Tweet
Um teste de penetração, pentest ocasionalmente, é um método de avaliação da segurança de um sistema de computador ou rede , simulando um ataque de estranhos mal-intencionados (que não têm um meio autorizada de acessar os sistemas da organização) e insiders maliciosos (que têm algum nível de acesso autorizado). O processo envolve uma análise ativa do sistema para todas as possíveis vulnerabilidades que poderiam resultar de má configuração do sistema ou inadequada, tanto conhecidos como desconhecidos falhas de hardware ou software, ou fraquezas operacionais em processo ou de contramedidas técnicas. Esta análise é realizada a partir da posição de um invasor em potencial e pode envolver a exploração de vulnerabilidades de segurança ativa.
Os problemas de segurança descoberto através do teste de penetração são apresentados para o proprietário do sistema. Testes de penetração eficazes se acoplará esta informação com uma avaliação precisa dos impactos potenciais para a organização e delinear uma série de contramedidas técnicas e procedimentos para reduzir riscos.
Testes de penetração são importantes por várias razões:
Determinar a viabilidade de um determinado conjunto de vetores de ataque
Identificar vulnerabilidades de alto risco que resultam de uma combinação de baixo risco vulnerabilidades exploradas em uma determinada seqüência
Identificar as vulnerabilidades que podem ser difíceis ou impossíveis de detectar, com rede automatizada ou software aplicativo de digitalização vulnerabilidade
Avaliação da magnitude do negócio e os impactos potenciais operacionais de ataques bem sucedidos
Testar a capacidade dos defensores de rede para detectar com sucesso e responder aos ataques
Fornecer evidências para apoiar o aumento dos investimentos em pessoal de segurança e tecnologia
Testes de penetração são um componente de uma completa auditoria de segurança . Por exemplo, o Payment Card Industry Data Security Standard (PCI DSS) e padrão de segurança e auditoria, requer tanto o teste de penetração anual e permanente (após mudanças no sistema) .
caixa preta vs caixa branca
Testes de penetração pode ser realizado de várias maneiras. A diferença mais comum é a quantidade de conhecimento dos detalhes da implementação do sistema está sendo testado que estão disponíveis para os testadores. teste de caixa preta não assume qualquer conhecimento prévio da infra-estrutura a ser testada. Os testadores devem primeiro determinar a localização e extensão dos sistemas, antes de iniciar sua análise. No outro extremo do espectro, teste de caixa branca fornece os testadores com conhecimento completo da infra-estrutura a ser testado, muitas vezes incluindo diagramas de rede, código fonte, e informações de endereçamento IP. Há também diversas variações entre, muitas vezes conhecidos como testes de caixa cinza . Testes de penetração também pode ser descrito como "revelação total" (caixa branca), "divulgação parcial" (caixa cinza), ou "cego" (caixa preta) testa com base na quantidade de informações fornecidas para a festa de testes.
Os méritos relativos dessas abordagens são debatidas. Teste de caixa preta simula um ataque de alguém que não está familiarizado com o sistema. Teste de caixa branca simula o que pode acontecer durante um "trabalho interno" ou depois de um "vazamento" de informações sensíveis, onde o atacante tem acesso ao código fonte, layouts de rede, e possivelmente até mesmo algumas senhas.
Os serviços oferecidos por empresas de teste de penetração abrangem uma gama similar, a partir de uma simples verificação de uma organização do endereço IP espaço de portas abertas e faixas de identificação para uma auditoria completa do código fonte de um aplicativo.
Fundamentação
Um teste de penetração deve ser feita em qualquer sistema de computador que está a ser implantado em um ambiente hostil, em particular qualquer Internet site de enfrentar, antes que ele seja implantado. Isto proporciona um nível de garantia de prática que qualquer usuário mal-intencionado não será capaz de penetrar no sistema. [ carece de fontes? ]
Testes de penetração caixa preta é útil nos casos em que o testador assume o papel de um hacker fora e tenta invadir o sistema sem o conhecimento adequado da mesma.
Riscos
Os testes de penetração pode ser uma técnica valiosa para qualquer empresa ao programa de segurança da informação. Testes de penetração Básica caixa branca é feito muitas vezes como um processo totalmente automatizado de baixo custo. No entanto, testes de penetração caixa preta é uma atividade trabalhosa e exige conhecimentos para minimizar o risco aos sistemas de alvo. No mínimo, pode retardar o tempo de resposta da organização de redes, devido à digitalização em rede e verificação de vulnerabilidades. Além disso, existe a possibilidade de que os sistemas podem ser danificados durante o teste de penetração e pode ser inoperacional, embora os benefícios da organização em saber que o sistema poderia ter sido inoperável por um intruso. Embora este risco é mitigado pelo uso de testadores de penetração experientes, nunca pode ser completamente eliminado.
Metodologias
O Open Source Manual de Segurança Metodologia de Testes é uma metodologia de análise pericial para a realização de testes de segurança e métricas. Os casos de teste OSSTMM são divididas em cinco canais que coletivamente teste: informação e controles de dados, pessoal de níveis de conscientização de segurança, fraudes e engenharia social, níveis de controle, computadores e redes de telecomunicações , dispositivos sem fio, dispositivos móveis, físicos de segurança controles de acesso, processos de segurança e locais físicos, como edifícios, perímetros, e bases militares.
O OSSTMM incide sobre os detalhes técnicos de exatamente quais itens precisam ser testados, o que fazer antes, durante e após um teste de segurança, e como medir os resultados. OSSTMM também é conhecido por suas Rules of Engagement , que definem tanto para o testador eo cliente como o teste precisa para executar corretamente a partir de negar publicidade falsa de testadores para a forma como o cliente pode esperar receber o relatório. Novos testes para as melhores práticas internacionais, leis, regulamentos, e as preocupações éticas são adicionados regularmente e atualizados.
O Instituto Nacional de Padrões e Tecnologia (NIST) discute testes de penetração na SP800-115. metodologia NIST é menos abrangente do que o OSSTMM, no entanto, é mais provável de ser aceita pelos órgãos reguladores. Por esta razão, NIST refere-se ao OSSTMM.
A Information Systems Security Assessment Framework (ISSAF) é um quadro estruturado revisada por pares do Open Grupo de Segurança de Sistemas de Informação que classifica de informações, avaliação de segurança do sistema em vários domínios e detalhes critérios específicos de avaliação ou teste para cada um desses domínios. Seu objetivo é fornecer insumos de campo sobre a avaliação de segurança que refletem cenários da vida real. O ISSAF deve ser utilizada principalmente para cumprir as exigências de uma organização de avaliação de segurança e pode ainda ser usado como referência para atender às necessidades de segurança outras informações. Ele inclui a faceta crucial de processos de segurança, e sua avaliação e endurecimento para obter uma imagem completa das vulnerabilidades que possam existir. O ISSAF, no entanto, ainda está em sua infância.
Normas e certificação
O processo de realização de um teste de penetração pode revelar informações confidenciais sobre uma organização. É por esta razão que a maioria das empresas de segurança estão se esforçando para mostrar que eles não empregam ex- black hat hackers , e que todos os funcionários aderem a um estrito código ético. Existem várias certificações profissionais e governamentais, que indicam a confiabilidade da empresa e de conformidade com as melhores práticas da indústria.
O esquema de Tiger não é um esquema de lucro que oferece três certificações: Tester Segurança Associado (AST), Membro da Equipe de Segurança Qualificado (QSTM) e Tester de Segurança Sênior (SST). A SST é tecnicamente equivalente a CONFIRA Team Leader e QSTM é tecnicamente equivalente à certificação Membros na verificação Team. Esquema Tiger certifica o indivíduo, não a empresa. O esquema de Tiger também oferece certificação para profissional de informática forense, relativo à Readiness Forense, Cena de Crime de Gestão, Practitioner Forense e Analista de Software Malicioso. O esquema de Tiger é o único esquema no Reino Unido que tem todos os seus credenciados e avaliações de qualidade auditados pela Universidade de Glamorgan .
O Information Assurance Certification Review Board (IACRB) gere uma certificação de testes de penetração conhecido como o Tester Certified Penetração (CPT). A CPT exige que o candidato exame de passar por um exame tradicional escolha múltipla, bem como passar por um exame prático, que requer que o candidato realizar um teste de penetração contra servidores em um ambiente de máquina virtual.
SANS fornece uma ampla gama de computador arena de treinamento de segurança levando a uma série de qualificações SANS. Em 1999, fundou SANS GIAC, a Certificação Global Information Assurance, que segundo a SANS foi realizada por mais de 20.000 membros até à data. [9] Duas das certificações GIAC são testes de penetração específico: o testador Penetração GIAC Certified (GPEN); eo GIAC Web Application Penetração Tester certificação (GWAPT).
Segurança ofensiva oferece uma certificação Ethical Hacking ( Ofensiva de Segurança Certified Professional ) - uma formação spin off da distribuição Testes de Penetração BackTrack. O OSCP é uma vida real certificação de testes de penetração, exigindo titulares para atacar com sucesso e penetrar várias máquinas ao vivo em um ambiente de laboratório seguro. Após a conclusão do curso, os alunos tornam-se elegíveis para tomar um desafio de certificação, que deve ser concluído no prazo de vinte e quatro horas. A documentação deve incluir os procedimentos utilizados e da prova de penetração bem-sucedida, incluindo arquivos de marcadores especiais.
Apoiada pelo governo testes também existe em os EUA com os padrões, como o NSA Metodologia de Avaliação Infra-estrutura (IEM).
Para aplicações web, o Open Web Application Security Project (OWASP) fornece um quadro de recomendações que podem ser usados como referência.
O Conselho de Segurança Registrados Testers éticos (CREST) oferece três certificações:. do testador CREST Registrado e dois CREST qualificações Tester Certified, um para infra-estrutura e uma para testes de aplicativos
O Conselho Internacional de E-Commerce consultores certifica indivíduos em habilidades de segurança diversos e-business e de informação. Estes incluem o Certified Ethical Hacker é claro, Computer Hacking Forensics Investigator programa, programa Tester Licenciado Penetração e vários outros programas, que são amplamente disponíveis em todo o mundo.
A organização mile2 certifica indivíduos em segurança da informação, especialmente em testes de penetração, oferecendo um engenheiro de testes Certified Penetração (CPTE) certificado. Recentemente, Kevin Henry, que foi o autor material oficial para ambos ISC2 e ISACA, escreveu a mais nova edição que foi publicado pela ITGovernance.
Web testes de penetração aplicação
Web testes de penetração pedido se refere a um conjunto de serviços utilizados para detectar vários problemas de segurança com aplicações web e identificar as vulnerabilidades e riscos, incluindo:
Vulnerabilidades conhecidas em COTS aplicações
Vulnerabilidades técnicas: URL manipulação, injeção de SQL , cross-site scripting autenticação, back-end, a senha na memória, seqüestro de sessão , buffer overflow , configuração de servidor web, gerenciamento de credenciais, Clickjacking , etc,
De lógica de negócio erros: Dia-a-dia de análise de ameaças, logins, modificação de informações pessoais, lista de preços modificação, transferência de fundos não-autorizado, quebra de confiança do cliente etc
OWASP , o Projeto Open Web Application Security, uma fonte aberta de aplicativos web do projeto de documentação de segurança, produziu documentos como o Guia OWASP e do OWASP Top amplamente adotado 10 documento consciência.
O Firefox é um navegador web popular aplicação da ferramenta de teste de penetração, com muitos plugins projetado especificamente para a web de teste de penetração aplicação.
OWASP-Quadro de Segurança Mantra é uma fonte livre e aberta kit de ferramentas de segurança com uma coleção de hacking ferramentas, add-ons e scripts baseados em Firefox destinado a testadores de penetração, desenvolvedores de aplicações web e profissionais de segurança, etc
Foundstone do Banco Hacme simula uma aplicação bancária. Ele ajuda os desenvolvedores e auditores praticar ataques de aplicações web, incluindo falhas de validação de entrada, como SQL Injection e Cross Site Scripting (XSS).
Os problemas de segurança descoberto através do teste de penetração são apresentados para o proprietário do sistema. Testes de penetração eficazes se acoplará esta informação com uma avaliação precisa dos impactos potenciais para a organização e delinear uma série de contramedidas técnicas e procedimentos para reduzir riscos.
Testes de penetração são importantes por várias razões:
Determinar a viabilidade de um determinado conjunto de vetores de ataque
Identificar vulnerabilidades de alto risco que resultam de uma combinação de baixo risco vulnerabilidades exploradas em uma determinada seqüência
Identificar as vulnerabilidades que podem ser difíceis ou impossíveis de detectar, com rede automatizada ou software aplicativo de digitalização vulnerabilidade
Avaliação da magnitude do negócio e os impactos potenciais operacionais de ataques bem sucedidos
Testar a capacidade dos defensores de rede para detectar com sucesso e responder aos ataques
Fornecer evidências para apoiar o aumento dos investimentos em pessoal de segurança e tecnologia
Testes de penetração são um componente de uma completa auditoria de segurança . Por exemplo, o Payment Card Industry Data Security Standard (PCI DSS) e padrão de segurança e auditoria, requer tanto o teste de penetração anual e permanente (após mudanças no sistema) .
caixa preta vs caixa branca
Testes de penetração pode ser realizado de várias maneiras. A diferença mais comum é a quantidade de conhecimento dos detalhes da implementação do sistema está sendo testado que estão disponíveis para os testadores. teste de caixa preta não assume qualquer conhecimento prévio da infra-estrutura a ser testada. Os testadores devem primeiro determinar a localização e extensão dos sistemas, antes de iniciar sua análise. No outro extremo do espectro, teste de caixa branca fornece os testadores com conhecimento completo da infra-estrutura a ser testado, muitas vezes incluindo diagramas de rede, código fonte, e informações de endereçamento IP. Há também diversas variações entre, muitas vezes conhecidos como testes de caixa cinza . Testes de penetração também pode ser descrito como "revelação total" (caixa branca), "divulgação parcial" (caixa cinza), ou "cego" (caixa preta) testa com base na quantidade de informações fornecidas para a festa de testes.
Os méritos relativos dessas abordagens são debatidas. Teste de caixa preta simula um ataque de alguém que não está familiarizado com o sistema. Teste de caixa branca simula o que pode acontecer durante um "trabalho interno" ou depois de um "vazamento" de informações sensíveis, onde o atacante tem acesso ao código fonte, layouts de rede, e possivelmente até mesmo algumas senhas.
Os serviços oferecidos por empresas de teste de penetração abrangem uma gama similar, a partir de uma simples verificação de uma organização do endereço IP espaço de portas abertas e faixas de identificação para uma auditoria completa do código fonte de um aplicativo.
Fundamentação
Um teste de penetração deve ser feita em qualquer sistema de computador que está a ser implantado em um ambiente hostil, em particular qualquer Internet site de enfrentar, antes que ele seja implantado. Isto proporciona um nível de garantia de prática que qualquer usuário mal-intencionado não será capaz de penetrar no sistema. [ carece de fontes? ]
Testes de penetração caixa preta é útil nos casos em que o testador assume o papel de um hacker fora e tenta invadir o sistema sem o conhecimento adequado da mesma.
Riscos
Os testes de penetração pode ser uma técnica valiosa para qualquer empresa ao programa de segurança da informação. Testes de penetração Básica caixa branca é feito muitas vezes como um processo totalmente automatizado de baixo custo. No entanto, testes de penetração caixa preta é uma atividade trabalhosa e exige conhecimentos para minimizar o risco aos sistemas de alvo. No mínimo, pode retardar o tempo de resposta da organização de redes, devido à digitalização em rede e verificação de vulnerabilidades. Além disso, existe a possibilidade de que os sistemas podem ser danificados durante o teste de penetração e pode ser inoperacional, embora os benefícios da organização em saber que o sistema poderia ter sido inoperável por um intruso. Embora este risco é mitigado pelo uso de testadores de penetração experientes, nunca pode ser completamente eliminado.
Metodologias
O Open Source Manual de Segurança Metodologia de Testes é uma metodologia de análise pericial para a realização de testes de segurança e métricas. Os casos de teste OSSTMM são divididas em cinco canais que coletivamente teste: informação e controles de dados, pessoal de níveis de conscientização de segurança, fraudes e engenharia social, níveis de controle, computadores e redes de telecomunicações , dispositivos sem fio, dispositivos móveis, físicos de segurança controles de acesso, processos de segurança e locais físicos, como edifícios, perímetros, e bases militares.
O OSSTMM incide sobre os detalhes técnicos de exatamente quais itens precisam ser testados, o que fazer antes, durante e após um teste de segurança, e como medir os resultados. OSSTMM também é conhecido por suas Rules of Engagement , que definem tanto para o testador eo cliente como o teste precisa para executar corretamente a partir de negar publicidade falsa de testadores para a forma como o cliente pode esperar receber o relatório. Novos testes para as melhores práticas internacionais, leis, regulamentos, e as preocupações éticas são adicionados regularmente e atualizados.
O Instituto Nacional de Padrões e Tecnologia (NIST) discute testes de penetração na SP800-115. metodologia NIST é menos abrangente do que o OSSTMM, no entanto, é mais provável de ser aceita pelos órgãos reguladores. Por esta razão, NIST refere-se ao OSSTMM.
A Information Systems Security Assessment Framework (ISSAF) é um quadro estruturado revisada por pares do Open Grupo de Segurança de Sistemas de Informação que classifica de informações, avaliação de segurança do sistema em vários domínios e detalhes critérios específicos de avaliação ou teste para cada um desses domínios. Seu objetivo é fornecer insumos de campo sobre a avaliação de segurança que refletem cenários da vida real. O ISSAF deve ser utilizada principalmente para cumprir as exigências de uma organização de avaliação de segurança e pode ainda ser usado como referência para atender às necessidades de segurança outras informações. Ele inclui a faceta crucial de processos de segurança, e sua avaliação e endurecimento para obter uma imagem completa das vulnerabilidades que possam existir. O ISSAF, no entanto, ainda está em sua infância.
Normas e certificação
O processo de realização de um teste de penetração pode revelar informações confidenciais sobre uma organização. É por esta razão que a maioria das empresas de segurança estão se esforçando para mostrar que eles não empregam ex- black hat hackers , e que todos os funcionários aderem a um estrito código ético. Existem várias certificações profissionais e governamentais, que indicam a confiabilidade da empresa e de conformidade com as melhores práticas da indústria.
O esquema de Tiger não é um esquema de lucro que oferece três certificações: Tester Segurança Associado (AST), Membro da Equipe de Segurança Qualificado (QSTM) e Tester de Segurança Sênior (SST). A SST é tecnicamente equivalente a CONFIRA Team Leader e QSTM é tecnicamente equivalente à certificação Membros na verificação Team. Esquema Tiger certifica o indivíduo, não a empresa. O esquema de Tiger também oferece certificação para profissional de informática forense, relativo à Readiness Forense, Cena de Crime de Gestão, Practitioner Forense e Analista de Software Malicioso. O esquema de Tiger é o único esquema no Reino Unido que tem todos os seus credenciados e avaliações de qualidade auditados pela Universidade de Glamorgan .
O Information Assurance Certification Review Board (IACRB) gere uma certificação de testes de penetração conhecido como o Tester Certified Penetração (CPT). A CPT exige que o candidato exame de passar por um exame tradicional escolha múltipla, bem como passar por um exame prático, que requer que o candidato realizar um teste de penetração contra servidores em um ambiente de máquina virtual.
SANS fornece uma ampla gama de computador arena de treinamento de segurança levando a uma série de qualificações SANS. Em 1999, fundou SANS GIAC, a Certificação Global Information Assurance, que segundo a SANS foi realizada por mais de 20.000 membros até à data. [9] Duas das certificações GIAC são testes de penetração específico: o testador Penetração GIAC Certified (GPEN); eo GIAC Web Application Penetração Tester certificação (GWAPT).
Segurança ofensiva oferece uma certificação Ethical Hacking ( Ofensiva de Segurança Certified Professional ) - uma formação spin off da distribuição Testes de Penetração BackTrack. O OSCP é uma vida real certificação de testes de penetração, exigindo titulares para atacar com sucesso e penetrar várias máquinas ao vivo em um ambiente de laboratório seguro. Após a conclusão do curso, os alunos tornam-se elegíveis para tomar um desafio de certificação, que deve ser concluído no prazo de vinte e quatro horas. A documentação deve incluir os procedimentos utilizados e da prova de penetração bem-sucedida, incluindo arquivos de marcadores especiais.
Apoiada pelo governo testes também existe em os EUA com os padrões, como o NSA Metodologia de Avaliação Infra-estrutura (IEM).
Para aplicações web, o Open Web Application Security Project (OWASP) fornece um quadro de recomendações que podem ser usados como referência.
O Conselho de Segurança Registrados Testers éticos (CREST) oferece três certificações:. do testador CREST Registrado e dois CREST qualificações Tester Certified, um para infra-estrutura e uma para testes de aplicativos
O Conselho Internacional de E-Commerce consultores certifica indivíduos em habilidades de segurança diversos e-business e de informação. Estes incluem o Certified Ethical Hacker é claro, Computer Hacking Forensics Investigator programa, programa Tester Licenciado Penetração e vários outros programas, que são amplamente disponíveis em todo o mundo.
A organização mile2 certifica indivíduos em segurança da informação, especialmente em testes de penetração, oferecendo um engenheiro de testes Certified Penetração (CPTE) certificado. Recentemente, Kevin Henry, que foi o autor material oficial para ambos ISC2 e ISACA, escreveu a mais nova edição que foi publicado pela ITGovernance.
Web testes de penetração aplicação
Web testes de penetração pedido se refere a um conjunto de serviços utilizados para detectar vários problemas de segurança com aplicações web e identificar as vulnerabilidades e riscos, incluindo:
Vulnerabilidades conhecidas em COTS aplicações
Vulnerabilidades técnicas: URL manipulação, injeção de SQL , cross-site scripting autenticação, back-end, a senha na memória, seqüestro de sessão , buffer overflow , configuração de servidor web, gerenciamento de credenciais, Clickjacking , etc,
De lógica de negócio erros: Dia-a-dia de análise de ameaças, logins, modificação de informações pessoais, lista de preços modificação, transferência de fundos não-autorizado, quebra de confiança do cliente etc
OWASP , o Projeto Open Web Application Security, uma fonte aberta de aplicativos web do projeto de documentação de segurança, produziu documentos como o Guia OWASP e do OWASP Top amplamente adotado 10 documento consciência.
O Firefox é um navegador web popular aplicação da ferramenta de teste de penetração, com muitos plugins projetado especificamente para a web de teste de penetração aplicação.
OWASP-Quadro de Segurança Mantra é uma fonte livre e aberta kit de ferramentas de segurança com uma coleção de hacking ferramentas, add-ons e scripts baseados em Firefox destinado a testadores de penetração, desenvolvedores de aplicações web e profissionais de segurança, etc
Foundstone do Banco Hacme simula uma aplicação bancária. Ele ajuda os desenvolvedores e auditores praticar ataques de aplicações web, incluindo falhas de validação de entrada, como SQL Injection e Cross Site Scripting (XSS).
Comment