Articles

2021年のペネトレーションテストの種類|Rivial Security

ペンテストとも呼ばれるペネトレーションテストは、セキュリティおよびIT専門家がハードウェアまたはソフトウェアシステムのセキュリティを評価し、弱点や脆弱性があるかどうかを確認するために使用されます。 この投稿では、そのうちの 5 つと、それらを実行するための 3 つの異なるアプローチについて説明します。

私たちはペン テストを、窓やドアがロックされているかどうか、ガレージのドアが閉まっているかどうかを確認することに例えています。 もし、家に鍵をかけず、侵入者に開けたままにしていたら、誰かが侵入して大混乱を引き起こす可能性があります。 2020年3月、Fortunly社は、「米国は昨年1,473件のサイバー攻撃を受け、1億6,460万件のデータ侵害につながった」と報告しました。 さらに、”銀行業界におけるサイバー攻撃のコストは、1社あたり年間1830万ドルに達した “と述べています。 簡単に言えば、金融機関は機密情報やシステムをリスクに晒しておくわけにはいかないということです。 その原因は、コーディング エラー、パッチが適用されていないソフトウェア、あるいは弱いパスワードの使用などです。

当社の認定倫理ハッカー チームは、侵入テストを実行して脆弱性を明らかにし、組織のセキュリティが健全であるように改善策を見つけます。

侵入テストに使用される3つのアプローチ

存在するテストの種類に入る前に、侵入テストに使用される3つのアプローチについて説明しましょう。 それらは、ブラックボックステスト、ホワイトボックステスト、グレーボックステストです。

ブラックボックステスト。 ブラックボックス侵入テストでは、外部侵入テストとも呼ばれ、テスト者は、ビジネスのITインフラストラクチャやそのシステムに関する情報をほとんど持っていません。 ほとんどのハッカーは、ネットワーク エコシステムの内部構造を実際に知らないため、これは、テスト担当者が得られる最も現実の攻撃に近いものです。 対照的に、ホワイトボックステストでは、侵入テスト担当者は、ネットワークエコシステムの完全な知識を持っています。 このテストの目標は、外部の攻撃者がシステムやインフラストラクチャに侵入できるかどうかを評価することではありません。 むしろ、ユーザー インターフェイスを超えて、システムのバックエンド部分まで、コードと全体的なセキュリティを詳細に監査することが目的です。

ホワイトボックス テストは、内部侵入テスト、ガラス箱テスト、オープン箱テスト、透明箱テスト、またはクリア箱テストとも呼ばれます。 ホワイトボックステストには、コンディションテスト、パステスト、ループテストの3種類があります。

グレーボックステスト。 この種のテストは、ブラックボックステストとホワイトボックステストの両方の側面をひとつにまとめたものです。 このテストでは、侵入テスト者は、ネットワークのエコシステムに関するある程度の知識を持っており、かつ/または、ウェブアプリケーションや内部ネットワークへのアクセスを与えられます。 グレーボックステストは、彼らが自分のアカウントをハックして管理者レベルのアクセスを得ることができるかどうか、あるいは、内部のソフトウェアコードに侵入することができるかどうかを確認するために実施されるかもしれません。 最も一般的なものは、ネットワークサービステスト、Webアプリケーションテスト、クライアントサイドテスト、ワイヤレスネットワークテスト、およびソーシャルエンジニアリングテストの5つです。 ネットワーク・サービス・テスト ファイアウォール、ルーター、プロキシサーバーなど、ネットワークベースの攻撃に対するセキュリティテストが含まれます。 Webベースのアプリケーションのセキュリティ脆弱性を監査するためのターゲットテストです。 これらのテストは、簡単に悪用できるワークステーションなどのローカルな脆弱性、またはMicrosoft WordやAdobe Acrobat Readerなどのクライアントが使用するプログラムの弱点のセキュリティを監査することを目的としています。

4. 無線ネットワーク・テスト。 ワイヤレス評価では、スマートフォン、ラップトップ、タブレットなど、インターネットに接続できるあらゆるデバイスを含む、企業の無線LANに接続されたデバイス間の接続のセキュリティを分析します。 ソーシャル・エンジニアリング・テスト

リモート攻撃は、ユーザーを騙してログイン認証情報などの機密情報を与えようとします。

物理的侵入テストでは、鍵のかかっていないドア、廃棄前にシュレッダーされていない文書、さらには金融機関の従業員の机上に放置されたファイルなどの機密データへのアクセスを物理的に取得する方法について分析します。

ペネトレーション・テスト終了後に起こること

企業に対して行われるペネトレーション・テストの種類にかかわらず、テスト終了後、テスト担当者は脆弱性に対するパッチを提供し、脅威を軽減し、弱点を改善できるようにしなければなりません。 また、セキュリティ侵害の可能性のある領域への対策を施した後、優れたペネトレーションテスト会社は、懸念されるすべての領域が対処されていることを確認するために再テストを提案します。 そこで、Rivial Securityの出番です。

Rivial Securityは、認定された倫理的ハッカー軍団を擁し、独自のビジネスインフラに複数のテスト方法を提供してリスクを評価し、それらを取り除きます。

当社の監査と評価は「価値があり実行可能」と言われています。 私たちは、お客様の満足を保証するために、さらに一歩踏み込みます。 リヴィアル・セキュリティのネットワーク・ペネトレーション・テストの詳細については、リヴィアル・セキュリティにお問い合わせください。