Из-за быстрых темпов развития в области информации и технологий, история успеха тестирования на проникновение является сравнительно недолгой. Поскольку требуется большая защита систем, чаще, чем нужно, проводить тестирование на проникновение, чтобы уменьшить вероятность успешной атаки до уровня, который ценится компанией.
Ниже приведены основные ограничения тестирования на проникновение —
-
Ограничение времени — Как все мы знаем, тестирование на проникновение вовсе не является ограниченным по времени упражнением; тем не менее, эксперты по тестированию на проникновение выделили фиксированное количество времени для каждого теста. С другой стороны, у злоумышленников нет временных ограничений, они планируют это через неделю, месяц или даже годы.
-
Ограничение области действия. Многие организации не все тестируют из-за собственных ограничений, включая ограничения ресурсов, ограничения безопасности, ограничения бюджета и т. Д. Аналогично, тестер имеет ограниченную область применения, и ему приходится покидать многие части систем, которые могут быть гораздо более уязвимым и может стать идеальной нишей для атакующего.
-
Ограничение доступа — Чаще тестировщики имеют ограниченный доступ к целевой среде. Например, если компания провела тест на проникновение в свои системы DMZ из всех своих интернет-сетей, но что, если злоумышленники атакуют через обычный интернет-шлюз.
-
Ограничение методов — есть вероятность, что целевая система может потерпеть крах во время теста на проникновение, поэтому некоторые из определенных методов атаки могут быть отключены для профессионального тестера на проникновение. Например, создание потока отказа в обслуживании, чтобы отвлечь системного или сетевого администратора от другого метода атаки, обычно идеальная тактика для действительно плохого парня, но для большинства профессиональных тестировщиков проникновения он, вероятно, выйдет за пределы правил взаимодействия. ,
-
Ограничение наборов навыков тестера на проникновение — Как правило, профессиональные тестеры на проникновение ограничены, так как они имеют ограниченные навыки, независимо от их опыта и прошлого опыта. Большинство из них сосредоточены на конкретной технологии и имеют редкие знания в других областях.
-
Ограничение известных эксплойтов. Многие тестеры знают только о тех эксплойтах, которые являются публичными. На самом деле их творческая сила не так развита, как у злоумышленников. Злоумышленники, как правило, думают гораздо дальше, чем думают тестировщики, и обнаруживают недостатки в атаке.
-
Ограничение эксперимента. Большинство тестировщиков ограничены по времени и следуют инструкциям, уже предоставленным им их организацией или пожилыми людьми. Они не пробуют что-то новое. Они не думают за пределами данных инструкций. С другой стороны, злоумышленники могут свободно думать, экспериментировать и создавать новые пути для атаки.
Ограничение времени — Как все мы знаем, тестирование на проникновение вовсе не является ограниченным по времени упражнением; тем не менее, эксперты по тестированию на проникновение выделили фиксированное количество времени для каждого теста. С другой стороны, у злоумышленников нет временных ограничений, они планируют это через неделю, месяц или даже годы.
Ограничение области действия. Многие организации не все тестируют из-за собственных ограничений, включая ограничения ресурсов, ограничения безопасности, ограничения бюджета и т. Д. Аналогично, тестер имеет ограниченную область применения, и ему приходится покидать многие части систем, которые могут быть гораздо более уязвимым и может стать идеальной нишей для атакующего.
Ограничение доступа — Чаще тестировщики имеют ограниченный доступ к целевой среде. Например, если компания провела тест на проникновение в свои системы DMZ из всех своих интернет-сетей, но что, если злоумышленники атакуют через обычный интернет-шлюз.
Ограничение методов — есть вероятность, что целевая система может потерпеть крах во время теста на проникновение, поэтому некоторые из определенных методов атаки могут быть отключены для профессионального тестера на проникновение. Например, создание потока отказа в обслуживании, чтобы отвлечь системного или сетевого администратора от другого метода атаки, обычно идеальная тактика для действительно плохого парня, но для большинства профессиональных тестировщиков проникновения он, вероятно, выйдет за пределы правил взаимодействия. ,
Ограничение наборов навыков тестера на проникновение — Как правило, профессиональные тестеры на проникновение ограничены, так как они имеют ограниченные навыки, независимо от их опыта и прошлого опыта. Большинство из них сосредоточены на конкретной технологии и имеют редкие знания в других областях.
Ограничение известных эксплойтов. Многие тестеры знают только о тех эксплойтах, которые являются публичными. На самом деле их творческая сила не так развита, как у злоумышленников. Злоумышленники, как правило, думают гораздо дальше, чем думают тестировщики, и обнаруживают недостатки в атаке.
Ограничение эксперимента. Большинство тестировщиков ограничены по времени и следуют инструкциям, уже предоставленным им их организацией или пожилыми людьми. Они не пробуют что-то новое. Они не думают за пределами данных инструкций. С другой стороны, злоумышленники могут свободно думать, экспериментировать и создавать новые пути для атаки.
Более того, тестирование на проникновение не может заменить обычные тесты ИТ-безопасности и не может заменить общую политику безопасности, а тестирование на проникновение дополняет установленные процедуры проверки и обнаруживает новые угрозы.