What is Penetration Testing?

ペネトレーションテストは、倫理的なハッカーが実際の攻撃者が使用するのと同じツール、手法、手順の多くを使用する、組織に対するシミュレートされた攻撃です。 ペネトレーションテスト担当者は、実際の脅威による攻撃をシミュレートすることで、組織のシステムの脆弱性を特定し、セキュリティソリューションとインシデント対応者の有効性を評価できます。 評価の結果は、企業の改善に使用できます サイバーセキュリティ 脆弱性にパッチを適用し、セキュリティギャップを埋め、 インシデント レスポンス プロセス。

詳細はこちら

What is Penetration Testing?

ペネトレーションテストの重要性

ペネトレーションテストは、組織に対する実際の脅威をシミュレートするように設計されています。 そうすることで、次のような複数の利点があります。

  • リスクディスカバリー: ペネトレーションテスト担当者は、テストの目標を達成するために、組織のシステムの脆弱性を特定して悪用しようとします。 そうすることで、組織が対処できるセキュリティギャップを可視化できます。
  • 脆弱性のトリアージ: ペネトレーションテストでは、実際の脅威をシミュレートすることで、攻撃者が攻撃で悪用する可能性が最も高い脆弱性を特定します。 これらのセキュリティギャップを埋めることで、組織はサイバーセキュリティのリスクを劇的に軽減できます。

プロセス評価: ペネトレーションテストは、現実的でありながらリスクのない環境でインシデント対応プロセスをテストする機会を提供します。 これにより、実際の攻撃でテストされる前に、既存のプロセスがどの程度うまく機能しているかを評価し、改善することができます。

ペネトレーションテストと脆弱性スキャンの違い

ペネトレーションテストと 脆弱性スキャン どちらも、脆弱性やその他のセキュリティ上の問題を特定することを目的としています。 ただし、手法と検出できる問題の種類は大きく異なります。

ペネトレーションテストとは異なり、脆弱性スキャンは自動化されたツールを使用して実行されます。 これらのツールには、CVEや脆弱性などの既知の攻撃のシグネチャのデータベースが含まれており、OWASP Top 10リストに含まれています。 このツールは、ターゲットシステムにこれらの脆弱性が含まれている可能性があるかどうかを評価し、検出されたすべての脆弱性とその深刻度を説明する自動レポートを生成します。

ペネトレーションテストは、脆弱性スキャンよりも組織の脆弱性に関する深い洞察を提供します。 脆弱性スキャンは組織の攻撃対象領域におけるセキュリティ上の問題を特定しますが、ペネトレーションテストでは、これらの脆弱性を悪用して組み合わせ、より深いアクセスを取得します。

脆弱性スキャンは、多くの場合、ペネトレーションテストの一部であり、簡単にぶら下がっている成果と、ペネトレーションテスターが評価を開始できる可能性のある場所を特定します。 ただし、侵入テストはより深く掘り下げているため、さまざまな脆弱性の影響をよりよく理解し、誤検知を排除するのに役立ちます。

ペネトレーションテストを実行する3つの方法

ペネトレーションテストは、さまざまなツールや手法を使用して、特定のシステムのセキュリティを評価するために、さまざまな方法で実行できます。 ただし、すべてのペネトレーションテストは、一般的に3つの主要なカテゴリに分類できます。

  • ブラックボックス: ブラックボックス評価では、ペネトレーションテストは、ターゲット環境に関する知識やアクセスがない状態で開始されます。 これは、攻撃者が独自の調査と偵察を行う必要がある脅威をシミュレートします。 これは、組織が外部の脅威から直面するリスクの最も現実的な評価を提供しますが、他の方法よりもはるかに時間がかかる場合があります。
  • グレーボックス: グレーボックス評価では、ペネトレーションテスト担当者は、ターゲット環境への限られたアクセスと知識しか提供されません。 たとえば、テスト担当者は、正規の特権のないユーザー アカウントと、平均的な従業員と同様の企業ネットワークの理解から始めることができます。 このタイプのテストは、内部脅威や、外部の脅威アクターがフィッシング、侵害された資格情報、または同様の手段を介して初期アクセスを獲得した攻撃をより正確にシミュレートします。
  • ホワイトボックス: ホワイトボックス評価では、ペネトレーションテスト担当者はターゲットネットワークへのフルアクセスを許可され、システムに関する完全なドキュメントと情報を持っています。 このタイプの評価は、ペネトレーション・テスターが独自の偵察を実行する必要がないため、他の形式よりも高速です。 ただし、ペネトレーションテストは、システムが実際にどのように機能するかではなく、システムがどのように機能するように設計されているかについての管理者の先入観に影響される可能性があることを意味します。

ペネトレーションテストのプロセス

ペネトレーションテストは、組織に対する実際の攻撃をリアルにシミュレートするものです。 このプロセスには、次の手順が含まれます。

  1. スコープ: この段階では、ペネトレーションテスターとクライアントは、スコープ内のシステム、許容される攻撃、攻撃の目的など、エンゲージメントのルールを定義します。
  2. Reconnaissance: この段階では、侵入テスターはターゲットに関する情報を収集し、潜在的な攻撃ベクトルを特定するために使用されます。
  3. スキャンと列挙: ペネトレーションテストでは、通常、脆弱性スキャンを使用して、ターゲット環境への初期アクセスを取得する方法を特定します。
  4. 搾取: 侵入テスト担当者は、特定された脆弱性を悪用して、ターゲットネットワーク内に足場を固めます。 次に、攻撃者は内部の脆弱性を悪用してネットワーク内を移動し、重要なシステムにフラグを立てたり、特権アカウントにアクセスしたりするなどの目的を達成します。
  5. ドキュメンテーション: この段階で、ペネトレーションテスト担当者は、評価、調査結果、および特定された問題にクライアントがどのように対処できるかを詳述したレポートを作成して提示します。
  6. 軽減策とサポート: 契約が完了すると、侵入テストチームは組織と協力して、特定されたセキュリティの問題を軽減します。

チェック・ポイントによるペネトレーション・テスト

チェック・ポイントは、業界をリードするセキュリティ・ソリューションを提供するだけでなく、ペネトレーション・テスト・サービスも提供しています。 詳細なエクスペリエンス追跡に基づく サイバー脅威 チェック・ポイントのサイバーセキュリティ・レジリエンス・テスト(CRT)は、最新のサイバー脅威に対する組織の防御の有効性を評価し、サイバーセキュリティのベストプラクティスに基づいて特定された脆弱性に対処するのに役立ちます。

チェック・ポイントの CRT サービス 又は お問い合わせ チェック・ポイントがペネトレーション・テストを通じて企業のサイバーセキュリティの向上にどのように役立つかをご覧ください。