ネットワーク セキュリティレベル保護システムは、国家ネットワーク セキュリティ法の要件を実装するための重要な対策の 1 つです。情報技術の急速な発展に伴い、新たなセキュリティ上の脆弱性が次々と出現し、情報システムのセキュリティリスクが増大しています。したがって、レベル保護評価プロセス中にシステム内に存在するセキュリティ リスクをタイムリーかつ正確に発見する方法が非常に緊急の必要性となっています。侵入テストは、攻撃者の思考をシミュレートし、手動または技術的に成熟したツールを使用して、テスト対象のシステムのセキュリティの包括的な評価を実行し、それによってシステム内の潜在的なセキュリティ リスクを最大限に発見します。レベル保護評価で。
1. ペネトレーションテストの概要
1.1 クラス保護評価におけるペネトレーションテストの必要性
2017 年 6 月 1 日、「中華人民共和国サイバーセキュリティ法」が正式に施行され、国内で運用されている情報システムに階層型保護システムの導入が明確に義務付けられ、階層型保護システムは国家の基本システムとなり、法レベルに引き上げられました。レベル保護の基本要件のうち、情報システムの「耐侵入」能力を明確に規定した対応する技術基準はないものの、レベル3以上に分類される情報システムについては、基本要件のセキュリティ技術レベルにおいて、システム大規模な悪意のある攻撃に対抗する能力、違法な侵入の検出と防御能力、悪意のあるコード攻撃に対する能力、セキュリティインシデントの緊急対応と監視能力について、詳細な要件が定められています。同時に、セキュリティ管理レベルでは、情報システムは運用前に第三者による公正なセキュリティテストを受けることが求められます。
上記の制約を考慮すると、テスト対象の情報システムが侵入テストを受けていない場合、レベル保護の関連要件を満たすことができません。レベル保護評価における侵入テストの実施は、一方では、テスト対象の情報システムのセキュリティ脆弱性をチェックおよび検証し、実際的な修復提案を提供しますが、他方では、レベル保護の品質を向上させるのに役立ちます。評価。
1.2 侵入テストの原則
ペネトレーション テストは、主に業界が公開した、またはテスターが習得したセキュリティ脆弱性情報に基づいており、攻撃者の考え方を採用し、ツールまたは手動の方法を使用して、ターゲットのアプリケーション、ホスト、ネットワーク、データベース、などを調べて、システムの最も脆弱な側面を発見します。リンク プロセス。侵入テストの重要な原則は、すべてのテスト活動はユーザーの明示的な書面による許可と監督の下で実施されなければならないということであり、許可された侵入テストの目的は、情報システムの脆弱性を真にかつ包括的に発見し、その可用性を検証することです。その後の侵入操作 (バックドアの埋め込みなど)。したがって、通常、情報システムに損害や損失を引き起こすことはありません。
1.3 侵入テストのプロセス
侵入テストには通常、テストの準備、情報の検出、テストの実施、レポートの作成の 4 つの段階が含まれます。
(1) テスト準備段階: 部門から書面による許可を得た後、侵入テストの実施を開始します。実施範囲、方法、ツール、時間、人員などの具体的な計画を部門に伝え、起こり得るテストのリスクを伝え、部門から承認を取得します。テストプロセス全体はユニットの監督と制御の下で行われます。
(2) 情報検出段階: 侵入テストのプロセスでは、指定されたテスト範囲に従って情報システムに関連する情報が収集され、商用またはオープンソースのセキュリティ評価ツールを使用して、検出されたポート、サービス、IP が収集されます。 、DNS、OS 次のテスト実施フェーズをサポートするための情報が整理されます。
(3) テスト実施フェーズ: ペネトレーションテスターは、検出された情報を分析し、ペネトレーション戦略の策定、「攻撃コードの作成」、バイパスメカニズムの調査などのテストを実施します。実装パスには主に内部ネットワークと外部ネットワークが含まれます。
-
- イントラネット テスト: ファイアウォールやその他の機器によるセキュリティ保護手段を回避する目的で、イントラネットから情報システムのテストを開始します。この段階が成功すると、通常のユーザー権限を取得でき、その後、特権昇格やその他の操作を通じてシステムの最高権限を取得できます。制御されたサーバーを出発点として使用して、他のターゲットへの侵入テストをさらに進めます。
- 外部ネットワークテスト:イントラネットテストと同様の操作プロセスで、インターネット経由で情報システムへの侵入テストを直接実施します。
(4) レポート作成段階: 実装者はテスト結果を分析し、主に特定のテスト結果、脆弱性結果の評価、および修正提案を含むシステム侵入テスト レポートを作成します。
1.4 侵入テストにおけるリスク回避
侵入テストは動的であり、テストプロセスはアプリケーション、ホスト、ネットワークなどの通常の動作に一定の影響を与える可能性があります。テストプロセスが業務運営に与える影響を最大限に回避するには、次のようなリスク回避戦略を実装する必要があります。
(1) 計画のレビュー:両当事者はペネトレーションテスト委任状に署名し、ペネトレーションテスト計画を策定およびレビューし、両当事者の承認を取得します。
(2) 時間戦略: テストプロセスによるビジネスへの影響を最大限に回避し、テスト時間を確保するために、夜間や業務量が多くない時間帯にテストするなど、適切なテスト時間を選択します。リスクを排除するとき。
(3) 攻撃戦略: リアルタイム性の高い基幹業務システムを選択する綿密なテストは推奨せず、テスターは危険な動作を検証せずに結果を分析したり推測したりすることができます。
(4) システムのバックアップとリカバリ: テストを実施する前に、問題が発生した場合に復元できるようにテスト対象システムの完全なバックアップを作成する必要があり、バックアップ システムの侵入テストを実施することをお勧めします。基幹業務システム。
(5) 緊急戦略: テスト中のシステムが中断や応答の遅さなどの問題に遭遇した場合、テスト作業は時間内に停止され、テスト中のユニットが障害に対処しなければなりません。障害が処理された後は、残りのテストのみを行うことができます。ユニットの許可を継続しました。
(6) コミュニケーション戦略: 両当事者は、関係者の連絡先リストを作成し、インターフェース担当者を決定し、テストプロセス中に発生する問題についてタイムリーに連絡し、効果的なコミュニケーションを確保します。
1.5 侵入テストツールの概要
侵入テストのプロセス中、テスターはオペレーティング システム独自のネットワーク アプリケーション、診断ツール、オープン ソースおよび商用ソフトウェア、および自社開発のセキュリティ スキャン ツールを使用します。これらのツールは技術的に非常に成熟しており、安全性と制御性が高く、テスターの実際の要件に基づいて的を絞ったテストを実行できますが、セキュリティ ツール自体も諸刃の剣でもあり、セキュリティ ツール自体が諸刃の剣であり、システム内で発生する可能性のある問題をターゲットにする必要があります。ペネトレーション テスト プロセスを確実に管理できるように、対応する対策を提案します。
2 ペネトレーションテストの実施
この記事では、例を使用して、分類保護評価で侵入テストがどのように実装されるかを説明します。あるユニットのレベル3システムの評価では、情報システム全体のセキュリティ保護レベルを検証するために、ユーザーのWebシステムに対するペネトレーションテストが必要になります。
2.1 計画策定
ペネトレーションテストチームは、情報システムの規模とビジネスの実際の状況に基づいて、合理的なペネトレーションテスト計画の策定、適切なテスト方法の選択、テストツールの完全な準備、実行中に起こり得るリスクとそれに対応する結果の分析など、詳細なペネトレーションテスト計画を作成します。試験プロセス、リスク回避方法など
2.2 情報収集
ペネトレーション テスターは、情報収集システムやシードリングなど、さまざまなシステムやツールを使用して作業を収集します。スキャン後、システムの開いているポートを見つけます。これらのサービスをシステムレベルおよびWEBレベルで分析したところ、ファイル共有、リモートアクセス、SQLインジェクション、XMLインジェクションなどの脆弱性がシステムに存在することが判明し、次の脆弱性悪用の基盤となった。
また、情報収集段階で検査方法、検査内容、起こり得るリスクなどについて緊急時対応戦略を策定しました。
2.3 テストの実施
取得した脆弱性情報をもとに、情報システムの特性や異質性などから脆弱性を確認し、侵入テスト戦略を策定します。取得した情報から高リスクの脆弱性を発見し、その高リスクの脆弱性を直接悪用して利用可能かどうかを確認します。
2.4 レポート出力
侵入テストが完了したら、テスターは作業内容と結果を整理します。発見されたセキュリティ脆弱性とセキュリティリスクに応じて、システムに存在する問題が提案され、対象を絞った修正提案が提案され、「ペネトレーションテストレポート」が作成されます。