Menu

Kwetsbaarheidsbeoordeling en penetratietesten Verschil

  • Hoofd
  • Andere
  • Kwetsbaarheidsbeoordeling en penetratietesten Verschil

vulnerability assessment

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Penetratietest versus kwetsbaarheidsscanning:

Soms heb ik gezien dat testers en bedrijfseigenaren zich vergissen om het basisidee achter penetratietest en kwetsbaarheidsscan te begrijpen.

Ze worden allebei vaak verward als dezelfde services. Wanneer het bedrijf niet kan beslissen of het voor een penetratietest of een kwetsbaarheidstest gaat. Zijn penetratietesten hetzelfde als kwetsbaarheidstesten of verschillen ze? Als ze verschillend zijn, zijn ze dan gerelateerd? Welke te kiezen - Penetratietest of kwetsbaarheidstest

In deze tutorial zullen we proberen de antwoorden op alle bovenstaande vragen te achterhalen.

Penetratietest versus kwetsbaarheidsscan

Wat je leert:

Invoering

Om te beginnen zou ik willen dat u vijf zinnen leest:

  • Bananen groeien aan een boom.
  • Een normaal mens gebruikt slechts 10% van zijn hersenen.
  • Het kraken van uw knokkels veroorzaakt op oudere leeftijd artritis.
  • Vleermuizen zijn blind.
  • Penetratietesten zijn hetzelfde als die van Kwetsbaarheidsscan.

Kun je één ding raden tussen alle bovenstaande uitspraken? Het zijn allemaal mythen. Ja dat klopt. Het zijn allemaal inderdaad mythen.

In deze tutorial van ons maken we ons echter geen zorgen over de bananen of de vleermuizen. Het enige dat ons interesseert, is dat penetratietesten worden vergeleken met de kwetsbaarheidsscan. Om meer te weten over de vergelijking of om te bewijzen dat de stelling een mythe is, zullen we eerst de penetratietesten en de Kwetsbaarheidsscan apart analyseren.

Intro penetratie testen

Een penetratietest wordt ook wel afgekort tot “pentest” genoemd. Dit soort test wordt gedaan om een ​​systeem te vinden om een ​​weg naar het systeem te vinden. Hierdoor kunnen de belangrijke gegevens die door het systeem zijn opgeslagen aan de buitenwereld worden blootgesteld.

In het algemeen kan het doel van de penetratietest zijn Type witte doos of Type zwarte doos

Black Box-penetratietesten:

Gewoonlijk krijgt de tester geen details van het systeem behalve de naam. Dit lijkt erg op echte hacks waarbij de hacker niets anders weet dan de naam van de applicatie.

Black box-tests repliceren de omstandigheden in de praktijk en zijn niet tijdrovend. Vanwege onbekende gebieden met betrekking tot broncode en infrastructuur is er echter altijd een mogelijkheid dat delen van het systeem worden overgeslagen.

White Box Penetration Testing:

In dit proces worden alle noodzakelijke gegevens met betrekking tot het systeem dat een penetratietest moet ondergaan, aan de tester verstrekt.

De gegevens kunnen netwerkarchitectuur, systeemconfiguraties, broncodes enz. Zijn. Dit is een langduriger proces dan dat van het Black Box-type Pen-testen. Dit is een grondig proces en heeft een diepere dekking in vergelijking met het Black box-type.

Pentesten worden altijd uitgevoerd met toestemming / verzoek van de opdrachtgever. Het uitvoeren van pentesten op een site zonder toestemming van de eigenaar is illegaal en kan worden aangeduid als hacken.

We weten inmiddels wat penetratietesten zijn, en het wordt tijd om de reden te weten waarom organisaties ervoor kiezen. Er wordt gezegd, het is beter om veilig te zijn dan sorry. Pentesten maken een architectuur sterker en bestand tegen aanvallen.

Kwetsbaarheidsscan Intro

Een kwetsbaarheidsscan wordt gebruikt om de kwetsbaarheden / zwakheden in een systeem te achterhalen. Deze taak wordt uitgevoerd door een toepassing (de kwetsbaarheidsscanner genoemd) op de doelcomputer uit te voeren. Deze toepassingen of scanners kunnen rechtstreeks op de doelcomputer of vanaf een netwerklocatie worden uitgevoerd.

De netwerklocatie komt in beeld voor grotere organisaties, terwijl het niet haalbaar is om de scanner altijd op de lokale computers uit te voeren.

Nu, Hoe weet u welke scanner voor uw toepassing kan werken? Het antwoord is vrij simpel. Dat wil zeggen, de kwetsbaarheidsscanners gebruiken de systeemdetails / -parameters nauwelijks tijdens het scannen.

Het enige wat ze nodig hebben is het IP-adres van het systeem. Met alleen het IP-adres kan een kwetsbaarheidsscanner de mogelijke plaatsen achterhalen waar een aanval op het systeem kan worden uitgevoerd.

Er zijn situaties waarin een bedrijf een intranet heeft en niet alle computers worden blootgesteld aan de internetwereld. In dat geval moet de kwetsbaarheidsscanner worden gedraaid vanuit het intranet waarmee het scannen op zowel interne kwetsbaarheden als externe kwetsbaarheden kan worden opgevangen.

Nadat een test / scan is voltooid, helpt de scanner bij het verkrijgen van een rapport met alle mogelijke kwetsbaarheden. Het gegenereerde rapport bevat verschillende gegevens met betrekking tot de kwetsbaarheden erin.

De gegevens variëren van, de serverstatistieken (gebaseerd op kwetsbaarheidsindex), de status van verschillende services die op verschillende servers draaien, de status van de gevonden kwetsbaarheden op basis van hun ernstniveau.

Als een rapport eenmaal is gegenereerd, moet het worden geanalyseerd om de werkelijke situatie te achterhalen. De gevonden kwetsbaarheden zijn niet altijd zo ernstig. Er kunnen gevallen zijn waarin de scanner de naam ophaalt alleen omdat de verwachte gegevens niet overeenkomen met de uitvoer. Maar dat is misschien toch geen echte kwetsbaarheid.

Dat is de reden waarom er op een kwetsbaarheidsscan rapport verder moet worden geanalyseerd of de gevonden kwetsbaarheid de juiste is of niet.

Penetratietesten versus scannen op kwetsbaarheden

We weten nu wat een penetratietestproces is en wat het scannen op kwetsbaarheden is.

Het zou leuk zijn om nu verder te gaan met een botsing tussen de twee reuzen.

Penetratietesten versus scannen op kwetsbaarheden

Voorbeeld:

We zullen een realistisch voorbeeld bekijken om het verschil tussen de twee te begrijpen.

Laten we meneer X als voorbeeld nemen. Meneer X is een overval specialist. We zullen zijn plan voor zijn volgende overval in acht nemen. Hij is van plan een bankcadeautje midden in de stad te beroven.

Het bankgebouw is omgeven door een politiebureau, een brandweerkazerne, een openbaar park (dat 's nachts gesloten blijft) en een vijver. Het bankgebouw is een gebouw van 20 verdiepingen met bovenop een helikopterplatform. Voordat hij de bank daadwerkelijk berooft, moet hij de mogelijke toegangspunten tot het bankgebouw vinden.

De zijkanten van het gebouw met een politiebureau en brandweerkazerne zijn onmogelijk te doorbreken. Ze opereren 24x7 en wie zou het aandurven om een ​​bank te beroven met Cop's hol als toegangspunt! Dan heeft meneer X nog 3 andere opties. Ja, je hebt gelijk. Hij heeft ook het dak als toegangspunt (Herinner je je Heath Ledger uit de Batman-trilogie nog?).

The Rooftop lijkt hier een vreemde keuze te zijn, aangezien het gebouw slechts 20 verdiepingen heeft en de kans om betrapt te worden door mensen om je heen erg groot is. En de Bank is het enige hoge gebouw in de omgeving. Dus dat maakt de Roof entry een grote NEE! Met de twee overgebleven opties begint meneer X het meer te analyseren als een toegangspunt.

Het meer kan een goede toegang zijn, maar de zichtbaarheid zou een punt van zorg zijn. Hoe zou iemand reageren als ze om middernacht iemand zien zwemmen, ook dat richting het Bankgebouw? De laatste optie is het openbare park.

Laten we het park in detail analyseren. Na zes uur 's avonds is het gesloten voor het publiek. Park heeft veel bomen die de nodige schaduw en ondersteuning geven voor stealth-modus. Het park heeft een grensmuur die wordt gedeeld met het Bankterrein.

Nu kunnen alle bovenstaande analyses worden gezegd als een kwetsbaarheidsscan. Een scanner doet al deze dingen. Om een ​​kwetsbare positie te vinden om binnen te komen.

Laten we teruggaan naar ons verhaal: laten we aannemen dat meneer X erin slaagt de bank binnen te gaan via het toegangspunt van het openbare park. Wat doet hij daarna? Of hij nu in de kluis breekt om het geld op te halen of de kluisjes om de waardevolle spullen te pakken.

Dit deel is de penetratietest. U krijgt de toegang en probeert het systeem te misbruiken. Je leert de diepte kennen die je kunt gaan met deze aanval.

Notitie: Er zijn geen banken overvallen tijdens het schrijven van deze tutorial. En het is ook niet aan te raden om in de voetsporen van de heer X te treden.

Ik laat u achter met de onderstaande vergelijkingstabel, zodat u meer duidelijkheid kunt krijgen over het verschil tussen de twee.

Vergelijking

Zijn kwetsbaarheidsscans en penetratietests aan elkaar gerelateerd?

Ja, Kwetsbaarheidsscan en penetratietesten zijn aan elkaar gerelateerd. Penetratietesten zijn afhankelijk van de kwetsbaarheidsscan.

Om penetratietesten te starten, wordt een volledige kwetsbaarheidsscan uitgevoerd, zodat de tester eventuele kwetsbaarheden in het systeem leert kennen en deze vervolgens misbruikt.

wat is functioneel testen met voorbeelden

Dus met de kwetsbaarheidsscan leren we de mogelijke kwetsbaarheden kennen, maar deze kwetsbaarheden zijn tot nu toe onbenut. Het zijn penetratietesten die bevestigen in welke mate de kwetsbaarheid kan worden misbruikt.

Ze kruisen elkaar ook op bepaalde punten, zoals weergegeven in de onderstaande afbeelding:

Kwetsbaarheidsbeoordeling en penetratietesten

Welke te kiezen: pentest of kwetsbaarheidsscan?

Nu ik het verschil tussen beide heb begrepen, rijst nu de vraag: welke moet je kiezen?

Welnu, het doel van de kwetsbaarheidsscan is om de zwakke punten van uw systeem te achterhalen en deze op te lossen. Terwijl het doel van penetratietesten is om uit te vinden of iemand uw systeem kan kraken en zo ja, wat is dan de diepte van de aanval en hoeveel zinvolle gegevens kunnen ze verkrijgen.

Samen kunnen kwetsbaarheidsscan en pentest u vertellen wat er in gevaar is en hoe dit kan worden verholpen. Het doel is om de algehele beveiliging van uw systeem te verbeteren. U moet tussen de twee kiezen, afhankelijk van de ernst van uw bedrijf. Als u voor een pentest gaat, dekt deze ook de kwetsbaarheidsscan.

Een pentest is echter erg duur (ongeveer $ 4.000 tot $ 20.000) en ook tijdrovend in vergelijking met een kwetsbaarheidsscan. De reden hiervoor is dat het zeer nauwkeurige en grondige resultaten oplevert en het elimineert vals-positieve kwetsbaarheden.

Ondertussen is de kwetsbaarheidsscan erg snel en veel goedkoper (bijna $ 100 per IP, per jaar, afhankelijk van de leverancier) dan een pentest. U kunt als organisatie terecht voor een kwetsbaarheidsscan op maand-, kwartaal- of zelfs wekelijkse basis. En kies jaarlijks voor een pentest.

Meest populaire tools

Enkele van de meest gebruikte tools voor het scannen van kwetsbaarheden zijn:

  • Nessus
  • Niemand
  • HEILIGE
  • OpenVAS, enz.

Veelgebruikte tools voor pentest zijn:

  • Qualys
  • Kernimpact
  • Metasploit enz.

Pentesters schrijven ook hun eigen exploitcode volgens de vereisten.

Gevolgtrekking

Uit deze tutorial realiseren we ons dat zowel de pentest als de kwetsbaarheidsscan volledig twee verschillende activiteiten zijn die worden uitgevoerd om de applicatie veiliger te maken tegen aanvallen. Ze kunnen indien nodig ook samen worden gebruikt.

Kwetsbaarheidstest identificeert de mogelijke mazen in de wet en Pen-test maakt gebruik van deze mazen om de omvang van schade / diefstal aan het licht te brengen die kan gebeuren met de bedrijfskritische informatie. Ze worden gedaan om de mazen in de wet te herstellen en mogelijke aanvallen en inbreuken op de beveiliging van het informatiesysteem te voorkomen.

Verder lezen

Aanbevolen literatuur

^