侵入テストでは、企業のセキュリティインフラストラクチャに対して 計画された攻撃をスケーリングする倫理的なハッカーが関与し、修正が必要なセキュリティの脆弱性を探し出します。侵入テストは、総合的なWebアプリケーションセキュリティ戦略の一部です。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
侵入テスト(またはペンテスト)は、サイバーセキュリティの専門家がコンピューターシステムの脆弱性を見つけて悪用しようとするセキュリティ演習です。このシミュレートされた攻撃の目的は、攻撃者が利用できるシステムの防御の弱点を特定することです。
これは、強盗の格好をして、建物に侵入して金庫にアクセスしようとする銀行を雇うようなものです。「強盗」が成功し、銀行や金庫に侵入した場合、銀行はセキュリティ対策を強化するために必要な情報を得ることができます。
システムを構築した開発者が見逃した盲点を発見できる可能性があるため、システムのセキュリティ保護方法についてほとんど事前知識のない人が侵入テストを実施することをお勧めします。このため、通常、外部の請負業者がテストを実施するために持ち込まれます。これらの請負業者は、許可を得てセキュリティを強化する目的でシステムにハッキングするために雇われているため、「倫理的ハッカー」と呼ばれることがよくあります。
多くの倫理的ハッカーは、高度な学位と侵入テストの認定を受けた経験豊富な開発者です。一方、最高の倫理的ハッカーの一部は独学者です。実際、改革された犯罪ハッカーの中には、セキュリティの欠陥を悪用するのではなく修正するために専門知識を活用している人もいます。侵入テストを実施するのに最適な候補者は、対象企業と開始する侵入テストのタイプによって大きく異なります。
侵入テストは偵察の段階から始まり、この段階では、倫理的ハッカーは、シミュレートされた攻撃の計画に使用するデータと情報の収集に時間を費やします。その後、焦点は標的のシステムへのアクセスの獲得と維持になります。これには幅広い種類のツールが必要です。
攻撃用のツールには、総当たり攻撃またはSQLインジェクションを生成するように設計されたソフトウェアが含まれます。ハッカーにネットワークへのリモートアクセスを提供するためにネットワーク上のコンピューターに接続できる小さな目立たないボックスなど、侵入テスト専用に設計されたハードウェアもあります。さらに、倫理的ハッカーはソーシャルエンジニアリング手法を使用して脆弱性を見つけることができます。たとえば、会社の従業員にフィッシングメールを送信したり、配達人を装って建物に物理的にアクセスしたりすることもあります。
ハッカーはトラックを覆うことでテストを終了します。これは、組み込みハードウェアを取り外して、検出を回避し、標的のシステムを正確に見つけたままにするためにできる限り他のことを行うことを意味します。
侵入テストの完了後、倫理的ハッカーは調査結果を標的の企業のセキュリティチームと共有します。その後、この情報を使用してセキュリティアップグレードを実装し、テスト中に発見された脆弱性を補います。これらのアップグレードには、レート制限、新しいWAFルール、DDoS軽減、およびより厳密なフォーム検証とサニタイズを含めることができます。