Zelfstudie voor penetratietesten: Wat is PenTest?

Inhoudsopgave:

Anonim

Penetratietesten

Penetratietests of pentests zijn een soort beveiligingstests die worden gebruikt om kwetsbaarheden, bedreigingen en risico's aan het licht te brengen waarvan een aanvaller misbruik zou kunnen maken in softwaretoepassingen, netwerken of webtoepassingen. Het doel van penetratietesten is om alle mogelijke beveiligingskwetsbaarheden die aanwezig zijn in de softwareapplicatie te identificeren en te testen. Penetratietesten worden ook wel Pentest genoemd.

Kwetsbaarheid is het risico dat een aanvaller het systeem of de gegevens erin kan verstoren of geautoriseerde toegang kan krijgen. Kwetsbaarheden worden meestal per ongeluk geïntroduceerd tijdens de ontwikkelings- en implementatiefase van software. Veelvoorkomende kwetsbaarheden zijn onder meer ontwerpfouten, configuratiefouten, softwarefouten enz. Penetratieanalyse is afhankelijk van twee mechanismen, namelijk Kwetsbaarheidsbeoordeling en Penetratietest (VAPT).

Waarom penetratietesten?

Penetratie is essentieel in een onderneming omdat -

  • Financiële sectoren zoals banken, investeringsbankieren en beurzen willen dat hun gegevens worden beveiligd, en penetratietesten zijn essentieel om de veiligheid te garanderen
  • In het geval dat het softwaresysteem al is gehackt en de organisatie wil bepalen of er nog bedreigingen in het systeem aanwezig zijn om toekomstige hacks te voorkomen.
  • Proactieve penetratietesten zijn de beste bescherming tegen hackers

Soorten penetratietesten:

Het type penetratietest dat wordt geselecteerd, hangt meestal af van de omvang en of de organisatie een aanval door een medewerker, netwerkbeheerder (interne bronnen) of externe bronnen wil simuleren. Er zijn drie soorten penetratietesten en dat zijn ze ook

  • Black Box-testen
  • White Box penetratietesten
  • Gray Box Penetration Testing

Bij black-box penetratietesten heeft een tester geen kennis van de te testen systemen. Hij is verantwoordelijk voor het verzamelen van informatie over het doelnetwerk of systeem.

Bij een white-box penetratietest krijgt de tester meestal volledige informatie over het netwerk of de systemen die getest moeten worden, inclusief het IP-adresschema, de broncode, OS-details, enz. Dit kan worden beschouwd als een simulatie van een aanval door eender welke Interne bronnen (werknemers van een organisatie).

Bij een grey box penetration test wordt een tester voorzien van gedeeltelijke kennis van het systeem. Het kan worden beschouwd als een aanval door een externe hacker die onrechtmatige toegang heeft verkregen tot de netwerkinfrastructuurdocumenten van een organisatie.

Hoe penetratietesten te doen

Hieronder volgen activiteiten die moeten worden uitgevoerd om de penetratietest uit te voeren -

Stap 1) Planningsfase

  1. Scope & Strategie van de opdracht wordt bepaald
  2. Bestaand beveiligingsbeleid, standaarden worden gebruikt om de scope te definiëren

Stap 2) Ontdekkingsfase

  1. Verzamel zoveel mogelijk informatie over het systeem, inclusief gegevens in het systeem, gebruikersnamen en zelfs wachtwoorden. Dit wordt ook wel VINGERAFDRUK genoemd
  2. Scan en sonde in de poorten
  3. Controleer op kwetsbaarheden van het systeem

Stap 3) Aanvalfase

  1. Vind exploits voor verschillende kwetsbaarheden U hebt de nodige beveiligingsbevoegdheden nodig om het systeem te exploiteren

Stap 4) Rapporteringsfase

  1. Een rapport moet gedetailleerde bevindingen bevatten
  2. Risico's van gevonden kwetsbaarheden en hun impact op het bedrijfsleven
  3. Eventuele aanbevelingen en oplossingen

De belangrijkste taak bij penetratietesten is het verzamelen van systeeminformatie. Er zijn twee manieren om informatie te verzamelen:

  • 'Eén op één'- of' één-op-veel'-model met betrekking tot host: een tester voert technieken lineair uit tegen één doelhost of een logische groep van doelhosts (bijv. Een subnet).
  • 'Veel-op-één'- of' veel-op-veel'-model: de tester gebruikt meerdere hosts om technieken voor het verzamelen van informatie uit te voeren in een willekeurig, snelheidsbeperkt en niet-lineair.

Voorbeelden van hulpmiddelen voor penetratietesten

Er is een grote verscheidenheid aan tools die worden gebruikt bij penetratietesten en de belangrijkste tools zijn:

  1. NMap- Deze tool wordt gebruikt voor het scannen van poorten, OS-identificatie, het traceren van de route en voor het scannen van kwetsbaarheden.
  2. Nessus - Dit is een traditionele tool voor netwerkgebaseerde kwetsbaarheden.
  3. Pass-The-Hash - Deze tool wordt voornamelijk gebruikt voor het kraken van wachtwoorden.

Rol en verantwoordelijkheden van penetratietesters:

De taak van penetratietesters is om:

  • Testers moeten de vereiste informatie van de organisatie verzamelen om penetratietests mogelijk te maken
  • Zoek fouten waardoor hackers een doelmachine kunnen aanvallen
  • Pentesters moeten denken en handelen als echte hackers, zij het ethisch.
  • Het werk van penetratietesters moet reproduceerbaar zijn, zodat ontwikkelaars het gemakkelijk kunnen repareren
  • De startdatum en de einddatum van de testuitvoering moeten van tevoren worden gedefinieerd.
  • Een tester dient verantwoordelijk te zijn voor enig verlies van het systeem of de informatie tijdens het testen van de software
  • Een tester moet gegevens en informatie vertrouwelijk houden

Handmatige penetratie vs. geautomatiseerde penetratietesten:

Handmatige penetratietest Geautomatiseerde penetratietesten
Handmatig testen vereist deskundige professionals om de tests uit te voeren Geautomatiseerde testtools zorgen voor duidelijke rapportages met minder ervaren professionals
Handmatig testen vereist Excel en andere tools om het bij te houden Automation Testing heeft gecentraliseerde en standaardtools
Bij handmatige tests variëren de monsterresultaten van test tot test In het geval van geautomatiseerde tests variëren de resultaten niet van test tot test
Geheugenopruiming moet door gebruikers worden onthouden Geautomatiseerd testen heeft uitgebreide opschoningsacties.

Nadelen van penetratietesten

Penetratietesten kunnen niet alle kwetsbaarheden in het systeem vinden. Er zijn beperkingen in tijd, budget, reikwijdte en vaardigheden van penetratietesters

Hieronder volgen bijwerkingen wanneer we penetratietesten uitvoeren:

  • Gegevensverlies en corruptie
  • Down-tijd
  • Verhoog de kosten

Gevolgtrekking:

Testers moeten zich gedragen als een echte hacker en de applicatie of het systeem testen en moeten controleren of een code veilig is geschreven. Een penetratietest is effectief als er een goed geïmplementeerd beveiligingsbeleid is. Beleid en methodologie voor penetratietesten zouden een plek moeten zijn om penetratietesten effectiever te maken. Dit is een complete beginnershandleiding voor penetratietesten.

Bekijk ons Live Penetration Testing Project