it-swarm-id.com

Apa perbedaan antara tes penetrasi dan penilaian kerentanan?

Apa perbedaan antara tes penetrasi dan penilaian kerentanan?

Mengapa Anda memilih satu dari yang lain?

Hasil apa yang akan Anda terima dan bagaimana Anda menilai kualitasnya?

30
Sim

Saya yakin saya memposting jawaban untuk ini sebelumnya, tetapi google-fu saya harus lemah pagi ini. Dari posting blog saya pada Taksonomi Penetrasi, kami memiliki daftar tipe pengujian yang mendapatkan penerimaan. Juga, bekerja dengan Standar Eksekusi Pengujian Penetrasi kami berharap dapat mengembangkan ini lebih lanjut. Daftar ini harus membantu menjelaskan cara memilih satu dari yang lain.

Hasil kerja hampir merupakan masalah yang terpisah - dan harus ditentukan oleh kebutuhan dan audiensi (misalnya untuk badan tata kelola Anda tidak akan mengharapkan detail yang sama seperti yang akan Anda berikan kepada tim perbaikan teknis, tetapi Anda ingin memasukkan informasi risiko bisnis) . Ada juga aliran Pelaporan dalam pengembangan PTES untuk mencoba dan mengodifikasi area ini:

Penemuan

Tujuan dari tahap ini adalah untuk mengidentifikasi sistem dalam ruang lingkup dan layanan yang digunakan. Ini tidak dimaksudkan untuk menemukan kerentanan, tetapi deteksi versi dapat menyoroti versi perangkat lunak/firmware yang sudah usang dan dengan demikian menunjukkan potensi kerentanan.

Pemindaian Kerentanan

Setelah tahap penemuan ini mencari masalah keamanan yang diketahui dengan menggunakan alat otomatis untuk mencocokkan kondisi dengan kerentanan yang diketahui. Tingkat risiko yang dilaporkan diatur secara otomatis oleh alat tanpa verifikasi manual atau interpretasi oleh vendor tes. Ini dapat dilengkapi dengan pemindaian berbasis kredensial yang terlihat untuk menghapus beberapa kesalahan positif umum dengan menggunakan kredensial yang disediakan untuk mengautentikasi dengan layanan (seperti akun windows lokal).

Penilaian Kerentanan

Ini menggunakan penemuan dan pemindaian kerentanan untuk mengidentifikasi kerentanan keamanan dan menempatkan temuan ke dalam konteks lingkungan yang diuji. Contohnya adalah menghapus positif palsu umum dari laporan dan memutuskan tingkat risiko yang harus diterapkan pada setiap temuan laporan untuk meningkatkan pemahaman dan konteks bisnis.

Penilaian Keamanan

Dibangun berdasarkan Penilaian Kerentanan dengan menambahkan verifikasi manual untuk mengkonfirmasi paparan, tetapi tidak termasuk eksploitasi kerentanan untuk mendapatkan akses lebih lanjut. Verifikasi bisa dalam bentuk akses resmi ke sistem untuk mengonfirmasi pengaturan sistem dan melibatkan pemeriksaan log, respons sistem, pesan kesalahan, kode, dll. Penilaian Keamanan mencari untuk mendapatkan cakupan luas dari sistem yang sedang diuji tetapi tidak mendalam paparan yang dapat menyebabkan kerentanan tertentu.

Tes Penetrasi

Pengujian penetrasi mensimulasikan serangan oleh pihak jahat. Membangun pada tahap sebelumnya dan melibatkan eksploitasi kerentanan yang ditemukan untuk mendapatkan akses lebih lanjut. Menggunakan pendekatan ini akan menghasilkan pemahaman tentang kemampuan penyerang untuk mendapatkan akses ke informasi rahasia, mempengaruhi integritas data atau ketersediaan layanan dan dampak masing-masing. Setiap tes didekati dengan menggunakan metodologi yang konsisten dan lengkap dengan cara yang memungkinkan tester untuk menggunakan kemampuan pemecahan masalah mereka, output dari berbagai alat dan pengetahuan mereka sendiri tentang jaringan dan sistem untuk menemukan kerentanan yang akan/tidak dapat diidentifikasi oleh alat otomatis. Pendekatan ini melihat kedalaman serangan dibandingkan dengan pendekatan Penilaian Keamanan yang melihat cakupan yang lebih luas.

Audit Keamanan

Didorong oleh fungsi Audit/Risiko untuk melihat masalah kontrol atau kepatuhan tertentu. Dicirikan oleh lingkup yang sempit, jenis keterlibatan ini dapat menggunakan salah satu dari pendekatan sebelumnya yang dibahas (penilaian kerentanan, penilaian keamanan, uji penetrasi).

Tinjauan Keamanan

Verifikasi bahwa standar keamanan industri atau internal telah diterapkan pada komponen sistem atau produk. Ini biasanya diselesaikan melalui analisis kesenjangan dan menggunakan tinjauan build/code atau dengan meninjau dokumen desain dan diagram arsitektur. Kegiatan ini tidak menggunakan pendekatan sebelumnya (Penilaian Kerentanan, Penilaian Keamanan, Uji Penetrasi, Audit Keamanan)

27
Rory Alsop

Selain jawaban yang sudah disediakan, saya akan menjelaskan mengapa Anda dapat memilih satu dari yang lain. Penilaian kerentanan lebih berguna jika Anda tidak yakin dengan postur keamanan Anda saat ini dan ingin mengetahui di mana letak masalah Anda.

Perlu dicatat bahwa seperti semua penilaian kerentanan pekerjaan keamanan tidak semua dibuat sama. Untuk beberapa vendor mungkin fokus murni pada output alat, di mana yang lain akan melakukan lebih banyak pekerjaan manual untuk memverifikasi dan memperluas temuan itu.

Jika itu tujuan Anda, saya akan fokus pada jenis pendekatan "penilaian keamanan" yang disebutkan dalam jawaban @ RoryAlsop.

Tes Penetrasi, secara klasik, dirancang untuk mereplikasi tindakan penyerang dalam upaya untuk mengkompromikan keamanan sistem atau organisasi. Jadi ini mungkin lebih cocok untuk organisasi yang yakin tentang kontrol keamanan yang berlaku untuk sistem tertentu dan ingin membuktikan atau menyangkal kemanjurannya.

Namun ada masalah dengan pendekatan ini, tergantung pada siapa penyerang Anda. Jika Anda mencari untuk merancang kontrol yang akan bertahan melawan penyerang bertarget yang terampil (misalnya, kejahatan terorganisir) maka sangat sulit untuk menggunakan tes penetrasi secara efektif untuk memeriksa mereka, karena itu tidak akan mencakup beberapa teknik yang dapat digunakan penyerang.

Beberapa contoh area yang sulit ditembus pengujian penetrasi karena masalah hukum adalah hal-hal seperti menargetkan PC rumahan staf untuk mengkompromikan fasilitas akses jarak jauh mereka, menyerang mitra pihak ketiga yang mungkin memiliki akses ke sistem target untuk tujuan dukungan, atau membeli botnet yang mungkin ada zombie yang sudah ada di lingkungan target.

Jadi ada baiknya menyadari keterbatasan dari kedua jenis pengujian, tetapi aturan umum adalah bahwa VA dan penilaian keamanan baik ketika Anda tidak yakin seberapa aman Anda, dan penetrasi tes bagus untuk membuktikannya begitu Anda tahu.

11
Rory McCune

Bagi kebanyakan orang - mereka sama. Inilah sebabnya mengapa upaya seperti PTES akan gagal. Anda tidak dapat mengubah orang yang tidak ingin diubah.

Pertanyaan yang benar adalah, "Apa perbedaan antara pengujian penetrasi dan peretasan etis?".

Jawaban untuk pertanyaan ini adalah bahwa pengujian penetrasi memiliki pertimbangan khusus, tanpa batas waktu dan biasanya daftar panjang aturan keterlibatan (daftar pendek meminta agar tidak ada yang dirugikan atau diancam secara fisik). Peretasan etis adalah aktivitas kotak waktu di mana banyak kelemahan mungkin terungkap - biasanya hanya menggunakan metode non-fisik.

"Penilaian", "audit", dan "tes" biasanya merupakan kata-kata yang dapat dipertukarkan di bidang keamanan informasi. Kata-kata "kerentanan", "ancaman", dan beberapa lainnya biasanya disalahpahami dan disalahtafsirkan. Profesional dengan pengalaman 20 tahun, latar belakang yang sama, dan sertifikasi yang sama biasanya akan berdebat tentang ketentuan dasar ini. Yang terbaik adalah mengabaikan apa yang seseorang "katakan" atau "pikirkan" adalah jawaban yang tepat - dan alih-alih gunakan insting dan akal sehat Anda ketika menerapkan istilah itu dalam percakapan dengan orang yang belum tahu.

5
atdre

Masalah dengan pertanyaan ini adalah bahwa tidak ada definisi yang ketat/diikuti untuk apa arti "uji penetrasi" dalam industri. Beberapa orang brilian dari berbagai komunitas berkumpul untuk menyelesaikan masalah itu, membentuk " Standar Eksekusi Pengujian Penetrasi ."

Ini mencoba untuk mendefinisikan setiap tahap tes penetrasi untuk membangun harapan yang masuk akal di atas mana eksekutif bisnis dan Penguji Penetrasi dapat mendasarkan interaksi mereka.

Tahapan mereka adalah

  1. Interaksi Pra-keterlibatan
  2. Pengumpulan Intelijen
  3. Pemodelan Ancaman
  4. Analisis Kerentanan
  5. Eksploitasi
  6. Pasca Eksploitasi
  7. Pelaporan

Berikut adalah definisi encer masing-masing. Untuk mendapatkan gambar yang jelas, Anda harus membaca halaman wiki yang tertaut.

Interaksi Pra-keterlibatan melibatkan penetapan ruang lingkup dan aturan keterlibatan, bersama dengan banyak aspek berorientasi bisnis.

Pengumpulan Intelijen adalah fase pengintaian di mana penyerang belajar sebanyak mungkin tentang target (baik aspek manusia dan teknis) untuk digunakan selama analisis kerentanan dan eksploitasi .

Pemodelan Ancaman melibatkan pengidentifikasian aset dan ancaman, kategorisasi, dan akhirnya mengaitkannya.

Analisis Kerentanan "adalah proses menemukan kelemahan dalam sistem dan aplikasi yang dapat dimanfaatkan oleh penyerang." Orang sering keliru berasumsi bahwa ini dan eksploitasi adalah semua tentang pengujian penetrasi.

Eksploitasi "berfokus hanya pada membangun akses ke sistem atau sumber daya dengan melewati batasan keamanan."

Pasca Eksploitasi adalah penentuan nilai mesin yang dikompromikan dan pemeliharaan kontrol untuk digunakan nanti. Dalam fase ini Anda dapat mengumpulkan informasi yang memungkinkan Anda untuk masuk lebih dalam (kredensial yang jelas).

Pelaporan "[mengomunikasikan] tujuan, metode, dan hasil pengujian yang dilakukan ke berbagai audiens."

Apakah mereka berhasil dalam misi mereka atau tidak, masih bisa diperdebatkan, tetapi saya percaya ini adalah tempat yang baik untuk mengembangkan mulai dari pemahaman yang menyeluruh.

Ada juga " Pedoman Teknis PTES " yang melampaui taktik dan alat yang dapat digunakan selama tes penetrasi.

5
chao-mu

Saya tidak ingin menulis sesuatu yang panjang untuk ini, tapi ini yang menyenangkan yang dibagikan oleh sebagian besar penguji:

  • Saya memiliki klien yang telah menerima pemindaian PCI ASV selama bertahun-tahun (mis. Penilaian kerentanan eksternal tanpa kerentanan parah, tinggi, atau kritis ditemukan). Pemindaian "bersih" menurut PCI.
  • Dan selama beberapa tahun terakhir, semua basis data internal mereka dapat di-exfiltrasi, tidak terdeteksi, melalui pengujian pena yang terampil (belum lagi serangan sisi klien, rekayasa sosial, pengujian pena fisik, phishing)

Pengujian pena, setidaknya di sudut tempat saya berkeliaran, dimaksudkan untuk mensimulasikan serangan oleh musuh yang termotivasi. Penilaian kerentanan biasanya sesuatu yang jauh lebih sedikit.

4
Tate Hansen

Analisis Kerentanan adalah proses mengidentifikasi kerentanan pada jaringan, sedangkan Pengujian Penetrasi difokuskan untuk benar-benar mendapatkan akses tidak sah ke sistem yang diuji dan menggunakan akses itu ke jaringan atau data, seperti yang diarahkan oleh klien. Analisis Kerentanan memberikan gambaran tentang cacat yang ada pada sistem sementara Pengujian Penetrasi melanjutkan untuk memberikan analisis dampak dari cacat mengidentifikasi kemungkinan dampak cacat pada jaringan yang mendasarinya, sistem operasi, basis data dll. Analisis Kerentanan lebih lanjut dari proses pasif. Dalam Analisis Kerentanan Anda menggunakan alat perangkat lunak yang menganalisis lalu lintas jaringan dan sistem untuk mengidentifikasi setiap paparan yang meningkatkan kerentanan terhadap serangan. Penetration Testing adalah praktik aktif di mana peretas etis dipekerjakan untuk mensimulasikan serangan dan menguji resistensi jaringan dan sistem.

Saya telah menulis posting lengkap yang membahas hal ini. Baca di sini: http://www.ivizsecurity.com/blog/penetration-testing/difference-vulnerability-penetration-testing/

4
RudraK