侵入テストまたはペンテストと呼ばれる情報セキュリティサービスは、基本的にわが国(ウズベキスタン)にはありません。適切なレベルとトレーニングの専門家はいません。 侵入テストの専門家がどのように働いているのかを理解することは私にとって非常に興味深いものであり、攻撃的セキュリティはこのスキルを教える分野で世界のリーダーとして認められているという事実を考慮すると、このトレーニングの選択は理想的な選択肢でした。
この記事では、最高レベルの情報セキュリティ専門家の世界に触れた経験と、これから学んだ教訓を共有したいと思います。 順番に行こう-Offensive Securityとの合意によって許可されているコースの一部として説明します。 それは独立した学習のために学生に提供されるビデオ形式の資料とpdf形式の書面で構成されます。 しかし、コース全体の魅力はそれではありません。 すべての楽しみは、潜在的な顧客の企業ネットワークとして組織されている多数の仮想マシンの脆弱性をチェックすることを提案する実験室で始まります。
リスナーに攻撃的セキュリティのコースを提供するもの
開示が禁止されているコース資料と実験室の作業の技術的な詳細に進むことなく、各学生が遭遇する次の点を強調したいと思います。
1.すべてのトレーニングで飽和しているコースの主なモットー-「より強くお試しください」またはロシア語に翻訳-「より強くお試しください」。 トレーニング中に学んだ私の主な教訓は、ターゲットコンピューター上のすべての可能なソフトウェアを調査し、何をどのように機能させるべきか、何をどのように実際に機能させるかを分析する必要があることです。 動作中のサーバーまたはユーザーコンピューターの調査は、侵入テストの成功の基本です。 この作業には数時間から数日かかることもありますが、適切に行わないと、失敗する可能性が高くなります。 Pentesterの成功を可能にするのは、忍耐、忍耐、および好奇心です。
2.その過程で、情報システムのセキュリティの研究の専門家は、多くの異なるフレームワーク、プログラミング言語、オペレーティングシステム、ソフトウェアの種類に対処する必要があります。 ITの現代の世界は非常に大きく多様であるため、1人ですべてを知ることはできません。 多くの場合、システムのセキュリティをテストするスペシャリストは、脆弱性を理解するために、新しいシステムに関する深刻な調査作業を行わなければなりません。 多くの点で、この作業は研究および研究における研究者の作業に似ています。 その結果、何らかの形でシステムの侵害につながるソフトウェアシステムの弱点を見つけます。 このコースでは、新しいソフトウェアシステム、その分析、脆弱性の特定に常に精通する準備ができていることを学びます。
3.テストのスペシャリストの作業を実施するための即時ツールの知識、およびアプリケーションのスキルの洗練は、学生が受ける最も有用なものの1つです。 情報セキュリティ研究の分野でのタスクは、必要なツールとユーティリティの知識がなければ解決できないことがよくあります。 Metasploit、NMAP、SQLmapなどのソフトウェアシステムを使用すると、毎回車輪を再発明することなく、情報セキュリティ研究者の標準的なタスクを解決するためのプログラムコードを作成することなく、大量のペンテスタールーチン作業を自動化できます。 Kali Linuxディストリビューションでペンテスト作業を実行するためのソフトウェアユーティリティは多数あります。それぞれがどのように機能するかを暗記することはおそらくあまり意味がありませんが、基本的なユーティリティを使用するための基本的なスキルは、さまざまな情報システムの高品質なテストを行うために自信を持って習得する必要があります。
4.コースで最も興味深く重要なのは、多数の仮想マシンを備えたテストラボ環境です。各仮想マシンには特定の脆弱性があり、学生は特定のスキルを磨いてコンピューターやサーバーに侵入できます。 各マシンに侵入する難易度は、よく知られたエクスプロイトのおかげで従う非常に単純なものとは異なり、潜在的に問題のあるアプリケーションを見つけ、既存のエクスプロイトを変更し、アプリケーションの内部メカニズムを特定するために多くの知的作業を行う必要があるものとは非常に異なりますおよびオペレーティングシステム。 実験室での作業では、クライアントとサーバーの両方の幅広いオペレーティングシステム、およびそれらが使用する多種多様なアプリケーションとプログラミング言語を紹介します。
コース準備
コースが完了した後、予備的な期待と何が起こったかを比較して、実際に次のように言うことができます。 第一に、私の予備的な見積もりによると、コースを完了するのに約100時間が必要でした。 しかし、実際には、このコースに費やした時間は何倍も長くなりました。 コースの総時間は約300時間だったと思います。 情報技術の専門知識はかなり高いレベルであると評価しています。オペレーティングシステムとサーバーアプリケーションの両方、およびネットワークテクノロジーについての十分な知識と、さまざまなプログラミング言語でプログラムを書く基本的な知識とスキルを持っています。 しかし、それ以前は、侵入テストの分野で深刻な経験や知識を持っていませんでした。 そして、このコースは私にとって真の挑戦でした。特定のスキルと革新的な思考が必要です。 多くの場合、これまたはそのタスクは複雑でしたが、熟考に時間がかかり、インターネット検索エンジンの使用が増加しました。 侵入テストの分野の既存の専門家にとっては、このコースは簡単に思えるでしょう。 これは本質的に情報セキュリティのこの領域の紹介であり、専門的にこれを行いたい人のための試験の基礎となります。 将来、スキルが発達するにつれて、脆弱性を正しく見つけてエクスプロイトを使用する方法だけでなく、自分でエクスプロイトを作成する方法に関するスキルを高めることができます。
このコースを受講する予定であるが、ペンテストの豊富な経験がない人に伝えたいことは、財政上余裕のある最大日数のコースを予約することです。 自由時間はすべてこのコースの修了に費やされるという事実に備えてください。 職場、自宅、休暇中、研究室の1台のコンピューターまたは別のコンピューターにアクセスする方法を夢見ながら、コースを受講します。 おそらく、あなたの愛する人は、あなたがコースで忙しくなり、あなたがこれに備える必要がある時間の間、あなたを「失う」でしょう。 何らかの理由で、コースを完了するのに十分な時間を割り当てる準備ができていない場合は、延期してお金を捨てない方が良いでしょう。
私の同僚の1人が、顧客に対して高速な侵入テストを実行できるかどうかを尋ねました。これにより、時間はかからず、セキュリティの問題をすばやく特定できます。 組織の顧客がITインフラストラクチャを整理する分野で同じではない場合、ペンテストの新しい作業は多くの点で新しい研究を表し、その実装にはかなりの時間を必要とすることは明らかです。 ネットワークの真剣な準備と綿密な調査なしでは、ITインフラストラクチャのセキュリティにおける実際の問題を特定することはできません。
安全に関する考えは実際に伝えます
その過程で、またコースが終了した後、仕事や生活で使用するために、将来、自分にとって有益なものを自分にもたらすことができるかについて、多くの考えが頭の中にありました。 次のことに特に注意を払いたいと思います。
1.教材を学習する際に最初に考えることは、ウイルス対策ソフトウェアとパーソナルコンピューターのパーソナルファイアウォールです。 たとえ職場を完全に保護していなくても、少なくともコンピューターからデータを盗もうとする攻撃者のタスクははるかに困難になります。 インターネットから一般にアクセス可能なデータの助けを借りてハッキングされたコンピューターの数-このコースでは、オペレーティングシステム自体の脆弱性とリモートコンピューターからインストールされたソフトウェアの脆弱性、およびインターネットブラウザーの脆弱性を使用できるさまざまな手法を示しますネットワーク上のさまざまなWebコンテンツを表示しているときに、攻撃者が知らないうちにコンピュータに侵入する能力。
侵入手法は非常に多様であり、脆弱性は毎日さまざまな形で現れているため、パーソナルコンピューターのセキュリティを確保することは容認できない贅沢になります。
特定の製品を宣伝したくありませんが、もう1度結論を出しました。コンピューターにウイルス対策ソフトウェアが必要であり、常に更新する必要があります。 もちろん、誰もが信頼するウイルス対策ソフトウェアの種類を選択する必要があります。
2.ネットワークの保護を構築する際に最も重要な2番目のこと、そしてコースが再びあなたを納得させることは、ITインフラストラクチャのすべてのソフトウェアコンポーネントの定期的な更新の必要性です。 既知の脆弱性のほとんど、およびさらに既知のエクスプロイトは、更新されていないか、不規則に更新されているソフトウェアにのみ存在します。 ネットワークとシステムの両方の管理者の主なタスクは、監視対象のすべてのサーバー、コンピューター、ネットワークデバイスなどに、特に重要なセキュリティ関連の更新をインストールすることです。 これらの簡単なアクションを実行することによってのみ、侵入者が企業ネットワークに侵入するリスクを軽減し、部外者がアクセスしにくくすることができます。
3.侵入テストを行うには、このビジネスをめちゃくちゃ愛する必要があります。 時々、またはスティックの下からこれを行うことはできません。 作業の大部分は、元々はペンテスターが理解し解決しなければならない形式化されていないタスクです。 多くの場合、脆弱性を検索するための既製のパスやレシピはありません。各サーバー、各仮想マシンには独自の特性があり、既製のエクスプロイトの作業を妨害することがよくあります。 しかし、エクスプロイトを使用する前に、特定のアプリケーションの脆弱性を見つけ、これらのアプリケーションがどのように機能し、弱点がどこにあるかを理解する必要があります。 前述のように、Pentesterツールを使用する際の研ぎ澄まされたスキルと、テスト方法論の明確な理解により、このプロセスがより透明で実装しやすくなります。 しかし、これらのスキルと知識を考慮に入れても、ペンテスターには、新たな問題を解決するための非自明なアプローチと、彼らの仕事を論理的な結論に導くための勤勉さと努力が必要です。 ペンテスターの作業の記述されたプロセス全体は、作業中の膨大な時間の投資に変換されます。 ペンテスターの仕事は医師の職業と比較することができます-あなたは広範な理論的基礎と知識に加えて、献身と忍耐が必要です。
まとめ
書かれたすべてを要約して、情報セキュリティサービスの複合体での侵入テストについて簡単に要約し、インフラストラクチャのそのような調査を行う必要があるかどうかを説明します。 サービスとしてのPentestを使用すると、ネットワーク、サーバー、アプリケーション、およびサイバー犯罪者によって悪用され、データの損失または変更につながる可能性のあるさまざまなITサービスの運用における脆弱性を特定できます。 テスト自体は、それを実施する人々、専門知識、スキルに大きく依存します。 参加しているペンテスターの理論的および実用的知識が高ければ高いほど、結果は良くなります。 このような作業を実行する必要性は、主に、情報、ITシステムの作業、および組織の管理のためのITインフラストラクチャ全体の重要性に依存します。 内部のITインフラストラクチャのセキュリティが組織に必要ではなく、障害発生時のサービスの復旧時間が非常に長くなる可能性がある場合は、間違いなくペンテストを実施する必要はありません。 ペンテストは、組織の情報セキュリティのレンガの1つとして機能し、技術的な観点から、組織のシステムのセキュリティの実際の監査を実施し、強化する必要がある場所と対処する必要がある場所を特定できます。 紙面と言葉で言えば、組織の防御は問題ないかもしれませんが、実際には物事はそれほどバラ色ではなく、管理者の忘却やプログラマーの過失は、しばしば大きなセキュリティホールにつながる可能性があります。 ペンテストにより、組織の長は、情報保護システムが正しく構築され、意図したとおりに機能することを確認できるように思われます。