MythBusters:ペネトレーションテストとは(そしてそうではない

おそらく、セキュリティの研究や記事でペネトレーションテストという用語がポップアップするのを見たことがあるでしょうが、それが実際に何を意味するのか知っていますか?

ペネトレーションテストとは

簡単に言えば、侵入テストは、セキュリティの評価、分析、およびアプリケーションまたはネットワークに対するシミュレートされた攻撃の進行であり、そのセキュリティ体制をチェックします。

その目的は、脆弱性を積極的に探すことによって組織のセキュリティ防御を突破することです。脆弱性は通常、サイバー犯罪者がデータの整合性、機密性、または可用性を低下させるために悪用する可能性のある弱点または欠陥です。

発見された脆弱性は、組織のセキュリティポリシーを微調整し、アプリケーションまたはネットワークにパッチを適用し、アプリケーション全体の共通の弱点を特定するために使用できます。ペネトレーションテストは、組織の一般的なセキュリティ体制を強化し、完全に停止することができ、セキュリティ違反を防ぐために組織が積極的に導入するための重要な手段です。

ペネトレーションテストの役割と、ペネトレーションテストが最適な企業やセキュリティプログラムについては誤解があります。ペネトレーションテストとは何かを明確にして、ペネトレーションテストとは何かを深く掘り下げてみましょう。

神話#1:侵入テストは脅威ハンティングと同じです
多くの人々は、ペネトレーションテストと脅威ハンティングを混同しています。そして、彼らは同様の問題を修正しようとしていますが、これらの用語は互換性がありません。ペネトレーションテストは、可能な限り多くの脆弱性を事前に特定することを目的としていますが、脅威ハンティングの一般的な目標は、組織のセキュリティ防御をすでに通過した攻撃者を積極的に特定して、実際の被害が発生する前に攻撃を阻止できるようにすることです。

多くの組織は、ネットワークやホストベースの侵入検知などの予防および検出テクノロジーに投資しています。これらのテクノロジーは、悪意のある可能性のあるすべてのイベントが完全にブロックされるわけではないため、データの宝庫です。これらのシステムは、良性に見えるかもしれないが攻撃に関連している可能性のあるアクティビティをログに記録できます。この情報を使用して、脅威ハンターは企業全体のデータのビットをつなぎ合わせて、影響を受けた可能性のあるデータの全体像を構築することができます。

神話#2:侵入テストはレッドチームと同じです
多くの人々はまた、ペネトレーションテストとレッドチームを混同する傾向があります。繰り返しますが、これらの用語は同じものではありません。ペネトレーションテストは、システム、アプリケーション、およびそれらをサポートする環境により広く焦点を当てていますが、レッドチームはより具体的に人に焦点を当てています。

レッドチームは、犯罪者に環境へのさらなるアクセスを提供する1つの脆弱性を特定することを目的として、はるかにターゲットを絞っています。これにより、最終的には、ある時点でフルアクセスが可能になります。

真のレッドチームエンゲージメントでは、セキュリティプロフェッショナルは基本的に、組織内の個人をだまして、現在持っていないものにアクセスできるようにします。レッドチームは大規模で複雑な事業であり、組織の欠点を理解するために多くのオープンソースのソーシャルインテリジェンスが関与しています。

神話#3:侵入テストはバグバウンティと同じです
繰り返しますが、これらの用語は互換性がありません。ペネトレーションテストはバグバウンティと同じではありません。バグバウンティプログラムは、サイバー攻撃に対してすでに十分に保護されているプラ​​ットフォームでのセキュリティテストの範囲をさらに強化するために、人気が高まっており、侵入テストを補完するものとして多くの人に見られている最近の製品です。

本質的により包括的なペネトレーションテストとは異なり、バグバウンティプログラムは、公的にアクセス可能なWebサイトおよびWebアプリケーションのテストに焦点を絞っています。このため、バウンティプログラムは、ネットワーク内またはWebサイトやアプリケーションが公開される前に脆弱性を検出できません。

神話#4:侵入テストは脆弱性評価と同じです
ペネトレーションテストと脆弱性評価はどちらも、環境またはアプリケーションに存在する欠陥を発見することを目的としていますが、さまざまな方法でこれを実行します。

脆弱性評価は、スキャナーを使用して実行される自動化されたアプローチです。ペネトレーションテストはツールを使用してタスクを完了しますが、基本的に、ペネトレーションテストは手動のプロセスです。ペネトレーションテストでは、高度な技術とスキルを備えた個人が手動で結果を精査し、悪用の試みと脆弱性の連鎖によってリスクを特定します。

脆弱性のスキャンと侵入テストは、どちらも包括的なセキュリティ戦略に必要なコンポーネントです。一方が他方を置き換えることはありません。

組織が遠隔環境の中で最適化および合理化されたセキュリティプロセスとテクノロジーの緊急の必要性に直面したため、パンデミックはペネトレーションソリューションに対する指数関数的な需要を引き起こしました。今やこれまで以上に、企業はサイバーセキュリティの脅威に対するセキュリティ体制を強化するための侵入テストソリューションに目を向けています。