Läbistustestimine
Läbistustestimine, mida sageli tuntakse ka kui “pentestimine”, on simuleeritud küberrünnak arvutisüsteemile, võrgule või veebirakendusele, eesmärgiga testida selle kaitset ja avastada potentsiaalseid haavatavusi, mida ründaja võiks ärakasutada.
Läbistustestimise Etapid
- Planeerimine ja ulatuse määratlemine:
- Testija ja klient koostöös määratlevad testimise ulatuse, hõlmates testitavaid süsteeme, võrke ja rakendusi, ning seavad paika erireeglid ja piirangud.
- Luure:
- Testija kogub teavet sihtsüsteemide ja -võrkude, võrguarhitektuuri ning võimalike haavatavuste kohta, kasutades avalikult kättesaadavat teavet.
- Haavatavuse hindamine:
- Testija kasutab vahendeid ja tehnikaid, et tuvastada potentsiaalseid haavatavusi süsteemides ja võrkudes, sealhulgas tarkvara haavatavused, väärkonfiguratsioonid ja ebaturvalised tavad.
- Rakendamine:
- Testija püüab ära kasutada tuvastatud haavatavusi, et saada ligipääs sihtsüsteemidele ja -võrkudele.
- Rakendamise järel:
- Kui testijal on õnnestunud saada juurdepääs, püüab ta suurendada oma privileege ja pääseda ligi täiendavatele ressurssidele.
- Aruandlus:
- Testija koostab põhjaliku aruande, kirjeldades tuvastatud haavatavusi, nende ärakasutamiseks võetud meetmeid ja soovitusi nende kõrvaldamiseks.
Lähenemisviisid Läbistustestimisel
- Musta kasti testimine:
- Testijal on vähe või üldse mitte mingit teavet sihtsüsteemide kohta; tugineb avalikult kättesaadavale teabele ja oskustele.
- Halli kasti testimine:
- Testijal on mõningad teadmised sihtmärgiks olevatest süsteemidest ja võrkudest, kuid piiratud juurdepääs tundlikule teabele.
- Valge kasti testimine:
- Testijal on täielikud teadmised sihtmärgiks olevatest süsteemidest ja võrkudest, sh juurdepääs tundlikule teabele.
- Väline testimine:
- Testija simuleerib rünnakut väljastpoolt organisatsiooni võrku, sageli internetist.
- Sisemine testimine:
- Testija simuleerib rünnakut organisatsiooni võrgust, tavaliselt töötaja arvutist või seadmest.
- Sihtotstarbeline testimine:
- Testija keskendub konkreetsele süsteemile, võrgule või rakendusele, mitte kogu organisatsioonile.
Erinevused Toote- ja Arenduskeskkonna Vahel
- Mõju lõppkasutajatele:
- Tootmiskeskkonnas testimine võib mõjutada teenust ja ohustada andmeid, samas kui arenduskeskkonnas testimine ei mõjuta lõppkasutajaid.
- Testimise ulatus:
- Tootmiskeskkonnas testija juurdepääs süsteemidele on laiem, võrreldes arenduskeskkonnaga, kus keskendutakse testimisele konkreetse koodi või rakenduse piires.
- Parandamine:
- Tootmiskeskkonnas keskendutakse haavatavuste mõju leevendamisele ja kaitse tugevdamisele, arenduskeskkonnas aga haavatavuste kõrvaldamisele enne kasutuselevõttu.
- Testimisvahendid ja -meetodid:
- Tootmiskeskkonnas kasutatakse täiustatud vahendeid ja tehnikaid, arenduskeskkonnas võib keskenduda vähem invasiivsetele meetoditele.
Tulemused ja Esitlus
Läbistustesti tulemused, mis sisaldavad kokkuvõtet, üksikasjalikku aruannet, haavatavuste nimekirja, dokumentatsiooni ja parandamiskava, esitatakse kliendile, sageli koos haavatavuste demonstreerimisega.
On äärmiselt oluline järgida kõiki kohaldatavaid seadusi ja eetikanorme ning läbistustestimine peaks toimuma ainult süsteemi omaniku nõusolekul.”