NIST-metodologia tunkeutumistestauksessa: ominaisuudet, menetelmät, edut ja haitat

läpäisykoe

National Institute of Standards and Technology on ei-sääntelyyn kuuluva osasto Yhdysvaltain kauppaministeriössä. NIST vastaa standardien ja ohjeiden kehittämisestä, jotka edistävät Yhdysvaltojen innovaatioita ja teollisuuden kilpailukykyä. Yksi alue, jolla NIST on kehittänyt merkittävää ohjausta, on tietoturva-ala, jossa se on julkaissut useita julkaisuja mm. tunkeutumisen testaus.

Tässä viestissä tutkimme NISTin läpäisytestauksen metodologiaa ja tarkastelemme joitain ominaisuuksia, jotka tekevät siitä ainutlaatuisen.

NIST-metodologian ominaisuudet tunkeutumistestauksessa

- NIST-menetelmä penetraatiotestaukseen on kattava ja kattaa kaikki testiprosessin osa-alueet. Tämä vaiheittainen opas sisältää ohjeet penetraatiotestin suunnitteluun, suorittamiseen ja tulosten raportoimiseen.

Yksi NIST-metodologian avainpiirteistä on keskittyminen riskinarviointiin. Tunkeutumistestin tavoitteena ei ole vain tunnistaa haavoittuvuuksia, vaan arvioida näiden haavoittuvuuksien mahdollisia vaikutuksia organisaation omaisuuteen. Tämä lähestymistapa auttaa varmistamaan, että testit suoritetaan tavalla, joka vastaa organisaation erityistarpeita ja riskejä.

NIST-lähestymistapa, kuten CIA:n kehys, painottaa voimakkaasti yhteistyötä ja yhteistyötä. Penetration Testing Execution Standard (PTES) vaatii läheistä yhteistyötä testaajan ja asiakkaan välillä koko testausprosessin ajan. Tämä on tärkeää, koska se auttaa välttämään väärinkäsityksiä testin tavoitteista ja siitä, mitä pitäisi tehdä testauksen aikana havaituille haavoittuvuuksille

NIST Penetration Testing Methodologies (PTES)

NIST-menetelmä penetraatiotesteille on kehitetty PTES-standardien mukaisesti, joka tarkoittaa Penetration Testing Execution Standardia. Tässä standardissa on kolme pääosaa: tekniset ohjeet, oikeudelliset näkökohdat ja viestintäkanavat.

Tekniset ohjeet tunkeutumistestin suorittamiseksi NIST-metodologian mukaisesti

Tekniset ohjeet antavat yksityiskohtaista tietoa siitä, kuinka tunkeumatesti suunnitellaan ja suoritetaan NIST-metodologian mukaisesti. Ne sisältävät vaiheita, kuten sen määrittämisen, milloin on tarkoituksenmukaista suorittaa läpäisytesti, valita oikeat työkalut ja tekniikat ja käsitellä odottamattomia löydöksiä.

Oikeudelliset näkökohdat tunkeutumistestaajaa ja asiakassuhdetta varten

PTES:n oikeudellisia näkökohtia koskevassa osiossa määritellään sekä testaajien että asiakkaiden vastuut liittyen yksityisyyteen, tietojen säilyttämiseen ja immateriaalioikeuksiin. Lisäksi se kattaa joukon parhaita käytäntöjä oikeudellisten vaikeuksien välttämiseksi tunkeutumistestin suorittamisen aikana.

Viestintäkanavat tunkeutumistestin aikana

Viestintäkanavat-osiossa määritellään kaikkien läpäisytestissä mukana olevien osapuolten roolit ja vastuut asiakkaasta testaajaan ja kolmannen osapuolen palveluntarjoajiin, joita voidaan käyttää testauksen aikana. Siinä määritellään myös standardit näiden osapuolten väliselle kommunikaatiolle, mukaan lukien vaatimukset kirjallisille raporteille, kokouspöytäkirjoille ja ongelmanseurantajärjestelmille.

PTES on olennainen resurssi kaikille penetraatiotesteihin osallistuville, ja sitä tulisi käyttää lähtökohtana tällaisen toiminnan suunnittelussa. NIST-metodologia tarjoaa myös lisäohjeita aiheista, kuten eettisen hakkeroinnin koulutuskursseista, mikä voi auttaa aloittelijoita pääsemään testaamisen alkuun nopeasti ja helposti.

NIST-läpäisytestausmenetelmien plussat ja miinukset

NIST-menetelmä penetraatiotestaukseen on hyvin kehittynyt ja kattava lähestymistapa testaukseen. Sillä on selkeitä ominaisuuksia, kuten keskittyminen riskinarviointiin ja koordinointiin. Kuitenkin, kuten kaikilla muillakin työkaluilla, sillä on sekä hyviä että huonoja puolia.

Jotkut NIST-metodologian käytön eduista ovat:

  • Se on kattava ja kattaa kaikki läpäisytestausprosessin osa-alueet.
  • Se perustuu alan parhaisiin käytäntöihin.
  • Se edistää testaajien ja asiakkaiden välistä yhteistyötä.

Huono puoli on se, että jotkut ihmiset saattavat kokea teknisten ohjeiden yksityiskohtaisuuden ylivoimaiseksi. Lisäksi, koska NIST-metodologia perustuu standardeihin, kuten PTES, se voi olla monimutkaisempi kuin vaihtoehtoiset lähestymistavat.

Muut läpäisytestauksen menetelmät

Läpäisytestauksen NIST-metodologian lisäksi on olemassa useita muita suosittuja lähestymistapoja, joita voidaan käyttää. Jotkut näistä menetelmistä sisältävät:

  • Open Source Security Testing Methodology Manual (OSSTMM), joka korostaa laaja-alaista lähestymistapaa arviointiin ja keskittyy verkkohyökkäyksiin
  • Web Application Security Consortiumin Threat Classification (WASC TC) -malli, joka tarjoaa ohjeita verkkosovellusuhkien ja haavoittuvuuksien tunnistamiseen.
  • Kansainvälisen standardointijärjestön/International Electrotechnical Commissionin ISO/IEC 27037 -standardin mukainen ohjeasiakirja digitaalisista tutkimuksista ja tapahtumien reagoinnista, joka sisältää suosituksia, jotka liittyvät penetraatiotestaukseen sekä tiedonkeruuprosesseihin, kuten avoimen lähdekoodin tiedustelutietojen keräämiseen (OSINT).
  • National Institute of Standards and Technologyn (NIST) Special Publication (SP) 800-115, Guide to Penetration Testing, on perusteellinen opas, jossa käsitellään yksityiskohtaisesti penetraatiotestin suunnittelua ja suorittamista NIST-protokollan mukaisesti.

Yhteenveto

Kaiken kaikkiaan NIST-metodologia on monipuolinen ja kattava lähestymistapa läpäisytestaukseen, joka voi auttaa kaikenkokoisia organisaatioita arvioimaan tietoturva-asentoaan ja tunnistamaan mahdollisia haavoittuvuuksia. Sitä tulisi käyttää yhdessä muiden resurssien, kuten PTES:n, kanssa sen varmistamiseksi, että testit suoritetaan tavalla, joka vastaa organisaation erityistarpeita.