняя зарплата тестировщика на проникновение в сентябре 2021 года составляет 87,440 2020 долларов. Эта сумма намного выше средней национальной заработной платы BLS на май 41,950 года для всех рабочих мест в размере XNUMX XNUMX долларов.
Пентестеры начального уровня зарабатывают меньше, чем опытные профессионалы. Оплата варьируется в зависимости от образования, при этом пентестеры более высокого уровня часто зарабатывают больше. Местоположение, отрасль и область специализации — все это факторы, которые могут повлиять на компенсацию.
Зарплата пентестера в зависимости от опыта
Диапазоны заработной платы тестировщиков на проникновение варьируются в зависимости от уровня опыта. Тестеры на проникновение с 20-летним опытом зарабатывают в среднем 124,610 57,000 долларов в год, что примерно на XNUMX XNUMX долларов больше, чем средняя заработная плата работников начального уровня.
Всего лишь 1-4 года опыта могут значительно повысить доход пентестера: с 67,950 81,230 долларов для начинающего пентестера до XNUMX XNUMX долларов для начинающего эксперта.
Зарплата пентестера в зависимости от образования
Заработная плата тестировщиков на проникновение часто повышается с уровнем диплома. Переход от степени бакалавра в области информационной безопасности к степени магистра, например, может повысить среднюю заработную плату на 19,000 XNUMX долларов в год.
Подумайте о преимуществах и недостатках дополнительного образования, оценив потенциально более высокую заработную плату по сравнению со временем и деньгами, необходимыми для получения другой степени. Сертификация и учебные лагеря менее затратны.
Академические программы тестирования на проникновение часто предоставляют степени в области компьютерных наук, кибербезопасности или информационной безопасности.
Зарплата пентестера по местоположению
Помимо образования и опыта, место вашего проживания может повлиять на вашу компенсацию. На доход пентестера могут влиять такие факторы, как спрос на работу, стоимость жизни и плотность населения. Подумайте о профессиях в высокооплачиваемых районах со статистикой стоимости жизни ниже средней, чтобы оптимизировать потенциальный доход.
Какой доступ имеют пен-тестеры?
Тестировщикам предоставляется различная степень информации о целевой системе или доступ к ней в зависимости от целей пентеста. В определенных обстоятельствах команда пентестеров начинает с одной стратегии и остается при ней. Иногда стратегия группы тестирования развивается по мере того, как растет ее понимание системы во время пентеста. Доступ к пен-тесту разделен на три уровня.
- Непрозрачная коробка. Команда не знает внутренней структуры целевой системы. Он ведет себя подобно хакеру, исследуя любые внешние недостатки.
- Полупрозрачная коробка. Персонал знаком с одним или несколькими наборами учетных данных. Он также понимает основные структуры данных, код и алгоритмы цели. Пен-тестеры могут создавать тестовые примеры из обширной проектной документации, такой как архитектурные схемы целевой системы.
- Прозрачная коробка. Пен-тестеры имеют доступ к системам и системным артефактам, таким как исходный код, двоичные файлы, контейнеры и, в некоторых случаях, к серверам, на которых работает система. Этот метод обеспечивает высочайший уровень уверенности в кратчайшие сроки.
Что такое инструменты тестирования на проникновение?
Инструменты тестирования на проникновение используются как часть теста на проникновение (Pen Test) для автоматизации определенных процессов, повышения скорости тестирования и выявления недостатков, которые было бы трудно обнаружить, используя только методы ручного анализа. Инструменты статического анализа и инструменты динамического анализа — это два типа инструментов тестирования на проникновение.
Какие существуют типы инструментов для пентестинга?
Не существует универсального инструмента для тестирования пера. Вместо этого для разных целей требуются разные наборы инструментов для сканирования портов, сканирования приложений, взлома сетей Wi-Fi и прямого проникновения в сеть. Инструменты для тестирования пера можно разделить на пять групп.
- Программное обеспечение разведки для обнаружения сетевых хостов и открытых портов
- Сканеры уязвимостей в сетевых службах, веб-приложениях и API
- Доступны прокси-инструменты, такие как специализированные веб-прокси или общие прокси-серверы «человек посередине».
- Инструменты эксплуатации используются, чтобы закрепиться в системе или получить доступ к активам.
- Инструменты пост-эксплуатации для взаимодействия с системами, сохранения и расширения доступа, а также достижения целей нападения.
Что отличает Pen Testing от автоматизированного тестирования?
Тестировщики пера используют автоматизированные инструменты сканирования и тестирования, несмотря на то, что тестирование пера в основном выполняется вручную. Они также выходят за рамки инструментов, чтобы обеспечить более глубокое тестирование, чем оценка уязвимости (т. е. автоматизированное тестирование), используя свое понимание текущих стратегий атак.
Ручное тестирование пера
Ручное тестирование с помощью пера выявляет уязвимости и недостатки, которые не включены в популярные списки (например, OWASP Top 10), и оценивает бизнес-логику, которую может игнорировать автоматизированное тестирование (например, проверка данных, проверка целостности). Ручной тест пера также может помочь в выявлении ложных срабатываний, обеспечиваемых автоматическим тестированием. Пен-тестеры могут исследовать данные для целей своих атак и тестировать системы и веб-сайты способами, которые автоматизированные тестовые решения, следующие заранее определенной процедуре, не могут, поскольку они являются профессионалами, которые думают как противники.
Автоматическое тестирование
По сравнению с полностью ручным тестированием, автоматизированное тестирование дает результаты быстрее и требует меньше квалифицированных специалистов. Программы автоматизированного тестирования автоматически отслеживают результаты и иногда могут экспортировать их на централизованную платформу отчетности. Кроме того, результаты ручного тестирования могут варьироваться от теста к тесту, но автоматическое тестирование в одной и той же системе неоднократно дает одни и те же результаты.
Каковы преимущества и недостатки пен-тестирования?
Поскольку количество и серьезность нарушений безопасности растут из года в год, предприятиям как никогда необходимо иметь представление о том, как они могут противостоять атакам. Такие правила, как PCI DSS и HIPAA, требуют периодического тестирования ручкой для обеспечения соответствия. С учетом этих ограничений ниже приведены некоторые преимущества и недостатки этого типа метода обнаружения дефектов.
Преимущества пентестинга
- Показано, что подходы к обеспечению безопасности вышестоящего уровня, такие как автоматизированные инструменты, стандарты конфигурации и кодирования, анализ архитектуры и другие более легкие задачи оценки уязвимостей, имеют недостатки.
- Находит как известные, так и неизвестные программные сбои и уязвимости в системе безопасности, в том числе незначительные проблемы, которые сами по себе не вызывают особого беспокойства, но могут причинить серьезный вред в рамках более крупной схемы атаки.
- Может атаковать любую систему, имитируя поведение большинства враждебно настроенных хакеров, максимально точно имитируя реального врага.
Недостатки пентестинга
- Является трудоемким и дорогим
- Не полностью предотвращает попадание ошибок и дефектов в производственную среду.
Каковы два наиболее часто используемых теста на проникновение?
Два наиболее распространенных типа тестов на проникновение — автоматические и ручные.
Почему мы используем тестирование на проникновение?
Цель тестирования на проникновение — помочь предприятиям определить, где они наиболее уязвимы для атак, и заблаговременно устранить эти уязвимости, прежде чем хакеры воспользуются ими.
Обобщить,
Тест на проникновение (пен-тест) — это санкционированная законом смоделированная атака на компьютерную систему для оценки ее безопасности. Пен-тесты дают обширную информацию о реальных угрозах безопасности, которые можно использовать. Проведя тест на проникновение, вы можете определить, какие уязвимости являются критическими, какие незначительными, а какие являются ложными срабатываниями.
Статьи по теме
- ЛУЧШИЕ САЙТЫ И КОМПАНИИ ПО ТЕСТИРОВАНИЮ ПРОДУКТА В 2023 ГОДУ
- ИГРОВОЙ ТЕСТЕР: смысл, работа, зарплата и бесплатные советы
- ТЕСТЕР ВИДЕОИГР: смысл, зарплата, как стать одним из них и удаленная работа
- СТРАТЕГИЯ ПРОНИКНОВЕНИЯ НА РЫНОК: руководство по проникновению на рынок (+бесплатные советы)
Рекомендации
