Frage:
Was ist der Unterschied zwischen einem Penetrationstest und einer Schwachstellenbewertung?
Sim
2011-04-01 05:51:02 UTC
view on stackexchange narkive permalink

Was ist der Unterschied zwischen einem Penetrationstest und einer Schwachstellenbewertung?

Warum sollten Sie einen über den anderen wählen?

Welche Ergebnisse würden Sie erwarten und wie würden Sie die Qualität von ihnen bewerten?

Sechs antworten:
#1
+27
Rory Alsop
2011-04-01 12:44:37 UTC
view on stackexchange narkive permalink

Ich bin sicher, dass ich zuvor eine Antwort darauf gepostet habe, aber mein Google-Fu muss heute Morgen schwach sein. In meinem Blog-Beitrag zur Penetrationstaxonomie finden Sie eine Liste von Testtypen, die sich durchsetzen. Durch die Arbeit mit dem Penetration Testing Execution Standard hoffen wir, dies weiterzuentwickeln. Diese Liste soll Ihnen helfen, zu erklären, wie Sie einander vorziehen.

Ergebnisse sind fast ein separates Thema - und sollten durch den Bedarf und die Zielgruppe definiert werden (z. B. würden Sie für ein Leitungsgremium nicht die gleichen Details erwarten, die Sie einem technischen Sanierungsteam zur Verfügung stellen würden, aber Sie würden es tun Informationen zum Geschäftsrisiko aufnehmen möchten). Innerhalb der PTES-Entwicklung gibt es auch einen Berichtsdatenstrom, mit dem versucht werden kann, diesen Bereich zu kodifizieren:

Ermittlung

In dieser Phase werden Systeme innerhalb des Bereichs und identifiziert die verwendeten Dienste. Es ist nicht beabsichtigt, Schwachstellen zu erkennen, aber die Versionserkennung kann veraltete Versionen von Software / Firmware hervorheben und somit potenzielle Schwachstellen anzeigen.

Schwachstellen-Scan

Folgen Sie dem In der Erkennungsphase werden bekannte Sicherheitsprobleme gesucht, indem automatisierte Tools verwendet werden, um Bedingungen mit bekannten Schwachstellen abzugleichen. Die gemeldete Risikostufe wird vom Tool automatisch ohne manuelle Überprüfung oder Interpretation durch den Testanbieter festgelegt. Dies kann durch ein auf Anmeldeinformationen basierendes Scannen ergänzt werden, mit dem einige häufig auftretende Fehlalarme entfernt werden sollen, indem die angegebenen Anmeldeinformationen zur Authentifizierung bei einem Dienst (z. B. lokalen Windows-Konten) verwendet werden.

Bewertung der Sicherheitsanfälligkeit

Hiermit werden Erkennungs- und Schwachstellenüberprüfungen verwendet, um Sicherheitslücken zu identifizieren und die Ergebnisse in den Kontext der zu testenden Umgebung zu stellen. Ein Beispiel wäre das Entfernen häufiger falsch positiver Ergebnisse aus dem Bericht und die Festlegung der Risikostufen, die auf jede Berichtsfeststellung angewendet werden sollten, um das Geschäftsverständnis und den Geschäftskontext zu verbessern.

Sicherheitsbewertung

Baut auf der Bewertung von Sicherheitslücken auf, indem eine manuelle Überprüfung hinzugefügt wird, um die Gefährdung zu bestätigen, schließt jedoch die Ausnutzung von Sicherheitslücken nicht ein, um weiteren Zugriff zu erhalten. Die Überprüfung kann in Form eines autorisierten Zugriffs auf ein System erfolgen, um die Systemeinstellungen zu bestätigen und Protokolle, Systemantworten, Fehlermeldungen, Codes usw. zu überprüfen. Bei einer Sicherheitsbewertung wird versucht, eine breite Abdeckung der getesteten Systeme zu erhalten, jedoch nicht die Tiefe der Gefährdung, zu der eine bestimmte Sicherheitsanfälligkeit führen kann.

Penetrationstest

Penetrationstests simulieren einen Angriff einer böswilligen Partei. Aufbauend auf den vorherigen Phasen und Ausnutzung gefundener Schwachstellen, um weiteren Zugriff zu erhalten. Die Verwendung dieses Ansatzes führt zu einem Verständnis der Fähigkeit eines Angreifers, Zugriff auf vertrauliche Informationen zu erhalten, die Datenintegrität oder Verfügbarkeit eines Dienstes und die jeweiligen Auswirkungen zu beeinträchtigen. Jeder Test wird mit einer konsistenten und vollständigen Methodik angegangen, die es dem Tester ermöglicht, seine Fähigkeiten zur Problemlösung, die Ergebnisse einer Reihe von Tools und sein eigenes Wissen über Netzwerke und Systeme zu nutzen, um Schwachstellen zu finden, die identifiziert werden könnten / könnten automatisierte Werkzeuge. Bei diesem Ansatz wird die Angriffstiefe im Vergleich zum Sicherheitsbewertungsansatz untersucht, bei dem die breitere Abdeckung berücksichtigt wird.

Sicherheitsaudit

Angetrieben von einer Audit- / Risikofunktion, um ein bestimmtes Kontroll- oder Compliance-Problem zu untersuchen. Diese Art des Engagements zeichnet sich durch einen engen Umfang aus und kann einen der zuvor diskutierten Ansätze (Schwachstellenbewertung, Sicherheitsbewertung, Penetrationstest) verwenden.

Sicherheitsüberprüfung

Überprüfung, ob Branchen- oder interne Sicherheitsstandards auf Systemkomponenten oder Produkte angewendet wurden. Dies wird normalerweise durch Lückenanalyse und Verwendung von Build- / Code-Überprüfungen oder durch Überprüfung von Entwurfsdokumenten und Architekturdiagrammen abgeschlossen. Diese Aktivität verwendet keinen der früheren Ansätze (Schwachstellenbewertung, Sicherheitsbewertung, Penetrationstest, Sicherheitsüberprüfung)

Sie haben Ihren anderen Beitrag hier gefunden: http://security.stackexchange.com/q/1621/33
@AviD - Prost - keine Ahnung, warum ich es nicht finden konnte ... Ich hätte nach dem Gesetz zur Einhaltung gesetzlicher Vorschriften von AviD suchen sollen :-)
Auf den ersten Blick scheint mir dies ein schöner linearer Fluss möglicher Arbeiten mit einigen Alternativen zu sein. Die Benennung erwartet jedoch zu viel von der breiten Benutzergemeinschaft - die Begriffe sind einfach zu ähnlich. Es scheint einfacher zu sein, einen Standard oder eine Marke mit definierten Klassen und Stufen (a b c) zu entwickeln. Oder haben die Leute versucht, diese Verfahren anhand orthogonaler Kategorien wie aktiv / passiv manuell / automatisiert Compliance / uneingeschränktes Beobachten / Ausnutzen von White-Box / Black-Box breit / fokussiert usw. zu kategorisieren?
@Nealmcb - Ja, unser ursprünglicher Plan wurde als solche Matrix angelegt, als er nur von Sicherheitsberatern und -anbietern eingegeben wurde. Die nächste Überprüfungsebene durch Käufer und Industrie hat uns jedoch davon überzeugt, dass dieser Ansatz leichter zugänglich ist.
Danke Rory tolle Antwort. Ich werde die PTES-Seite lesen.
Danke ** Rory Alsop ** für die Antwort. Aber können Sie einfach Ihre ** Referenzen ** (Bücher, Standards oder Richtlinien) auf die Taxonomie veröffentlichen, die Sie zur Identifizierung von 1) Entdeckung 2) Schwachstellenscan 3) Schwachstellenbewertung 4) Sicherheitsbewertung 5) Penetrationstest 6) Sicherheit angegeben haben? Prüfung
Es war eine Arbeit, die ich zusammen mit einigen Kollegen und Kunden begonnen habe und die dann durch die Verbindung mit CREST und das Verständnis dafür, was PTES zu tun versuchte, gewachsen ist. Es hat sich über 15 Jahre hinweg bewährt, diese Dinge zu tun und zu versuchen, die Terminologie zu standardisieren, damit die Kunden verstanden, was sie bekamen und was sie brauchten.
#2
+11
Rory McCune
2011-04-01 13:37:05 UTC
view on stackexchange narkive permalink

Zusätzlich zu den bereits gegebenen Antworten werde ich erläutern, warum Sie eine über die andere wählen können. Schwachstellenbewertungen sind nützlicher, wenn Sie sich über Ihre aktuelle Sicherheitslage nicht sicher sind und eine Vorstellung davon erhalten möchten, wo Ihre Probleme liegen könnten.

Es ist jedoch erwähnenswert, dass wie bei allen Sicherheitsmaßnahmen nicht alle Schwachstellenbewertungen gleich erstellt werden. Bei einigen Anbietern konzentriert es sich möglicherweise nur auf die Werkzeugausgabe, während andere mehr manuelle Arbeit leisten, um diese Ergebnisse zu überprüfen und zu erweitern.

Wenn dies Ihr Ziel ist, würde ich mich auf den erwähnten Ansatz der "Sicherheitsbewertung" konzentrieren in der Antwort von @ RoryAlsop.

Ein Penetrationstest dient klassisch dazu, die Aktionen eines Angreifers zu replizieren, wenn versucht wird, die Sicherheit eines Systems oder einer Organisation zu gefährden. Dies ist wahrscheinlich besser für Organisationen geeignet, die sich der für ein bestimmtes System geltenden Sicherheitskontrollen sicher sind und deren Wirksamkeit nachweisen oder widerlegen möchten.

Es gibt jedoch Probleme mit diesem Ansatz, je nachdem, wer Ihre Angreifer sind. Wenn Sie Kontrollen entwickeln möchten, die sich gegen qualifizierte, gezielte Angreifer (z. B. organisiertes Verbrechen) verteidigen, ist es sehr schwierig, einen Penetrationstest effektiv zu verwenden, um diese zu überprüfen, da einige Techniken, die die Angreifer verwenden können, nicht enthalten sind.

Einige Beispiele für Bereiche, die Penetrationstests aufgrund rechtlicher Probleme nur schwer abdecken können, sind beispielsweise die Ausrichtung auf Heim-PCs von Mitarbeitern, um deren Fernzugriffsfunktionen zu komprimieren, und der Angriff auf Partner von Drittanbietern, für die möglicherweise Zugriff auf die Zielsysteme besteht Support-Zwecke oder Kauf von Botnetzen, in denen möglicherweise bereits Zombies in der Zielumgebung vorhanden sind.

Es lohnt sich also, sich der Einschränkungen beider Testarten bewusst zu sein. Eine allgemeine Faustregel lautet jedoch, dass VA- und Sicherheitsbewertungen gut sind, wenn Sie nicht sicher sind, wie sicher Sie sind, und Penetrationstests gut, um es zu beweisen, sobald Sie es wissen.

#3
+5
atdre
2011-04-04 15:37:46 UTC
view on stackexchange narkive permalink

Für die meisten Menschen sind sie gleich. Deshalb werden Bemühungen wie PTES scheitern. Sie können keine Personen ändern, die sich nicht ändern möchten.

Die richtige Frage lautet: "Was ist der Unterschied zwischen Penetrationstests und ethischem Hacking?".

Die Antwort auf diese Frage lautet Diese Penetrationstests haben einen bestimmten Preis im Auge, ohne zeitliche Begrenzung und normalerweise mit einer langen Liste von Einsatzregeln (die kurze Liste verlangt, dass niemand körperlich verletzt oder bedroht wird). Ethisches Hacken ist eine zeitgesteuerte Aktivität, bei der so viele Fehler wie möglich aufgedeckt werden - normalerweise nur mit nicht-physischen Methoden.

"Bewertungen", "Audits" und "Tests" sind in der Regel austauschbare Wörter in der Bereich der Informationssicherheit. Die Wörter "Verwundbarkeit", "Bedrohung" und einige andere werden normalerweise missverstanden und falsch interpretiert. Fachleute mit 20 Jahren Erfahrung, demselben Hintergrund und denselben Zertifizierungen streiten sich normalerweise über diese Grundbegriffe. Es ist am besten, zu ignorieren, was jemand "sagt" oder "denkt", ist die richtige Antwort - und stattdessen mit Ihrem Bauchgefühl und gesundem Menschenverstand zu arbeiten, wenn Sie den Begriff in einem Gespräch mit dem Uneingeweihten anwenden.

Ich hoffe, dass die PTES-Initiative funktioniert, aber meine Sorge ist wie Ihre: Wir brauchen die Käufer, die verstehen wollen. Sicherheitsleute verstehen es so ziemlich, aber Käufer müssen wissen, was sie von einem bestimmten Test, dem erwarteten Aufwand, den Anforderungen der Aufsichtsbehörde, des CEO usw. erhalten. In der Regel möchten sie also Kategorien, in denen verschiedene Typen passen, damit sie "Ich" sagen können. möchte xxxx bitte kaufen "
#4
+5
chao-mu
2012-06-29 01:43:28 UTC
view on stackexchange narkive permalink

Das Problem bei dieser Frage ist, dass es keine strenge / befolgte Definition dafür gibt, was "Penetrationstest" in der Branche bedeutet. Einige brillante Leute aus der ganzen Community haben sich zusammengetan, um dieses Problem zu lösen. Sie haben den " Penetration Testing Execution Standard" gebildet.

Es wird versucht, jede Phase eines Penetrationstests zu definieren, um dies zu erreichen Stellen Sie eine angemessene Erwartung auf, auf der Führungskräfte und Penetrationstester ihre Interaktionen aufbauen können.

Die von ihnen aufgelisteten Phasen sind

  1. Interaktionen vor dem Engagement
  2. Informationsbeschaffung
  3. Bedrohungsmodellierung
  4. Vulnerabilitätsanalyse
  5. Ausbeutung
  6. Nachnutzung
  7. Berichterstattung
  8. Hier ist eine verwässerte Definition von jedem. Um ein klares Bild zu erhalten, sollten Sie die verknüpften Wiki-Seiten lesen.

    Interaktionen vor dem Engagement umfasst die Festlegung des Umfangs und der Regeln für das Engagement sowie vieler geschäftsorientierter Aspekte.

    Intelligence Gathering ist die Aufklärungsphase, in der der Angreifer so viel wie möglich über das Ziel (sowohl menschliche als auch technische Aspekte) erfährt, um es bei der Analyse und Ausnutzung von Sicherheitslücken zu verwenden.

    Bedrohungsmodellierung umfasst das Identifizieren von Assets und Bedrohungen, deren Kategorisierung und deren endgültige Zuordnung.

    Schwachstellenanalyse "ist der Prozess Fehler in Systemen und Anwendungen zu entdecken, die von einem Angreifer genutzt werden können. " Menschen gehen oft fälschlicherweise davon aus, dass dies und die Ausbeutung alles sind, worum es bei Penetrationstests geht.

    Ausbeutung "konzentriert sich ausschließlich darauf, den Zugriff auf ein System oder eine Ressource durch einzurichten Sicherheitsbeschränkungen umgehen. "

    Nachnutzung ist die Bestimmung des gefährdeten Maschinenwerts und die Aufrechterhaltung der Kontrolle für die spätere Verwendung. In dieser Phase können Sie Informationen sammeln, die es Ihnen ermöglichen, tiefer zu gehen (offensichtlich sind Anmeldeinformationen).

    Berichterstellung "[kommuniziert] die Ziele, Methoden und Ergebnisse der durchgeführten Tests an verschiedene Zielgruppen. "

    Ob sie ihre Mission erfolgreich erfüllen oder nicht, steht zur Debatte, aber ich glaube, dies ist ein guter Ort, um einen Start für ein gründliches Verständnis zu entwickeln.

    Dort ist auch die " PTES Technical Guidelines", die Taktiken und Tools behandelt, die während eines Penetrationstests verwendet werden können.

#5
+4
Tate Hansen
2011-04-01 10:11:19 UTC
view on stackexchange narkive permalink

Ich bin kein Spiel, um etwas Langes dafür zu schreiben, aber hier ist ein lustiges, das die meisten Pen-Tester teilen:

  • Ich habe einen Client, der seit Jahren PCI-ASV-Scans bestanden hat (dh eine externe Schwachstellenbewertung, bei der keine schwerwiegenden, hohen oder kritischen Schwachstellen gefunden wurden). Ein "sauberer" Scan gemäß PCI.
  • Und in den letzten Jahren können alle internen Datenbanken durch qualifizierte Pen-Tests unentdeckt exfiltriert werden (ganz zu schweigen von clientseitigen Angriffen, Social Engineering, physischen Pen-Tests und Phishing) / li>

Pen-Tests, zumindest in der Ecke, in der ich mich aufhalte, sollen einen Angriff eines motivierten Gegners simulieren. Schwachstellenbewertungen sind in der Regel viel weniger.

#6
+4
RudraK
2011-04-01 10:24:46 UTC
view on stackexchange narkive permalink

Die Schwachstellenanalyse ist der Prozess zum Identifizieren von Schwachstellen in einem Netzwerk, während sich ein Penetrationstest darauf konzentriert, tatsächlich unbefugten Zugriff auf die getesteten Systeme zu erhalten und diesen Zugriff auf das Netzwerk oder die Daten gemäß den Anweisungen des Clients zu verwenden. Eine Schwachstellenanalyse bietet Eine Übersicht über die im System vorhandenen Fehler, während ein Penetrationstest durchgeführt wird, um eine Auswirkungsanalyse der Fehler bereitzustellen, identifiziert die möglichen Auswirkungen des Fehlers auf das zugrunde liegende Netzwerk, Betriebssystem, die Datenbank usw. Die Schwachstellenanalyse ist eher ein passiver Prozess . In der Schwachstellenanalyse verwenden Sie Softwaretools, die sowohl den Netzwerkverkehr als auch die Systeme analysieren, um alle Gefährdungen zu identifizieren, die die Anfälligkeit für Angriffe erhöhen. Penetrationstests sind eine aktive Praxis, bei der ethische Hacker eingesetzt werden, um einen Angriff zu simulieren und den Widerstand des Netzwerks und der Systeme zu testen.

Ich habe einen vollständigen Beitrag darüber verfasst. Lesen Sie es hier: http://www.ivizsecurity.com/blog/penetration-testing/difference-vulnerability-penetration-testing/

Dies ist viel zu begrenzt und nicht wirklich die akzeptierte Bedeutung der Begriffe. Dies konzentriert sich wirklich sehr auf die Netzwerksicherheit, während sich die Vuln-Analyse auf Geschäftssysteme konzentrieren sollte. Pentesting kann auch für Netzwerke oder für Anwendungen erfolgen.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...