Shikata Ga Nai

Private? There is no such things.

ペネトレーションテストの方法論についてかいてみた

Hello there, ('ω')ノ

 

毎日が、コロナ対策や分析や協議、助言などで時間がとられてしまって。

そろそろコロナが落ち着いた後のことを考えての準備に入っておかないと。

スパンとして目先、今年末までは準備期間となりうるのではと。

1,2カ月といった甘い問題ではないはずで。

 

まずは、ペネトレーションテストなどを勉強しようとすると聞きなれない言葉が。

 

エクスプロイト
 エクスプロイト攻撃は、ハッカーがシステム内の弱点や脆弱性を利用する方法で。

 たとえば、ハンマー、木片、釘を取って。

 脆弱性は木材の柔らかくて浸透性の性質であって。

 悪用とは、釘を木材に打ち込む行為のようなイメージでして。


ハック値(ハックバリュー)
 一般に、システムまたはネットワークでハッキングを実行する動機とか。

 または理由と呼ばれていて。

 システムに侵入するという目標を達成することの価値という意味でして。

 

また、侵入テストを実行するために使用される公式および標準の方法論が多くあって。

 

OSSTMM

https://www.isecom.org/research.html#content5-9d


 OSSTMMは、オープンソースセキュリティテスト方法論マニュアルの略で。

 コミュニティ主導で、頻繁に更新されていて。

 セキュリティテストの標準であって。

 この標準は、さまざまなテスト対象をカバーする傾向があるようで。

 テストのベストプラクティスを理解するために価値があって。


SANS 25

 https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html


 SANSによって定義された上位25のセキュリティドメインのリストで。

 評価を実施する際、このリストをよく理解して。

 調査結果がリストにどのように関係するかを理解することがお勧めで。

 この25のドメインを理解で、セキュリティの脆弱性の知識を広げるのかと。

 また、評価中に追加の脆弱性やリスク傾向を特定するのに役立つ場合もあり。

 さらに特定の業界の組織でセキュリティテスト/監査を実施するときに役立って。

 

Best regard, (^^ゞ