Rozdiel v hodnotení zraniteľnosti a penetračnom testovaní

vulnerability assessment

Testovanie penetrácie vs Skenovanie zraniteľnosti:

Občas som videl, že sa testeri a vlastníci firiem mýlia, aby pochopili základnú myšlienku, ktorá stojí za penetračným testom a skenovaním zraniteľnosti.

Obaja sú často zmätení ako rovnaké služby. Keď sa podnik nevie rozhodnúť, či podstúpi penetračný test alebo test zraniteľnosti. Je penetračné testovanie rovnaké ako testovanie zraniteľnosti alebo sa líši? Ak sú odlišné, potom sú v príbuzenskom vzťahu? Ktorý z nich si vybrať - Penetračný test alebo test zraniteľnosti ?

V tomto návode sa pokúsime zistiť odpovede na všetky vyššie uvedené otázky.

Čo sa dozviete:

• Úvod
• Úvod do testovania prieniku
  • Testovanie prieniku čiernej skrinky:
  • Testovanie prieniku do bielej skrinky:
• Úvod do skenovania zraniteľností
• Testovanie penetrácie vs Skenovanie zraniteľnosti
• Súvisí skenovanie a penetračné testovanie zraniteľnosti?
• Ktorý z nich si vybrať - test perom alebo skenovanie zraniteľnosti?
• Najobľúbenejšie nástroje
• Záver
• Odporúčané čítanie

Úvod

Na úvod by som chcel, aby ste si prečítali päť viet:

• Banány rastú na strome.
• Normálna ľudská bytosť využíva iba 10% svojho mozgu.
• Popraskanie prstov na rukách spôsobuje v starobe artritídu.
• Netopiere sú slepí.
• Penetračné testovanie je rovnaké ako pri skenovaní zraniteľnosti.

Dokážete uhádnuť jednu spoločnú vec medzi všetkými vyššie uvedenými tvrdeniami? Všetci sú Mýty. Áno, to je správne. Všetko sú to skutočne mýty.

Avšak v tomto našom výučbe nás neobťažujú ani banány, ani netopiere. Všetko, čo nám záleží, je, aby sa testovanie prieniku porovnalo so skenovaním zraniteľnosti. Aby sme sa dozvedeli viac informácií o porovnaní alebo aby sme dokázali, že tvrdenie je mýtus, najskôr analyzujeme Penetračné testovanie a Sken zraniteľnosti zvlášť.

Úvod do testovania prieniku

Penetračný test je v skratke tiež známy ako „Pen Test“. Tento druh testu sa vykonáva v systéme s cieľom nájsť cestu do systému. To môže vystaviť dôležité údaje, ktoré systém ukladá, vonkajšiemu svetu.

Cieľ penetračného testovania môže byť všeobecne Typ bielej skrinky alebo typu čiernej skrinky .

Testovanie prieniku čiernej skrinky:

Tester zvyčajne nemá k dispozícii žiadne podrobnosti o systéme okrem jeho názvu. Je to veľmi podobné hackingu zo skutočného života, keď hacker nevie nič iné ako názov aplikácie.

Testovanie čiernej skrinky kopíruje reálne podmienky a nie je časovo náročné. Kvôli neznámym oblastiam súvisiacim so zdrojovým kódom a infraštruktúrou však vždy existuje možnosť vynechania niektorých častí systému.

Testovanie prieniku do bielej skrinky:

V tomto procese sa testeru poskytnú všetky potrebné údaje týkajúce sa systému, ktorý musí prejsť penetračným testovaním.

Údaje môžu byť sieťová architektúra, konfigurácie systému, zdrojové kódy atď. Toto je zdĺhavejší proces ako pri testovaní perom typu Black Box. Toto je dôkladný proces a má hlbšie pokrytie v porovnaní s typom čiernej skrinky.

Testovanie perom sa vždy vykonáva so súhlasom / požiadavkou klienta. Vykonávanie testov perom na webe bez súhlasu vlastníka je nezákonné a možno ho označiť ako hacking.

Teraz už vieme, čo je penetračné testovanie, a je čas poznať dôvod, prečo sa organizácie preň rozhodnú. Hovorí sa, že je lepšie byť v bezpečí, ako ľutovať. Vďaka testovaniu pomocou pera je architektúra silnejšia a odolnejšia voči útokom.

Úvod do skenovania zraniteľností

Skenovanie zraniteľnosti sa používa na zistenie zraniteľností / slabosti systému. Táto úloha sa vykonáva spustením aplikácie (nazývanej ako skener zraniteľnosti) v cieľovom počítači. Tieto aplikácie alebo skenery je možné spustiť priamo na cieľovom počítači alebo zo sieťového umiestnenia.

Umiestnenie v sieti prichádza do úvahy pre väčšie organizácie, zatiaľ čo nie je možné neustále spúšťať skener na lokálnych počítačoch.

Teraz, Ako viete, ktorý skener je vhodný pre vašu aplikáciu? Odpoveď je dosť jednoduchá. To znamená, že skenery Vulnerability takmer nepoužívajú podrobnosti / parametre systému počas skenovania.

Potrebujú iba IP systému. Iba pomocou protokolu IP môže skener zraniteľností zistiť potenciálne miesta, kde je možné v systéme vykonať útok.

Existujú situácie, keď má spoločnosť intranet a nie všetky počítače sú vystavené svetu internetu. V takom prípade musí byť skener zraniteľnosti spustený z intranetu, pomocou ktorého je možné zachytiť skenovanie tak vnútorných, ako aj vonkajších.

Po dokončení testu / skenovania skener pomáha získať správu obsahujúcu všetky možné chyby. Vygenerovaná správa obsahuje rôzne údaje týkajúce sa slabých miest v nej.

Údaje sa pohybujú od štatistík servera (na základe indexu zraniteľnosti), stavu rôznych služieb bežiacich na rôznych serveroch až po stav zistených chýb zabezpečenia na základe úrovne ich závažnosti.

Hneď ako sa správa vygeneruje, musí sa analyzovať, aby sa zistila skutočná situácia. Zistené chyby zabezpečenia nie sú vždy také vážne. Môžu sa vyskytnúť prípady, keď skener vytiahne názov iba preto, že očakávané údaje sa nezhodujú s výstupom. To však nemusí byť skutočná zraniteľnosť.

To je dôvod, prečo je potrebné vykonať ďalšiu analýzu správy o skenovaní zraniteľnosti, aby sa zistilo, či je nájdená zraniteľnosť správna alebo nie.

Testovanie penetrácie vs Skenovanie zraniteľnosti

Teraz vieme, čo je to testovací proces penetrácie a čo je skenovanie zraniteľností.

Teraz by bol stret hlavy a hlavy medzi týmito dvoma gigantmi zábavný.

Príklad:

Dostaneme sa do príkladu zo skutočného života, aby sme pochopili rozdiel medzi nimi.

Zoberme si ako príklad pána X. Pán X je špecialista na lúpeže. Budeme sledovať jeho plán pre jeho ďalšiu lúpež. Plánuje vylúpiť banku prítomnú uprostred mesta.

Budova banky je obklopená policajnou stanicou, hasičskou stanicou, verejným parkom (ktorý je v noci zatvorený) a rybníkom. Budova banky je 20 poschodová budova s ​​heliportom na vrchu. Predtým, ako skutočne vykradne banku, musí nájsť možné vstupné body do budovy banky.

Po stranách budovy, ktorá má policajnú a hasičskú stanicu, nie je možné narušiť. Fungujú 24 hodín denne 7 dní v týždni a kto by sa odvážil vylúpiť banku s využitím Cop’s den ako vstupného bodu! To pánovi X ponecháva ďalšie 3 možnosti. Áno, dobre ste pochopili. Strechu má tiež ako vstupný bod (Pamätáte si na Heatha Ledgera z trilógie o Batmanovi?).

Strecha sa tu javí ako zvláštna voľba, pretože budova má iba 20 poschodí a pravdepodobnosť, že vás ľudia vo vašom okolí chytia, je veľmi vysoká. Banka je jedinou výškovou budovou v tejto oblasti. Vďaka tomu je vstup do strechy veľkým NIE! S dvoma zvyšnými možnosťami začne pán X analyzovať jazero ako vstupný bod.

Jazero môže byť dobrým spôsobom vstupu, ale viditeľnosť by vzbudzovala obavy. Ako by niekto zareagoval, keby videl niekoho plávať o polnoci, aj to smerom k budove Banky? Poslednou možnosťou je Verejný park.

Poďme si park podrobne rozobrať. Po šiestej večer je pre verejnosť zatvorené. Park má veľa stromov, ktoré poskytujú potrebný tieň a podporu pre utajený režim. Park má ohraničujúci múr, ktorý je spoločný s priestormi banky.

Všetky vyššie uvedené analýzy možno teraz označiť ako skenovanie zraniteľnosti. Všetky tieto veci robí skener. Zistiť zraniteľnú pozíciu, do ktorej sa dá dostať.

Keď sa vrátime k nášmu príbehu, predpokladajme, že pán X bude úspešný pri vstupe do banky cez vstupný bod verejného parku. Čo robí ďalej? Či už vnikne do trezoru, aby získal hotovosť, alebo skrinky na vklad, aby získal cennosti.

Táto časť je Penetračné testovanie. Získate prístup a pokúsite sa zneužiť systém. Spoznáte hĺbku, ktorú môžete pri tomto útoku dostať.

Poznámka: Počas písania tohto návodu neboli vykradnuté žiadne banky. A tiež nie je vhodné nasledovať kroky pána X.

Ponechávam vám nasledujúcu porovnávaciu tabuľku, aby ste získali lepšiu jasnosť v rozdiele medzi týmito dvoma údajmi.

Súvisí skenovanie a penetračné testovanie zraniteľnosti?

Áno, skenovanie zraniteľnosti a penetračné testovanie navzájom súvisia. Penetračné testovanie závisí od kontroly zraniteľnosti.

Na spustenie penetračného testovania sa vykoná kompletná kontrola zraniteľnosti, aby tester spoznal všetky slabiny, ktoré sa v systéme nachádzajú, a potom ich zneužil.

rozdiel medzi spustením portu a presmerovaním portu

Pomocou skenovania zraniteľností teda spoznáme možné chyby, ale tieto chyby sú do dnešného dňa nevyužité. Práve penetračné testovanie potvrdzuje, do akej miery je možné zraniteľnosť zneužiť.

Taktiež sa navzájom pretínajú v určitých bodoch, ako je znázornené na nasledujúcom obrázku:

Ktorý z nich si vybrať - test perom alebo skenovanie zraniteľnosti?

Keď sme pochopili rozdiel medzi oboma, teraz vyvstáva otázka - ktorý z nich si zvoliť?

Cieľom kontroly zraniteľnosti je zistiť slabiny vášho systému a opraviť ich. Zatiaľ čo cieľom penetračného testovania je zistiť, či niekto môže narušiť váš systém, a ak áno, potom aká bude hĺbka útoku a koľko zmysluplných údajov môže získať.

Test zraniteľnosti a test pera vám spolu povedia, čo je ohrozené a ako sa dá opraviť. Cieľom je zvýšiť celkovú bezpečnosť vášho systému. Musíte si vybrať medzi týmito dvoma v závislosti od závažnosti vášho podnikania. Ak sa chystáte na test perom, potom pokrýva tiež skenovanie zraniteľností.

Test perom je však v porovnaní so skenovaním zraniteľnosti veľmi nákladný (okolo 4 000 až 20 000 dolárov) a časovo rovnako náročný. Prináša totiž veľmi presné a dôkladné výsledky a eliminuje falošné pozitívne zraniteľnosti.

Skenovanie zraniteľnosti je zatiaľ veľmi rýchle a oveľa lacnejšie (takmer 100 dolárov za IP, ročne, v závislosti od dodávateľa) ako test perom. Ako organizácia môžete skenovanie zraniteľností absolvovať mesačne, štvrťročne alebo dokonca týždenne. A každoročne sa rozhodnite pre test perom.

Najobľúbenejšie nástroje

Medzi bežne používané nástroje na skenovanie zraniteľnosti patria:

• Nessus
• Nikto
• SVÄTÝ
• OpenVAS atď.

Medzi bežne používané nástroje pre Pen Test patria:

• Qualys
• Dopad jadra
• Metasploit atď.

Testéri pera tiež píšu svoj vlastný exploitový kód podľa požiadavky.

Záver

Z tohto tutoriálu si uvedomujeme, že Pen Test aj Vulnerability Scan sú úplne dve rôzne aktivity, ktoré sa vykonávajú, aby bola aplikácia bezpečnejšia pred útokmi. Ak je to potrebné, môžu sa tiež použiť spoločne.

Test zraniteľnosti identifikuje možné medzery a Pen test tieto medzery využíva na odhalenie rozsahu poškodenia / krádeže, ku ktorej môže dôjsť pri kritických obchodných informáciách. Vykonávajú sa na odstránenie medzier a zabránenie akýmkoľvek potenciálnym útokom a narušeniam bezpečnosti informačného systému.

Ďalšie čítanie

• Začíname s testovaním penetrácie webových aplikácií
• 37 najsilnejších nástrojov na testovanie penetrácie (nástroje na testovanie bezpečnosti)
• Testovanie prieniku - Kompletný sprievodca so vzorovými testovacími prípadmi
• Top 10 najužitočnejších nástrojov na skenovanie posúdenia zraniteľnosti
• Ako otestovať zabezpečenie webových aplikácií pomocou nástroja Acunetix Web Vulnerability Scanner (WVS) - praktická kontrola

Odporúčané čítanie

• Najlepšie nástroje na testovanie softvéru 2021 (QA Test Automation Tools)
• Rozdiel medzi počítačom, klientskym serverom a webom
• Testovanie zabezpečenia siete a najlepšie nástroje zabezpečenia siete
• 19 výkonných nástrojov na testovanie prieniku, ktoré profesionáli používali v roku 2021
• Stiahnutie e-knihy Testing Primer
• Statické testovanie a dynamické testovanie - rozdiel medzi týmito dvoma dôležitými testovacími technikami
• Výkonové testovanie vs záťažové testovanie vs záťažové testovanie (rozdiel)
• 101 Rozdiely medzi základmi testovania softvéru