Qual è la differenza tra un test di penetrazione e una valutazione di vulnerabilità?
Perché sceglieresti l'uno rispetto all'altro?
Quali risultati previsti ti aspetteresti di ricevere e come valuteresti la qualità di questi?
Sono sicuro di aver postato una risposta a questo in precedenza, ma il mio google-fu deve essere debole stamattina. Dal mio post sul blog sulla tassonomia delle Penetrazioni, noi avere una lista di tipi di test che sta guadagnando accettazione. Inoltre, lavorando con lo standard di esecuzione dei test di penetrazione speriamo di sviluppare ulteriormente questo . Questo elenco dovrebbe aiutare a spiegare come sceglierne uno rispetto all'altro.
I deliverable sono quasi un problema separato - e dovrebbero essere definiti dalla necessità e dal pubblico (ad esempio per un ente di governance non ci si aspetterebbe gli stessi dettagli forniti a un team di riparazione tecnica, ma si vorrebbe includere business informazioni sul rischio). C'è anche un flusso di reporting all'interno dello sviluppo di PTES per provare e codificare quest'area:
Discovery
Lo scopo di questa fase è identificare i sistemi nell'ambito e i servizi in uso. Non ha lo scopo di scoprire vulnerabilità, ma il rilevamento delle versioni potrebbe evidenziare versioni deprecate di software / firmware e quindi indicare potenziali vulnerabilità.
Scansione vulnerabilità
In seguito alla fase di scoperta, vengono rilevati noti problemi di sicurezza utilizzando strumenti automatici per abbinare condizioni con vulnerabilità note. Il livello di rischio segnalato viene impostato automaticamente dallo strumento senza alcuna verifica manuale o interpretazione da parte del fornitore del test. Questo può essere integrato con una scansione basata sulle credenziali che cerca di rimuovere alcuni falsi positivi comuni utilizzando le credenziali fornite per l'autenticazione con un servizio (come gli account Windows locali).
Valutazione della vulnerabilità
Utilizza la scansione di individuazione e vulnerabilità per identificare le vulnerabilità della sicurezza e inserisce i risultati nel contesto dell'ambiente in esame. Un esempio potrebbe essere la rimozione di falsi positivi comuni dal report e la definizione dei livelli di rischio che dovrebbero essere applicati a ogni ricerca di report per migliorare la comprensione e il contesto aziendale.
Valutazione della sicurezza
Si basa sulla valutazione delle vulnerabilità aggiungendo la verifica manuale per confermare l'esposizione, ma non include lo sfruttamento delle vulnerabilità per ottenere un ulteriore accesso. La verifica potrebbe consistere in un accesso autorizzato a un sistema per confermare le impostazioni del sistema e comportare l'esame di registri, risposte del sistema, messaggi di errore, codici, ecc. Una valutazione della sicurezza sta cercando di ottenere un'ampia copertura dei sistemi sottoposti a test ma non della profondità di esposizione a cui una vulnerabilità specifica potrebbe portare.
Test di penetrazione
I test di penetrazione simulano un attacco da parte di un utente malintenzionato. Costruire sulle fasi precedenti e comporta lo sfruttamento delle vulnerabilità rilevate per ottenere un ulteriore accesso. L'utilizzo di questo approccio consentirà di comprendere la capacità di un utente malintenzionato di accedere a informazioni riservate, influire sull'integrità dei dati o sulla disponibilità di un servizio e sul relativo impatto. Ogni test viene affrontato utilizzando una metodologia coerente e completa in un modo che consenta al tester di utilizzare le proprie capacità di problem solving, l'output da una gamma di strumenti e la propria conoscenza di reti e sistemi per individuare le vulnerabilità che potrebbero / non potrebbero essere identificate da strumenti automatizzati. Questo approccio esamina la profondità di attacco rispetto all'approccio di Security Assessment che esamina la copertura più ampia.
Controllo sicurezza
Spinto da una funzione di controllo / rischio per esaminare uno specifico problema di controllo o conformità. Caratterizzato da un campo di applicazione ristretto, questo tipo di coinvolgimento potrebbe avvalersi di uno dei precedenti approcci discussi (valutazione della vulnerabilità, valutazione della sicurezza, test di penetrazione).
Revisione della sicurezza
Verifica che gli standard di settore o di sicurezza interna siano stati applicati ai componenti di sistema o al prodotto. Questo viene in genere completato attraverso l'analisi delle lacune e utilizza le revisioni di build / code o la revisione di documenti di progettazione e diagrammi di architettura. Questa attività non utilizza nessuno dei precedenti approcci (valutazione delle vulnerabilità, valutazione della sicurezza, test di penetrazione, controllo di sicurezza)
Oltre alle risposte già fornite, traccerò sul perché tu possa scegliere l'una sull'altra. Le valutazioni delle vulnerabilità sono più utili se non si è sicuri del proprio attuale aspetto di sicurezza e si vuole avere un'idea di dove potrebbero trovarsi i propri problemi.
Vale la pena notare che, come tutte le valutazioni sulla vulnerabilità del lavoro di sicurezza, non tutte sono uguali. Per alcuni fornitori può concentrarsi esclusivamente sull'output degli strumenti, mentre altri eseguiranno più lavoro manuale per verificare ed estendere tali risultati.
Se questo è il tuo obiettivo, mi concentrerei sul tipo di approccio di "valutazione della sicurezza" menzionato nella risposta di @ RoryAlsop.
Un test di penetrazione è, classicamente, progettato per replicare le azioni di un utente malintenzionato nel tentativo di compromettere la sicurezza di un sistema o organizzazione. Quindi è probabile che sia più appropriato per gli organizzatori che sono fiduciosi sui controlli di sicurezza in atto per un dato sistema e vogliono dimostrare o smentire la loro efficacia.
Tuttavia ci sono problemi con questo approccio, a seconda di chi sono i tuoi aggressori. Se stai cercando di progettare controlli che difendano da abili aggressori mirati (ad esempio, il crimine organizzato), è molto difficile utilizzare efficacemente un test di penetrazione per controllarli, in quanto non includerà alcune tecniche che possono essere utilizzate dagli aggressori.
Alcuni esempi di aree che i test di penetrazione avranno difficoltà a coprire a causa di problemi legali sarebbero cose come prendere di mira i PC domestici del personale per compormizzare le loro strutture di accesso remoto, attaccando i partner di terze parti che possono avere accesso ai sistemi di destinazione a scopo di supporto, o comprare botnet che potrebbero avere zombi già presenti nell'ambiente di destinazione.
Vale la pena essere consapevoli dei limiti di entrambi i tipi di test, ma una regola generale è che VA e le valutazioni di sicurezza sono buone quando non sei sicuro di quanto sei sicuro, e i test di penetrazione sono buoni per dimostrarlo una volta che lo sai.
Alla maggior parte delle persone - sono uguali. Questo è il motivo per cui sforzi come il PTES falliranno. Non puoi cambiare le persone che non vogliono cambiare.
La domanda corretta è: "Qual è la differenza tra test di penetrazione e hacking etico?".
La risposta a questa domanda è che i test di penetrazione hanno in mente un premio specifico, senza limiti di tempo e di solito una lunga lista di regole di ingaggio (le liste brevi chiedono che nessuno venga fisicamente danneggiato o minacciato). L'hacking etico è un'attività time-box in cui vengono scoperti più difetti possibili, in genere solo utilizzando metodi non fisici.
"Valutazioni", "verifiche" e "test" sono in genere parole intercambiabili nel campo della sicurezza delle informazioni. Le parole "vulnerabilità", "minaccia" e alcune altre sono in genere fraintese e male interpretate. Professionisti con 20 anni di esperienza, lo stesso background e le stesse certificazioni in genere discuteranno su questi termini di base. È meglio ignorare ciò che qualcuno "dice" o "pensa" è la risposta giusta - e invece andare con il tuo istinto e il buon senso quando si applica il termine in una conversazione con i non iniziati.
Il problema con questa domanda è che non esiste una definizione rigida / seguita per il significato di "test di penetrazione" nel settore. Alcune persone brillanti provenienti da tutta la comunità si sono riunite per risolvere questo problema, formando lo " standard per l'esecuzione di test di penetrazione . "
Cerca di definire ogni fase di un test di penetrazione al fine di stabilire una ragionevole aspettativa in base alla quale i dirigenti aziendali e i Penetration Testers possono basare le loro interazioni.
Gli stadi che elencano sono
Ecco una definizione annacquata di ciascuno. Per ottenere un'immagine chiara, dovresti leggere le pagine wiki collegate.
Le interazioni di pre-coinvolgimento coinvolgono la definizione dell'ambito e le regole di ingaggio, insieme a molti aspetti orientati al business.
Intelligence Gathering è la fase di ricognizione in cui l'attaccante impara quanto più possibile sull'obiettivo (sia umano che tecnico) da utilizzare durante l'analisi e lo sfruttamento della vulnerabilità.
La modellazione delle minacce implica l'identificazione di risorse e attività, la loro classificazione e infine l'associazione.
Analisi delle vulnerabilità "è il processo per scoprire difetti in sistemi e applicazioni che possono essere sfruttati da un utente malintenzionato." Spesso le persone presumono erroneamente che questo e lo sfruttamento siano tutto quel che riguarda i test di penetrazione.
Sfruttamento "si concentra esclusivamente sulla creazione dell'accesso a un sistema o risorsa ignorando le restrizioni di sicurezza."
Post-Exploitation è la determinazione del valore delle macchine compromesse e il mantenimento del controllo per un uso successivo. In questa fase puoi raccogliere informazioni che ti permettono di andare più in profondità (le ovvie credenziali sono).
Rapporti "[comunica] gli obiettivi, i metodi e i risultati dei test condotti a diversi tipi di pubblico."
Se stanno riuscendo o meno nella loro missione è in discussione, ma credo che questo sia un buon punto di partenza per una comprensione approfondita.
Esistono anche le " Linee guida tecniche PTES " che riprendono le tattiche e strumenti che potrebbe essere utilizzato durante un test di penetrazione.
Non sono un gioco per scrivere qualcosa a lungo per questo, ma eccone uno divertente che la maggior parte dei pen-testers condivide:
Il test delle penne, almeno nell'angolo in cui mi trovo, ha lo scopo di simulare un attacco da parte di un avversario motivato. Le valutazioni delle vulnerabilità sono in genere qualcosa di molto meno.
Vulnerability Analysis è il processo di identificazione delle vulnerabilità su una rete, mentre un Penetration Testing è incentrato sull'ottenimento effettivo di accesso non autorizzato ai sistemi testati e sull'utilizzo di tale accesso alla rete o ai dati, come indicato dal cliente. Un'analisi delle vulnerabilità fornisce una panoramica dei difetti che esistono sul sistema mentre un test di penetrazione procede per fornire un'analisi di impatto dei difetti identifica il possibile impatto del difetto sulla rete sottostante, sistema operativo, database, ecc. L'analisi delle vulnerabilità è più di un processo passivo. In Vulnerability Analysis si utilizzano strumenti software che analizzano sia il traffico di rete sia i sistemi per identificare eventuali esposizioni che aumentano la vulnerabilità agli attacchi. Penetration Testing è una pratica attiva in cui gli hacker etici sono impiegati per simulare un attacco e testare la resistenza della rete e dei sistemi.
Ho scritto un post completo su questo. Leggi qui: link
Leggi altre domande sui tag terminology penetration-test