多くの人は、セキュリティ テストはペネトレーション テストだと思っていますが、実際には、この 2 つにはまだ多くの違いがあります。通常、ペネトレーション テストとは、誰かがセキュリティを行うようにあなたを招待することを意味しますが、セキュリティ テストは、セキュリティを行う必要があることを規定しています。通常、ペネトレーションテストは社内でセキュリティ検査を実施するために外部の協力を必要としますが、セキュリティテストは隠れた危険を解決し、セキュリティリスクを軽減するために社内から開始されます。
見方も違います.ペネトレーションテストはどちらかというと攻撃方法です.攻撃は盲目だったり仮だったりするかもしれません.しかし,セキュリティテストに関しては,ソースコードを見ることができるので,どこに問題があるのか を知っています.修正を加えてください. .
侵入テストは、カバー率の違いという観点から、一部の境界サーバーまたは境界ネットワークのみを選択して侵入し、さらにイントラネットまたはコアネットワーク、コアサーバーへと対象をレベル分けする必要があります。次のレベルに到達するための目標。しかし、セキュリティ テストはコア データ、データベース サーバー、ファイル ストレージ サーバー、およびコア スイッチの内部からのものであり、これらのコアの場所からセキュリティを確保するためにゆっくりと推測します。まず、コアデータに問題がないこと、次にアプリケーションに問題がないこと、アプリケーションとデータ間の通信に問題がないこと、ユーザーがアプリケーションにアクセスするときに問題がないこと、そして最後に、アプリケーションにアクセスするこれらの人々の安全を確保する必要があります。
セキュリティ テストは内部からのセキュリティの一種であり、侵入テストは外部からのセキュリティであり、ヒューリスティックな方法です。しかし、私たちのセキュリティは根本から解決する必要があり、さらに重要なこととして、セキュリティの抜け穴を実用的で運用可能なレベルから直接ブロックする必要があります。ソリューションとコストの点でも大きな違いがあります. 侵入テストは多額の費用がかかり、結果はそれほど重要ではないかもしれませんが、セキュリティテストは、これらのセキュリティチェックを行う限り、結果は同等です. これらのチェックの後、そのような問題はないはずです。
結論は:
開始点の違い:侵入テストは、システムへの侵入に成功し、システムにセキュリティ上の問題があることを証明することに基づいていますが、セキュリティ テストは、システムで考えられるすべてのセキュリティ リスクを発見することに基づいています。
視点の違い:侵入テストは攻撃者の視点から問題を見て考えますが、セキュリティ テストは防御者の視点から問題を考え、攻撃者によって悪用される可能性のあるすべてのセキュリティ リスクを見つけて、それらを修正するように導きます。
カバレッジの違い:侵入テストは、テスト対象としていくつかのポイントを選択するだけですが、セキュリティ テストは、システム アーキテクチャを分析し、システムのすべての可能な攻撃面を見つけた後の完全なテストです。
コストの違い:セキュリティテストは、システムの機能、システムで使用されているテクノロジー、システムのアーキテクチャを分析する必要があるため、侵入テストよりも多くの時間と人手が必要です。
ソリューションの違い:ペネトレーション テストでは的を絞ったソリューションを提供できませんが、セキュリティ テストでは開発者の観点から問題の原因を分析し、より効果的なソリューションを提供します。