Shikata Ga Nai

Private? There is no such things.

ペネトレーションテストと脆弱性診断の違いについてかいてみた

Hello there, ('ω')ノ

 

ペネトレーションテスト(侵入テスト)

 情報セキュリティを破り、貴重なデータをハッキングしたり。

 組織の通常の機能を妨害したりすることを目的として。

 外部または内部のサイバー攻撃者の行動を複製して。

 高度なツールと手法の助けを借りて。

 重要なシステムを制御して機密データへのアクセスを取得しようとして。

 

脆弱性評価(診断)

 特定の環境におけるセキュリティの脆弱性を識別(発見)や。

 測定(スキャン)する手法で。

 これは、情報セキュリティの位置付けの包括的な評価で(結果分析)。

 さらには、潜在的な弱点を特定して、それらの弱点を取り除くか。

 リスクレベルを下回るように適切な緩和策(改善策)を提供して。

 

侵入テストと脆弱性評価の基本的な違いは以下のとおりで。

 

 ぺ:攻撃の範囲を決定して。

 脆:特定のシステムの資産とリソースのディレクトリを作成して。

 

 ぺ:機密データの収集をテストして。

 脆:各リソースに対する潜在的な脅威を発見して。

 

 ぺ:ターゲットを絞った情報を収集したり、システムを検査して。

 脆:利用可能なリソースに定量化可能な値と重要性を割り当てて。

 

 ぺ:システムをクリーンアップし、最終レポートを提供して。

 脆:貴重なリソースの潜在的な脆弱性を軽減または排除しようとして。

 

 ぺ:環境のレビューと分析で。

 脆:ターゲットシステムとその環境のレビューによる包括的な分析で。

 

 ぺ:物理環境やネットワークアーキテクチャに最適で。

 脆:ラボ環境に最適で。

 

 ぺ:リアルタイムシステムが対象で。

 脆:システムが対象で。

 

ペネトレーションテスト方法を7つのフェーズで説明すると。

 

1.計画と準備

 計画と準備は、侵入テストの目標と目的を定義することから始まって。

 クライアントとテスタは目標を定義して。

 両者が同じ目的と理解を持つようにして。

 

 ペネトレーションテストの一般的な目的は次のとおりで。

  ・脆弱性を特定し、技術システムのセキュリティを向上させて。

  ・ITセキュリティを外部のサードパーティに確認してもらって。

  ・組織/人事インフラストラクチャのセキュリティを強化して。

 

2.偵察

 このステップは、一種のパ​​ッシブ侵入テストで。

 唯一の目的は、システムの完全で詳細な情報を取得することで。

 偵察には、予備情報の分析が含まれて。

 たいてい、テスタは予備情報以外の多くの情報を持っておらず。

 つまり、IPアドレスまたはIPアドレスブロックを持っていなくて。

 テスタは、利用可能な情報を分析することから始めて。

 必要に応じて、システムの説明、ネットワーク計画などの詳細情報を要求して。

 

3.発見

 ほとんどの場合、自動化されたツールを使用してターゲット資産をスキャンして。

 脆弱性を発見して。

 これらのツールには、最新の脆弱性の詳細を提供するデータベースがあって。

 

 テスタは、下記を発見して。

  ・ネットワーク検出

    追加のシステム、サーバー、その他のデバイスの検出など。

  ・ホスト検出

    これらのデバイスで開いているポートを判別。

  ・サービスの問い合わせ

    ポートで実行されている実際のサービスを検出。

 

4.情報とリスクの分析

 システムに動的に侵入するためのテスト前に収集された情報を。

 分析および評価して。

 システムの数が多く、インフラサイズが大きいので非常に時間がかかって。

 

 テスタは分析中に次の要素を考慮して。

  ・侵入テストの定義された目標。

  ・システムへの潜在的なリスク。

  ・潜在的なセキュリティ上の欠陥を評価するために必要な推定時間。

   (後続のアクティブな侵入テストのために)

 

5.アクティブな侵入の試み

 これは、十分な注意を払って実行する必要がある最も重要なステップで。

 手順としては、潜在的な脆弱性の検証が必要な場合に実行する必要があって。

 整合性要件が非常に高いシステムの場合だと。

 重要なクリーンアップ手順を実行する前に。

 潜在的な脆弱性とリスクを慎重に検討する必要があって。

 

6.最終分析

 それまでに実行されたすべてのフェーズと。

 潜在的なリスクの形で存在する脆弱性の評価を検討して。

 さらに、テスタは脆弱性とリスクを排除することを推奨されて。

 テストの透明性とそれが開示した脆弱性を保証する必要があって。

 

7.レポートの準備

 レポートの準備は、全体的なテスト手順から開始して。

 次に脆弱性とリスクの分析を行う必要があって。

 高いリスクと重大な脆弱性には優先順位があって。

 

 最終報告書を文書化する際には、以下の点を考慮する必要があって。

  ・ペネトレーションテストの全体的な概要。

  ・各ステップの詳細と、侵入テスト中に収集された情報。

  ・発見されたすべての脆弱性とリスクの詳細。

  ・システムのクリーニングと修正の詳細。

  ・将来のセキュリティに関する提案。

 

たとえば、偵察フェーズだといろんなツールがあって。

SimplyEmailは、オンラインサービスからメールアドレスを収集できて。

このツールには、AskSearch、GitHub、Google、YahooSearchなどの。

オンラインリソースを検索するモジュールが含まれていて。

 

  ./SimplyEmail.py --h

 

f:id:ThisIsOne:20201228112518p:plain

 

結果は、テキストファイルやHTMLファイルで出力されたりと。

サイバー犯罪者は、標的となる企業に対してオンラインで特別な検索を実行して。

得られたメールアドレスをフィッシングやスパムキャンペーンに使用したりと。

 

f:id:ThisIsOne:20201228105825p:plain

 

Best regards, (^^ゞ