Was ist der Unterschied zwischen einem Penetrationstest und einer Schwachstellenbewertung?
Warum sollten Sie einen über den anderen wählen?
Welche Ergebnisse würden Sie erwarten und wie würden Sie die Qualität von ihnen bewerten?
Was ist der Unterschied zwischen einem Penetrationstest und einer Schwachstellenbewertung?
Warum sollten Sie einen über den anderen wählen?
Welche Ergebnisse würden Sie erwarten und wie würden Sie die Qualität von ihnen bewerten?
Ich bin sicher, dass ich zuvor eine Antwort darauf gepostet habe, aber mein Google-Fu muss heute Morgen schwach sein. In meinem Blog-Beitrag zur Penetrationstaxonomie finden Sie eine Liste von Testtypen, die sich durchsetzen. Durch die Arbeit mit dem Penetration Testing Execution Standard hoffen wir, dies weiterzuentwickeln. Diese Liste soll Ihnen helfen, zu erklären, wie Sie einander vorziehen.
Ergebnisse sind fast ein separates Thema - und sollten durch den Bedarf und die Zielgruppe definiert werden (z. B. würden Sie für ein Leitungsgremium nicht die gleichen Details erwarten, die Sie einem technischen Sanierungsteam zur Verfügung stellen würden, aber Sie würden es tun Informationen zum Geschäftsrisiko aufnehmen möchten). Innerhalb der PTES-Entwicklung gibt es auch einen Berichtsdatenstrom, mit dem versucht werden kann, diesen Bereich zu kodifizieren:
Ermittlung
In dieser Phase werden Systeme innerhalb des Bereichs und identifiziert die verwendeten Dienste. Es ist nicht beabsichtigt, Schwachstellen zu erkennen, aber die Versionserkennung kann veraltete Versionen von Software / Firmware hervorheben und somit potenzielle Schwachstellen anzeigen.
Schwachstellen-Scan
Folgen Sie dem In der Erkennungsphase werden bekannte Sicherheitsprobleme gesucht, indem automatisierte Tools verwendet werden, um Bedingungen mit bekannten Schwachstellen abzugleichen. Die gemeldete Risikostufe wird vom Tool automatisch ohne manuelle Überprüfung oder Interpretation durch den Testanbieter festgelegt. Dies kann durch ein auf Anmeldeinformationen basierendes Scannen ergänzt werden, mit dem einige häufig auftretende Fehlalarme entfernt werden sollen, indem die angegebenen Anmeldeinformationen zur Authentifizierung bei einem Dienst (z. B. lokalen Windows-Konten) verwendet werden.
Bewertung der Sicherheitsanfälligkeit
Hiermit werden Erkennungs- und Schwachstellenüberprüfungen verwendet, um Sicherheitslücken zu identifizieren und die Ergebnisse in den Kontext der zu testenden Umgebung zu stellen. Ein Beispiel wäre das Entfernen häufiger falsch positiver Ergebnisse aus dem Bericht und die Festlegung der Risikostufen, die auf jede Berichtsfeststellung angewendet werden sollten, um das Geschäftsverständnis und den Geschäftskontext zu verbessern.
Sicherheitsbewertung
Baut auf der Bewertung von Sicherheitslücken auf, indem eine manuelle Überprüfung hinzugefügt wird, um die Gefährdung zu bestätigen, schließt jedoch die Ausnutzung von Sicherheitslücken nicht ein, um weiteren Zugriff zu erhalten. Die Überprüfung kann in Form eines autorisierten Zugriffs auf ein System erfolgen, um die Systemeinstellungen zu bestätigen und Protokolle, Systemantworten, Fehlermeldungen, Codes usw. zu überprüfen. Bei einer Sicherheitsbewertung wird versucht, eine breite Abdeckung der getesteten Systeme zu erhalten, jedoch nicht die Tiefe der Gefährdung, zu der eine bestimmte Sicherheitsanfälligkeit führen kann.
Penetrationstest
Penetrationstests simulieren einen Angriff einer böswilligen Partei. Aufbauend auf den vorherigen Phasen und Ausnutzung gefundener Schwachstellen, um weiteren Zugriff zu erhalten. Die Verwendung dieses Ansatzes führt zu einem Verständnis der Fähigkeit eines Angreifers, Zugriff auf vertrauliche Informationen zu erhalten, die Datenintegrität oder Verfügbarkeit eines Dienstes und die jeweiligen Auswirkungen zu beeinträchtigen. Jeder Test wird mit einer konsistenten und vollständigen Methodik angegangen, die es dem Tester ermöglicht, seine Fähigkeiten zur Problemlösung, die Ergebnisse einer Reihe von Tools und sein eigenes Wissen über Netzwerke und Systeme zu nutzen, um Schwachstellen zu finden, die identifiziert werden könnten / könnten automatisierte Werkzeuge. Bei diesem Ansatz wird die Angriffstiefe im Vergleich zum Sicherheitsbewertungsansatz untersucht, bei dem die breitere Abdeckung berücksichtigt wird.
Sicherheitsaudit
Angetrieben von einer Audit- / Risikofunktion, um ein bestimmtes Kontroll- oder Compliance-Problem zu untersuchen. Diese Art des Engagements zeichnet sich durch einen engen Umfang aus und kann einen der zuvor diskutierten Ansätze (Schwachstellenbewertung, Sicherheitsbewertung, Penetrationstest) verwenden.
Sicherheitsüberprüfung
Überprüfung, ob Branchen- oder interne Sicherheitsstandards auf Systemkomponenten oder Produkte angewendet wurden. Dies wird normalerweise durch Lückenanalyse und Verwendung von Build- / Code-Überprüfungen oder durch Überprüfung von Entwurfsdokumenten und Architekturdiagrammen abgeschlossen. Diese Aktivität verwendet keinen der früheren Ansätze (Schwachstellenbewertung, Sicherheitsbewertung, Penetrationstest, Sicherheitsüberprüfung)
Zusätzlich zu den bereits gegebenen Antworten werde ich erläutern, warum Sie eine über die andere wählen können. Schwachstellenbewertungen sind nützlicher, wenn Sie sich über Ihre aktuelle Sicherheitslage nicht sicher sind und eine Vorstellung davon erhalten möchten, wo Ihre Probleme liegen könnten.
Es ist jedoch erwähnenswert, dass wie bei allen Sicherheitsmaßnahmen nicht alle Schwachstellenbewertungen gleich erstellt werden. Bei einigen Anbietern konzentriert es sich möglicherweise nur auf die Werkzeugausgabe, während andere mehr manuelle Arbeit leisten, um diese Ergebnisse zu überprüfen und zu erweitern.
Wenn dies Ihr Ziel ist, würde ich mich auf den erwähnten Ansatz der "Sicherheitsbewertung" konzentrieren in der Antwort von @ RoryAlsop.
Ein Penetrationstest dient klassisch dazu, die Aktionen eines Angreifers zu replizieren, wenn versucht wird, die Sicherheit eines Systems oder einer Organisation zu gefährden. Dies ist wahrscheinlich besser für Organisationen geeignet, die sich der für ein bestimmtes System geltenden Sicherheitskontrollen sicher sind und deren Wirksamkeit nachweisen oder widerlegen möchten.
Es gibt jedoch Probleme mit diesem Ansatz, je nachdem, wer Ihre Angreifer sind. Wenn Sie Kontrollen entwickeln möchten, die sich gegen qualifizierte, gezielte Angreifer (z. B. organisiertes Verbrechen) verteidigen, ist es sehr schwierig, einen Penetrationstest effektiv zu verwenden, um diese zu überprüfen, da einige Techniken, die die Angreifer verwenden können, nicht enthalten sind.
Einige Beispiele für Bereiche, die Penetrationstests aufgrund rechtlicher Probleme nur schwer abdecken können, sind beispielsweise die Ausrichtung auf Heim-PCs von Mitarbeitern, um deren Fernzugriffsfunktionen zu komprimieren, und der Angriff auf Partner von Drittanbietern, für die möglicherweise Zugriff auf die Zielsysteme besteht Support-Zwecke oder Kauf von Botnetzen, in denen möglicherweise bereits Zombies in der Zielumgebung vorhanden sind.
Es lohnt sich also, sich der Einschränkungen beider Testarten bewusst zu sein. Eine allgemeine Faustregel lautet jedoch, dass VA- und Sicherheitsbewertungen gut sind, wenn Sie nicht sicher sind, wie sicher Sie sind, und Penetrationstests gut, um es zu beweisen, sobald Sie es wissen.
Für die meisten Menschen sind sie gleich. Deshalb werden Bemühungen wie PTES scheitern. Sie können keine Personen ändern, die sich nicht ändern möchten.
Die richtige Frage lautet: "Was ist der Unterschied zwischen Penetrationstests und ethischem Hacking?".
Die Antwort auf diese Frage lautet Diese Penetrationstests haben einen bestimmten Preis im Auge, ohne zeitliche Begrenzung und normalerweise mit einer langen Liste von Einsatzregeln (die kurze Liste verlangt, dass niemand körperlich verletzt oder bedroht wird). Ethisches Hacken ist eine zeitgesteuerte Aktivität, bei der so viele Fehler wie möglich aufgedeckt werden - normalerweise nur mit nicht-physischen Methoden.
"Bewertungen", "Audits" und "Tests" sind in der Regel austauschbare Wörter in der Bereich der Informationssicherheit. Die Wörter "Verwundbarkeit", "Bedrohung" und einige andere werden normalerweise missverstanden und falsch interpretiert. Fachleute mit 20 Jahren Erfahrung, demselben Hintergrund und denselben Zertifizierungen streiten sich normalerweise über diese Grundbegriffe. Es ist am besten, zu ignorieren, was jemand "sagt" oder "denkt", ist die richtige Antwort - und stattdessen mit Ihrem Bauchgefühl und gesundem Menschenverstand zu arbeiten, wenn Sie den Begriff in einem Gespräch mit dem Uneingeweihten anwenden.
Das Problem bei dieser Frage ist, dass es keine strenge / befolgte Definition dafür gibt, was "Penetrationstest" in der Branche bedeutet. Einige brillante Leute aus der ganzen Community haben sich zusammengetan, um dieses Problem zu lösen. Sie haben den " Penetration Testing Execution Standard" gebildet.
Es wird versucht, jede Phase eines Penetrationstests zu definieren, um dies zu erreichen Stellen Sie eine angemessene Erwartung auf, auf der Führungskräfte und Penetrationstester ihre Interaktionen aufbauen können.
Die von ihnen aufgelisteten Phasen sind
Hier ist eine verwässerte Definition von jedem. Um ein klares Bild zu erhalten, sollten Sie die verknüpften Wiki-Seiten lesen.
Interaktionen vor dem Engagement umfasst die Festlegung des Umfangs und der Regeln für das Engagement sowie vieler geschäftsorientierter Aspekte.
Intelligence Gathering ist die Aufklärungsphase, in der der Angreifer so viel wie möglich über das Ziel (sowohl menschliche als auch technische Aspekte) erfährt, um es bei der Analyse und Ausnutzung von Sicherheitslücken zu verwenden.
Bedrohungsmodellierung umfasst das Identifizieren von Assets und Bedrohungen, deren Kategorisierung und deren endgültige Zuordnung.
Schwachstellenanalyse "ist der Prozess Fehler in Systemen und Anwendungen zu entdecken, die von einem Angreifer genutzt werden können. " Menschen gehen oft fälschlicherweise davon aus, dass dies und die Ausbeutung alles sind, worum es bei Penetrationstests geht.
Ausbeutung "konzentriert sich ausschließlich darauf, den Zugriff auf ein System oder eine Ressource durch einzurichten Sicherheitsbeschränkungen umgehen. "
Nachnutzung ist die Bestimmung des gefährdeten Maschinenwerts und die Aufrechterhaltung der Kontrolle für die spätere Verwendung. In dieser Phase können Sie Informationen sammeln, die es Ihnen ermöglichen, tiefer zu gehen (offensichtlich sind Anmeldeinformationen).
Berichterstellung "[kommuniziert] die Ziele, Methoden und Ergebnisse der durchgeführten Tests an verschiedene Zielgruppen. "
Ob sie ihre Mission erfolgreich erfüllen oder nicht, steht zur Debatte, aber ich glaube, dies ist ein guter Ort, um einen Start für ein gründliches Verständnis zu entwickeln.
Dort ist auch die " PTES Technical Guidelines", die Taktiken und Tools behandelt, die während eines Penetrationstests verwendet werden können.
Ich bin kein Spiel, um etwas Langes dafür zu schreiben, aber hier ist ein lustiges, das die meisten Pen-Tester teilen:
Pen-Tests, zumindest in der Ecke, in der ich mich aufhalte, sollen einen Angriff eines motivierten Gegners simulieren. Schwachstellenbewertungen sind in der Regel viel weniger.
Die Schwachstellenanalyse ist der Prozess zum Identifizieren von Schwachstellen in einem Netzwerk, während sich ein Penetrationstest darauf konzentriert, tatsächlich unbefugten Zugriff auf die getesteten Systeme zu erhalten und diesen Zugriff auf das Netzwerk oder die Daten gemäß den Anweisungen des Clients zu verwenden. Eine Schwachstellenanalyse bietet Eine Übersicht über die im System vorhandenen Fehler, während ein Penetrationstest durchgeführt wird, um eine Auswirkungsanalyse der Fehler bereitzustellen, identifiziert die möglichen Auswirkungen des Fehlers auf das zugrunde liegende Netzwerk, Betriebssystem, die Datenbank usw. Die Schwachstellenanalyse ist eher ein passiver Prozess . In der Schwachstellenanalyse verwenden Sie Softwaretools, die sowohl den Netzwerkverkehr als auch die Systeme analysieren, um alle Gefährdungen zu identifizieren, die die Anfälligkeit für Angriffe erhöhen. Penetrationstests sind eine aktive Praxis, bei der ethische Hacker eingesetzt werden, um einen Angriff zu simulieren und den Widerstand des Netzwerks und der Systeme zu testen.
Ich habe einen vollständigen Beitrag darüber verfasst. Lesen Sie es hier: http://www.ivizsecurity.com/blog/penetration-testing/difference-vulnerability-penetration-testing/