Mi is az a penetrációs tesztelés?

Ha o­lyan szoft­ver­rend­sze­re van, a­mely ér­té­kes a­da­to­kat vagy más erő­for­rá­so­kat véd, va­ló­szí­nű­leg sze­ret­né tesz­tel­ni an­nak biz­ton­sá­gi sé­rü­lé­keny­sé­ge­it. Ez ve­zet­het a kü­lön­fé­le biz­ton­sá­gi ér­té­ke­lé­sek fel­fe­de­zé­sé­hez, és gyak­ran ta­lál­koz­hat a "pe­net­rá­ci­ós tesz­te­lés" ki­fe­je­zés­sel. Sok vál­la­lat a­zon­ban nincs tisz­tá­ban az­zal, hogy a "pe­net­rá­ci­ós tesz­te­lés" gyak­ran nem azt je­len­ti, a­mi­nek gon­dol­ják. Ami még rossz­abb, hogy nem ve­szik ész­re, hogy va­ló­já­ban más tí­pu­sú vizs­gá­lat­ra len­ne szük­ség­ük.

Amikor alkalmazások biztonsági sérülékenységeinek teszteléséről van szó, a kifejezések helytelen használata gyakori probléma, ami komoly következményekkel járhat.

Penetrációs tesztelés

A "penetrációs tesztelés" a leggyakrabban említett biztonsági tesztelési forma, amely gyűjtőfogalommá vált, de sajnos félrevezető is lehet. A valódi penetrációs tesztelés egy taktikai szolgáltatás, amelyet robusztus, alaposan tesztelt rendszerek esetén alkalmaznak. Ez egy időkorlátos vizsgálat, amelynek célja egyetlen kérdés megválaszolása, például: „Tud-e egy támadó alapszintű felhasználói jogosultságokat adminisztrátori jogokká emelni?” Az eredmény vagy igen, vagy nem, és nincs más kimenet.

A penetrációs tesztelés akkor hasznos, ha jól védekezett, érett rendszere van, és meg szeretné tudni, hogy egy szimulált támadással szemben megállja-e a helyét. Ez olyan, mint amikor egy autógyártó ütközési tesztet végez: nekicsapják a járművet egy falnak, hogy lássák, mi történik. Az ilyen típusú tesztelés azonban csak alaposan tesztelt rendszereken hasznos, és csak egy adott forgatókönyvet vizsgál.

Sérülékenységi szkennelés

A sérülékenységi szkennelés gyakran összetévesztik a penetrációs teszteléssel, de a kettő nem ugyanaz. Ez egy automatizált folyamat, amely ismert sérülékenységeket keres. Célja, hogy gyorsan és költséghatékonyan találjon alapvető problémákat, beleértve a nem javított sérülékenységeket is. Mivel a szkennelés az egyik első lépés, amit egy támadó is megtenne, érdemes Önnek is lefuttatnia. Ez egy gyors és olcsó módja az alapvető problémák feltárásának, de nem nyújt átfogó képet a rendszer biztonságáról.

Ez olyan, mint egy autószerelő diagnosztikai eszköze, amely az ismert problémákat szkennelve ad vissza olvasható kódokat. Gyors és olcsó, de nem teljes körű biztonsági értékelés.

Sérülékenységi értékelések

A legtöbb ember a biztonsági tesztelés során átfogó képet szeretne kapni a rendszerük biztonsági sérülékenységeiről, és tudni akarják, hogyan javíthatók ezek prioritási sorrend alapján. Ezt a penetrációs tesztelés és a sérülékenységi szkennelés nem tudja biztosítani, de a sérülékenységi értékelések igen.

A sérülékenységi értékelések manuálisan végzik a vizsgálatokat, hogy figyelembe vegyék az egyedi körülményeket. Segítenek meghatározni a legfontosabb gyengeségeket, és útmutatást adnak azok javítására.

Ismerje a célját

Fontos tisztában lenni azzal, hogy minden tesztelési módszer mást nyújt. Az Ön feladata eldönteni, mire van szüksége. Ha jól tesztelt rendszerrel rendelkezik és egy konkrét támadási forgatókönyvre kíváncsi, válassza a penetrációs tesztelést. Ha gyors és költséghatékony megoldást keres, válassza a sérülékenységi szkennelést. Ha pedig teljes körű képet szeretne kapni a rendszer biztonsági sérülékenységeiről és azok javításáról, válassza a sérülékenységi értékeléseket.

Legyen egyértelmű a célja a biztonsági céggel folytatott kommunikációban, és biztos lehet benne, hogy a megfelelő eredményt fogja kapni.

Forrás Infosec