it-swarm-korea.com

침투 테스트와 취약점 평가의 차이점은 무엇입니까?

침투 테스트와 취약점 평가의 차이점은 무엇입니까?

왜 다른 것을 선택 하시겠습니까?

어떤 결과물을받을 것으로 예상하고 품질을 어떻게 평가 하시겠습니까?

30
Sim

나는 이것에 대한 답변을 이전에 올렸을 것이라고 확신하지만, 오늘 아침에 구글 푸가 약해야합니다. 침투 분류법에 대한 나의 blog post에서, 우리는 수용 가능한 테스트 유형 목록을 가지고 있습니다. 또한, 침투 테스트 실행 표준과 협력하여 더 발전시킬 수 있기를 바랍니다. 이 목록은 서로를 선택하는 방법을 설명하는 데 도움이됩니다.

산출물은 거의 별개의 문제이며 요구와 청중에 의해 정의되어야합니다 (예 : 거버넌스 기관의 경우 기술 개선 팀에 제공하는 것과 동일한 세부 정보를 기대하지는 않지만 비즈니스 위험 정보를 포함하려고 함) . PTES 개발에는이 영역을 시도하고 체계화하기위한보고 스트림도 있습니다.

발견

이 단계의 목적은 범위 내의 시스템과 사용중인 서비스를 식별하는 것입니다. 취약점을 발견하기위한 것은 아니지만, 버전 탐지는 더 이상 사용되지 않는 소프트웨어/펌웨어 버전을 강조하여 잠재적 인 취약점을 나타낼 수 있습니다.

취약점 스캔

검색 단계 후에는 자동화 된 도구를 사용하여 알려진 취약점과 조건을 일치시켜 알려진 보안 문제를 찾습니다. 보고 된 위험 수준은 테스트 공급 업체의 수동 확인이나 해석없이 도구에 의해 자동으로 설정됩니다. 제공된 자격 증명을 사용하여 서비스 (예 : 로컬 Windows 계정)로 인증함으로써 일반적인 오 탐지를 제거하는 자격 증명 기반 검색으로 보완 할 수 있습니다.

취약점 평가

검색 및 취약성 검색을 사용하여 보안 취약성을 식별하고 그 결과를 테스트중인 환경의 컨텍스트에 배치합니다. 예를 들어 보고서에서 일반적인 오 탐지를 제거하고 비즈니스 이해와 상황을 개선하기 위해 각 보고서에 적용 할 위험 수준을 결정하는 것이 있습니다.

보안 평가

노출을 확인하기 위해 수동 확인을 추가하여 취약점 평가를 기반으로하지만 더 많은 액세스 권한을 얻기위한 취약점 악용은 포함되지 않습니다. 검증은 시스템 설정을 확인하고 로그, 시스템 응답, 오류 메시지, 코드 등을 검사하기 위해 시스템에 대한 인증 된 액세스 형식 일 수 있습니다. 보안 평가는 테스트중인 시스템에 대한 광범위한 적용 범위를 확보하려고하지만 심층적 인 것은 아닙니다. 특정 취약점으로 인해 노출 될 수 있습니다.

침투 시험

침투 테스트는 악의적 인 당사자의 공격을 시뮬레이션합니다. 이전 단계를 기반으로하며 발견 된 취약점을 악용하여 추가 액세스 권한을 얻습니다. 이 접근 방식을 사용하면 공격자가 기밀 정보에 액세스하고 데이터 무결성 또는 서비스 가용성 및 해당 영향에 영향을 줄 수있는 능력을 이해하게됩니다. 테스터가 문제 해결 능력, 다양한 툴의 결과물, 네트워킹 및 시스템에 대한 자체 지식을 사용하여 식별 할 수없는 취약점을 찾을 수있는 방식으로 일관되고 완전한 방법론을 사용하여 각 테스트에 접근합니다. 자동화 된 도구. 이 접근 방식은 더 넓은 범위를 다루는 보안 평가 접근 방식과 비교하여 공격의 깊이를 확인합니다.

보안 감사

특정 제어 또는 준수 문제를 확인하기 위해 감사/위험 기능에 의해 구동됩니다. 좁은 범위로 특징 지어진이 유형의 참여는 앞서 논의 된 모든 접근 방식 (취약성 평가, 보안 평가, 침투 테스트)을 이용할 수 있습니다.

보안 검토

산업 또는 내부 보안 표준이 시스템 구성 요소 또는 제품에 적용되었는지 확인 이는 일반적으로 간격 분석을 통해 완료되며 빌드/코드 검토를 사용하거나 설계 문서 및 아키텍처 다이어그램을 검토하여 수행됩니다. 이 액티비티는 이전 접근 방식 (취약성 평가, 보안 평가, 침투 테스트, 보안 감사)을 사용하지 않습니다.

27
Rory Alsop

이미 제공된 답변 외에도, 왜 당신이 다른 것을 선택할 수 있는지에 대해 설명하겠습니다. 취약성 평가는 현재 보안 상태를 잘 모르고 문제가 어디에 있는지에 대한 아이디어를 얻으려는 경우 더 유용합니다.

모든 보안 작업과 마찬가지로 취약성 평가가 모두 동일하게 만들어지는 것은 아닙니다. 일부 공급 업체의 경우 도구 출력에만 전적으로 집중할 수 있으며, 다른 공급 업체는 이러한 결과를 확인하고 확장하기 위해 더 많은 수동 작업을 수행합니다.

이것이 귀하의 목표라면 @RoryAlsop의 답변에 언급 된 "보안 평가"유형의 접근 방식에 중점을 둘 것입니다.

침투 테스트는 일반적으로 시스템이나 조직의 보안을 손상시키려는 공격자의 동작을 복제하도록 설계되었습니다. 따라서 이것은 주어진 시스템에 대한 보안 제어에 대해 확신하고 그들의 효능을 입증하거나 반증하고자하는 조직에 더 적합 할 것입니다.

그러나이 접근 방식에는 공격자가 누구인지에 따라 문제가 있습니다. 숙련 된 표적 공격자 (예 : 조직 범죄)를 방어 할 수있는 컨트롤을 디자인하려는 경우 침입자가 사용할 수있는 기술이 포함되어 있지 않으므로 침입 테스트를 효과적으로 사용하여 해당 공격을 확인하는 것은 매우 어렵습니다.

법적인 문제로 인해 침투 테스트가 다루기 어려운 영역의 예로는 원격 액세스 기능을 구성하기 위해 직원의 가정용 PC를 대상으로하거나, 지원 목적으로 대상 시스템에 액세스 할 수있는 타사 파트너를 공격하거나, 봇넷을 구매하는 등이 있습니다. 대상 환경에 이미 좀비가있을 수 있습니다.

따라서 두 가지 유형의 테스트의 제한 사항을 알고 있어야하지만 일반적으로 VA이며 보안 수준이 확실하지 않은지 보안 수준이 양호하고 침투력이 높다는 것이 일반적입니다 시험은 일단 당신이 알고 있으면 그것을 증명하기에 좋습니다.

11
Rory McCune

대부분의 사람들에게 그들은 동일합니다. 이것이 PTES와 같은 노력이 실패하는 이유입니다. 변경하고 싶지 않은 사람들은 변경할 수 없습니다.

올바른 질문은 "침투 테스트와 윤리적 해킹의 차이점은 무엇입니까?"입니다.

이 질문에 대한 답변은 침투 테스트는 시간 제한이 없으며 일반적으로 긴 참여 규칙 목록을 포함하여 특정 상을 염두에두고 있다는 것입니다 (짧은 목록은 아무도 물리적으로 해를 입거나 위협받지 않도록 요청합니다). 윤리적 해킹은 가능한 많은 결함이 발견되는 시간을 기준으로하는 활동이며 일반적으로 비 물리적 방법 만 사용합니다.

"평가", "청중"및 "테스트"는 일반적으로 정보 보안 분야에서 상호 교환 가능한 단어입니다. "취약성", "위협"및 기타 몇 가지 단어는 일반적으로 오해되고 잘못 해석됩니다. 20 년의 경험, 동일한 배경 및 동일한 인증을 보유한 전문가는 일반적으로 이러한 기본 용어에 대해 논쟁합니다. 누군가 "말하다"또는 "생각"이 정답 인 것을 무시하는 것이 가장 좋습니다. 대신에 용어를 처음에 대화 할 때 직감과 상식을 따르십시오.

5
atdre

이 질문의 문제점은 업계에서 "침투 테스트"가 의미하는 바에 대한 엄격한/따른 정의가 없다는 것입니다. 지역 사회의 일부 뛰어난 사람들이 모여서이 문제를 해결하여 " 침투 테스트 실행 표준 "을 형성했습니다.

비즈니스 경영진과 침투 테스터가 상호 작용을 기반으로 할 수있는 것에 대한 합리적인 기대치를 설정하기 위해 침투 테스트의 각 단계를 정의하려고 시도합니다.

그들이 나열하는 단계는

  1. 사전 참여 상호 작용
  2. 지성 수집
  3. 임의 모델링
  4. 취약점 분석
  5. 폭발
  6. 사후 공격
  7. 보고

다음은 각각에 대한 정의입니다. 명확한 그림을 얻으려면 연결된 위키 페이지를 읽어야합니다.

사전 참여 상호 작용 많은 비즈니스 지향 측면과 함께 범위 및 참여 규칙을 설정합니다.

Intelligence Gathering 공격자가 취약점 분석 및 악용 중에 사용할 대상 (인간 및 기술적 측면 모두)에 대해 최대한 많은 정보를 얻는 정찰 단계입니다.

Threat Modeling 자산과 위협을 식별하고 분류 한 후 마지막으로 연관시킵니다.

취약점 분석 "공격자가 활용할 수있는 시스템 및 응용 프로그램의 결함을 발견하는 프로세스입니다." 사람들은 종종이 문제와 착취가 침투 테스트에 관한 것이라고 잘못 가정합니다

Exploitation "보안 제한을 우회하여 시스템 또는 리소스에 대한 액세스 설정에만 집중합니다."

Post-Exploitation는 손상된 기계 값을 결정하고 나중에 사용하기위한 제어를 유지하는 것입니다. 이 단계에서는 심층적으로 진행할 수있는 정보 (확실한 자격 증명)를 수집 할 수 있습니다.

Reporting "테스트의 목표, 방법 및 결과를 다양한 대상에게 전달합니다."

그들이 그들의 임무에서 성공했는지 아닌지는 논쟁의 여지가 있지만, 나는 이것이 철저한 이해를위한 출발점을 개발하기에 좋은 장소라고 생각합니다.

또한 침투 테스트 중에 사용될 수있는 " PTES 기술 지침 "이 있습니다. 전술 및 도구.

5
chao-mu

나는 이것을 위해 무언가를 쓰는 게임이 아니지만 대부분의 펜 테스터들이 공유하는 재미있는 것이 있습니다.

  • 몇 년 동안 PCI ASV 스캔을 통과 한 클라이언트가 있습니다 (즉, 심각하거나 높거나 중대한 취약점이없는 외부 취약성 평가). PCI에 따른 "깨끗한"스캔.
  • 또한 지난 몇 년간 숙련 된 펜 테스트 (클라이언트 측 공격, 사회 공학, 물리적 펜 테스트, 피싱은 말할 것도없고)를 통해 모든 내부 데이터베이스를 탐지하고 탐지 할 수 없습니다.

적어도 내가 모퉁이에서 펜 테스트는 동기를 부여한 적의 공격을 시뮬레이션하기위한 것입니다. 취약점 평가는 일반적으로 훨씬 적습니다.

4
Tate Hansen

취약점 분석은 네트워크에서 취약점을 식별하는 프로세스 인 반면 침투 테스트는 실제로 테스트 된 시스템에 대한 무단 액세스를 얻고 클라이언트의 지시에 따라 네트워크 또는 데이터에 대한 액세스를 사용하는 데 중점을 둡니다. 취약점 분석은 시스템에 존재하는 결함에 대한 개요를 제공하고 침투 테스트는 결함에 대한 영향 분석을 제공하기 위해 진행되며 결함이 기본 네트워크, 운영 체제, 데이터베이스 등에 미치는 영향을 식별합니다. 수동 프로세스의. 취약점 분석에서는 네트워크 트래픽과 시스템을 모두 분석하는 소프트웨어 도구를 사용하여 공격에 대한 취약성을 증가시키는 노출을 식별합니다. 침투 테스트는 공격을 시뮬레이션하고 네트워크와 시스템의 저항을 테스트하기 위해 윤리적 해커가 사용되는 적극적인 방법입니다.

나는 이것을 다루는 전체 게시물을 작성했습니다. 여기에서 읽으십시오 : http://www.ivizsecurity.com/blog/penetration-testing/difference-vulnerability-penetration-testing/

4
RudraK