vulnerability assessment
ペネトレーションテストと脆弱性スキャン:
時々、ペネトレーションテストと脆弱性スキャンの背後にある基本的な考え方をテスターやビジネスオーナーが誤解しているのを目にしました。
どちらも同じサービスと混同されることがよくあります。侵入テストと脆弱性テストのどちらに進むかを企業が判断できない場合。ペネトレーションテストは脆弱性テストと同じですか、それとも異なりますか?それらが異なる場合、それらは関連していますか?どちらを選択するか– 侵入テストまたは脆弱性テスト ?
このチュートリアルでは、上記のすべての質問に対する答えを見つけようとします。
学習内容:
- 前書き
- ペネトレーションテストの概要
- 脆弱性スキャンの概要
- ペネトレーションテストと脆弱性スキャン
- 脆弱性スキャンと侵入テストは相互に関連していますか?
- ペンテストと脆弱性スキャンのどちらを選択しますか?
- 最も人気のあるツール
- 結論
- 推奨読書
前書き
まず、5つの文章を読んでいただきたいと思います。
- バナナは木に生えています。
- 普通の人間は脳の10%しか使っていません。
- ナックルを割ると、老年期に関節炎を引き起こします。
- コウモリは盲目です。
- ペネトレーションテストは、脆弱性スキャンのテストと同じです。
上記のすべてのステートメントに共通することを1つ推測できますか? それらはすべて神話です。はい、そうです。それらはすべて確かに神話です。
ただし、このチュートリアルでは、バナナについてもコウモリについても気にしません。私たちが気にするのは、脆弱性スキャンと比較される侵入テストについてです。比較について詳しく知るため、またはステートメントが神話であることを証明するために、最初に侵入テストと脆弱性スキャンを別々に分析します。
ペネトレーションテストの概要
ペネトレーションテストは、略して「ペンテスト」とも呼ばれます。この種のテストは、システムへの道を見つけるためにシステムに対して行われます。これにより、システムによって保存されている重要なデータが外部に公開される可能性があります。
一般的に、侵入テストのターゲットは ホワイトボックスタイプまたはブラックボックスタイプ 。
ブラックボックス侵入テスト:
通常、テスターには、名前以外のシステムの詳細は提供されません。これは、ハッカーがアプリケーションの名前以外のことを認識していない実際のハッキングと非常によく似ています。
ブラックボックステストは実際の条件を再現し、時間はかかりません。ただし、ソースコードとインフラストラクチャに関連する不明な領域があるため、システムの一部を見逃す可能性が常にあります。
ホワイトボックス侵入テスト:
このプロセスでは、侵入テストを受ける必要のあるシステムに関連するすべての必要なデータがテスターに提供されます。
データには、ネットワークアーキテクチャ、システム構成、ソースコードなどがあります。これは、ブラックボックスタイプの侵入テストよりも長いプロセスです。これは徹底的なプロセスであり、ブラックボックスタイプと比較するとより深いカバレッジがあります。
ペネトレーションテストは、常にクライアントからの許可/要求に基づいて実行されます。所有者の同意なしにサイトで侵入テストを実行することは違法であり、ハッキングと呼ばれることがあります。
これで、侵入テストとは何かがわかりました。組織が侵入テストを選択する理由を知るときが来ました。後悔するより安全である方がいいと言われています。侵入テストにより、アーキテクチャはより強力になり、攻撃に対する耐性が高まります。
脆弱性スキャンの概要
脆弱性スキャンは、システムの脆弱性/弱点を見つけるために使用されます。このタスクは、ターゲットコンピューターでアプリケーション(脆弱性スキャナーと呼ばれる)を実行することによって実行されます。これらのアプリケーションまたはスキャナーは、ターゲットコンピューター上で直接実行することも、ネットワーク上の場所から実行することもできます。
大規模な組織ではネットワークの場所がわかりますが、ローカルコンピューターでスキャナーを常に実行することは現実的ではありません。
さて、 どのスキャナーがアプリケーションで機能するかをどうやって知るのですか? 答えはとても簡単です。つまり、脆弱性スキャナーはスキャン中にシステムの詳細/パラメーターをほとんど使用しません。
必要なのはシステムのIPだけです。 IPだけを使用すると、脆弱性スキャナーは、システムに対して攻撃が実行される可能性のある場所を見つけることができます。
企業がイントラネットを使用していて、すべてのコンピューターがインターネットの世界に公開されているわけではない場合があります。その場合、脆弱性スキャナーはイントラネット内から実行する必要があります。これにより、内部の脆弱性と外部の脆弱性の両方のスキャンを検出できます。
テスト/スキャンが完了すると、スキャナーは考えられるすべての脆弱性を表示するレポートを取得するのに役立ちます。生成されたレポートには、脆弱性に関連するさまざまなデータが含まれています。
データの範囲は、(脆弱性インデックスに基づく)サーバー統計、さまざまなサーバーで実行されているさまざまなサービスのステータス、重大度レベルに基づいて検出された脆弱性のステータスです。
レポートが生成されたら、実際の状況を見つけるために分析する必要があります。常にではありませんが、見つかった脆弱性はそれほど深刻です。予期されたデータが出力と一致しないという理由だけでスキャナーが名前をプルする場合があります。しかし、結局のところ、それは本当の脆弱性ではないかもしれません。
これが、見つかった脆弱性が正しいかどうかを確認するために、脆弱性スキャンレポートでさらに分析を行う必要がある理由です。
ペネトレーションテストと脆弱性スキャン
これで、侵入テストプロセスとは何か、脆弱性スキャンとは何かがわかりました。
今、2人の巨人の間で頭と頭の衝突を進めることは楽しいものになるでしょう。

例:
2つの違いを理解するために、実際の例を見てみましょう。
Xさんを例にとってみましょう。 Xさんは強盗のスペシャリストです。私たちは彼の次の強盗の計画を観察します。彼は街の真ん中にある銀行を奪うことを計画している。
銀行の建物は、警察署、消防署、公園(夜間は閉鎖されています)、池に囲まれています。銀行の建物は20階建ての建物で、その上にヘリポートがあります。彼が実際に銀行を奪う前に、彼は銀行の建物への可能な入り口を見つける必要があります。
警察署と消防署がある建物の側面は破ることができません。彼らは24時間年中無休で運営されており、警官の巣窟を入り口として使って銀行をあえて奪うでしょう!それはX氏に他の3つの選択肢を残します。はい、正解です。彼はまた、入り口として屋根を持っています(バットマントリロジーのヒースレジャーを覚えていますか?)。
建物は20階建てで、周囲の人に引っ掛かる可能性が非常に高いため、屋上はここでは奇妙な選択のようです。そして、世銀はこの地域で唯一の高層ビルです。だから、それは屋根のエントリを大きなNOにします!残りの2つのオプションを使用して、X氏は湖をエントリポイントとして分析し始めます。
湖は良い入場方法ですが、視界が問題になります。誰かが真夜中に泳いでいるのを見たら、誰かがどのように反応しますか?それも銀行の建物に向かっていますか?最後のオプションは公園です。
公園を詳しく分析してみましょう。夕方6時以降は一般公開されていません。パークには、必要な影を与え、ステルスモードをサポートする木がたくさんあります。公園には、銀行の敷地と共有されている境界壁があります。
さて、上記のすべての分析は脆弱性スキャンと言えます。スキャナーはこれらすべてのことを行います。入り込むための脆弱な立場を見つけること。
話に戻りますが、X氏が公園の入り口から銀行に入るのに成功したとしましょう。彼は次に何をしますか?彼が金庫に侵入して現金を手に入れるか、預金ロッカーに侵入して貴重品を手に入れるか。
この部分は侵入テストです。アクセス権を取得し、システムを悪用しようとします。あなたはこの攻撃で行くことができる深さを知るようになります。
注意: このチュートリアルを書いている間、銀行は奪われませんでした。また、X氏の足跡をたどることもお勧めできません。
以下の比較表を残して、2つの違いをより明確にすることができます。

脆弱性スキャンと侵入テストは相互に関連していますか?
はい、脆弱性スキャンと侵入テストは相互に関連しています。ペネトレーションテストは、脆弱性スキャンに依存しています。
ペネトレーションテストを開始するには、完全な脆弱性スキャンを実行して、テスターがシステムに存在する脆弱性を認識し、それらを悪用します。
アニメを見るトップ10サイト
したがって、脆弱性スキャンを使用すると、考えられる脆弱性を知ることができますが、これらの脆弱性はこの時点まで悪用されていません。脆弱性が悪用される可能性がある程度を確認するのは侵入テストです。
また、次の画像に示すように、特定のポイントで互いに交差します。

ペンテストと脆弱性スキャンのどちらを選択しますか?
両方の違いを理解したので、今、疑問が生じます–どちらを選択するか?
脆弱性スキャンの目的は、システムの弱点を見つけて修正することです。一方、侵入テストの目標は、誰かがシステムを破壊できるかどうかを確認することです。破壊できる場合は、攻撃の深さと、彼らが取得できる意味のあるデータの量を調べます。
脆弱性スキャンと侵入テストを組み合わせることで、何が危険にさらされているのか、どのように修正できるのかがわかります。目的は、システムの全体的なセキュリティを向上させることです。ビジネスの重要度に応じて、2つから選択する必要があります。侵入テストに行く場合は、脆弱性スキャンもカバーします。
ただし、ペネトレーションテストは脆弱性スキャンと比較して非常にコストがかかり(約4,000ドルから20,000ドル)、時間もかかります。その理由は、非常に正確で徹底的な結果をもたらし、誤検知の脆弱性を排除するためです。
一方、脆弱性スキャンは、ペンテストよりも非常に高速ではるかに安価です(ベンダーによって異なりますが、IPあたり年間100ドル近く)。組織として、月次、四半期、または週次ベースで脆弱性スキャンを実行できます。そして、毎年ペンテストを選択してください。
最も人気のあるツール
脆弱性スキャンで一般的に使用されるツールには、次のものがあります。
- Nessus
- 誰も
- 聖人
- OpenVASなど
ペンテストで一般的に使用されるツールは次のとおりです。
- クオリス
- コアインパクト
- Metasploitなど。
ペンテスターは、要件に応じて独自のエクスプロイトコードも作成します。
結論
このチュートリアルから、侵入テストと脆弱性スキャンの両方が、アプリケーションを攻撃からより安全にするために実行される完全に2つの異なるアクティビティであることがわかります。必要に応じて一緒に使用することもできます。
脆弱性テストは考えられる抜け穴を特定し、ペンテストはこれらの抜け穴を悪用して、ビジネスクリティカルな情報に発生する可能性のある損傷/盗難の範囲を明らかにします。これらは、抜け穴を修正し、情報システムへの潜在的な攻撃やセキュリティ違反を回避するために行われます。
参考文献
- Webアプリケーション侵入テスト入門
- 37最も強力な侵入テストツール(セキュリティテストツール)
- ペネトレーションテスト–サンプルテストケースを含む完全ガイド
- トップ10の最も有用な脆弱性評価スキャンツール
- Acunetix Web脆弱性スキャナー(WVS)を使用してWebアプリケーションのセキュリティをテストする方法–ハンズオンレビュー