Kas yra įsiskverbimo testavimas? Tipai ir nauda
Įsiskverbimo testavimas paverčia klausimą „ar esame saugūs?" konkrečiu įrodymu, kur užpuolikas iš tiesų patektų. Šiame vadove – pagrindai.
Apibrėžimas
Įsiskverbimo testavimas (penetracinis testavimas, angl. penetration testing) – tai kontroliuojamas ir teisėtas procesas, kuriame specialistas ieško ir išnaudoja sistemų, programų bei tinklų spragas kaip tikras užpuolikas. Tikslas – ne pakenkti, o parodyti, kaip užpuolikas veiktų ir kaip tai užkirsti.
Skenavimas ir testavimas
Automatinis pažeidžiamumų skenavimas greitai ir pigiai pateikia galimų spragų sąrašą, bet neįrodo, kurios iš jų realiai pavojingos. Įsiskverbimo testavimą atlieka žmogus: jis išnaudoja spragas, jas sujungia ir randa loginius trūkumus, kurių įrankis neatpažįsta.
Dažniausi tipai
- Išorinio tinklo testavimas – internete matomos paslaugos ir atakos paviršius.
- Interneto programų testavimas – programų ir API spragos.
- Vidinio tinklo testavimas – ką užpuolikas nuveiktų patekęs vidun.
- Belaidžių tinklų, debesijos ir mobiliųjų programų testavimas.
- Socialinė inžinerija – personalo testavimas, pavyzdžiui, sukčiavimo laiškais.
Dėžės tipai
Testavimas gali būti atliekamas kaip juodoji dėžė (jokios informacijos, realistiškiausia), pilkoji dėžė (dalinė informacija, dažniausia ir subalansuota) arba baltoji dėžė (visa informacija ir kodas, išsamiausia).
Kokia nauda
- Matote realias, išnaudojamas rizikas, o ne vien teorinį sąrašą.
- Gaunate prioritetizuotus taisymo nurodymus, nukreipiančius ribotą laiką teisingai.
- Įvykdote teisės aktų ir standartų (NIS2, DORA, ISO 27001) testavimo reikalavimus.
- Stiprinate klientų ir partnerių pasitikėjimą parodydami, kad saugumas yra ištestuotas.
DUK
Susiję klausimai
Koks pagrindinis skirtumas tarp skenavimo ir testavimo?
Skenavimas yra automatinis ir pateikia galimų pažeidžiamumų sąrašą. Testavimą atlieka žmogus ir jis įrodo, kurios spragos realiai išnaudojamos – bei randa tas, kurių įrankis nepastebi.
Kas atlieka įsiskverbimo testavimą?
Apmokytas, nepriklausomas kibernetinio saugumo specialistas (etiškas įsilaužėlis). Nepriklausomumas svarbus, kad išryškėtų aklos zonos.
Ką galima testuoti?
Be kita ko, išorinius ir vidinius tinklus, interneto programas ir API, belaidžius tinklus, debesijos paslaugas, mobiliąsias programas bei personalą per socialinę inžineriją.
Skaitykite toliau
Daugiau vadovų
-
Įsiskverbimo testavimo etapai: kaip vyksta testavimas
Nuo žvalgybos iki ataskaitos – įsiskverbimo testavimas vyksta aiškiais etapais. Štai jie.
Skaityti vadovą -
Kaip pasiruošti įsiskverbimo testavimui
Geras pasiruošimas padaro testavimą naudingesnį. Kaip nustatyti tikslus, apimtį ir taisykles.
Skaityti vadovą