目次:
ビデオ: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
ほとんどのITプロフェッショナルは、ネットワークがハッカーから保護されているという前提で、特定の日を通過することができます。 あなたがそれらの中にいるなら、ランダムなソシオパスがあなたのネットワークにログインするだけでなく、重要な情報を略奪し、マルウェアを植えてから去ることができないように、すべての基本が整っていることにおそらく満足しています。 質問です:よろしいですか?
要するに、あなたは自分の弱点がどこにあるかを知るために自分自身をハッキングする必要があり、それからそれらの(願わくは)ホワイトハットハッカーが見つけたものを修正する必要があります。 ホワイトハットハッカーとは、実際の悪者やブラックハットハッカーを巻き込むことなく、ネットワーク保護の品質をテストする場合に役立ちます。 ホワイトハットハッカーが行うことは、ネットワークの防御を可能な限り調査し、その過程でセキュリティを評価および記録することです。 これは侵入テストまたは「ペンテスト」と呼ばれ、多くのITプロが気付いていないのは、それを行うために高価なプロをすぐに雇う必要がないことです。 侵入テストの基本を自分で開始できます。
2018年のITおよびセキュリティ専門家向けの最優先タスク
(画像クレジット:Statista)
「最も重要なことは、実際に脆弱性評価、リスク評価です」と、 侵入テスト:ハッキングの実践入門の 著者であるジョージアウェイドマンは述べています。 Weidmanは、侵入テストを専門とするセキュリティ会社Shevirahの創設者兼最高技術責任者(CTO)でもあります。 「それらは見落とされます。企業は、基本的な脆弱性がある場合、侵入テストに多くのお金を浪費します。」 彼女は、組織が最初に行うべきことは、基本的な脆弱性テストを実行し、侵入テストに進む前に脆弱性を修正することだと述べました。 「侵入テストは最初のステップではありません」と彼女は言いました。
また、Weidmanは、フィッシングやソーシャルエンジニアリングに関するトレーニングなど、企業がセキュリティ意識の第一歩を踏み出したことを確認することを提案しました。 彼女は、誰かがアクセスを得るための資格情報を渡すと、最も安全なネットワークに侵入できると指摘しました。 これらはすべて、優れた侵入テスト担当者が実際のテストを開始する前にチェックするものです。
「従業員のセキュリティ意識の向上に関心がある場合は、独自のフィッシングテストを設定してください」とWeidman氏は述べています。 「それをするために誰かにお金を払う必要はありません、そしてそれは人々が入る最大の方法の一つです。」 彼女は、テキストメッセージングとソーシャルメディアを通じてフィッシングも使用すると述べました。
パスワードをテストする
Weidman氏によると、次のステップは組織のパスワードとID管理機能をテストすることです。 「パスワードのActive Directoryハッシュをダウンロードし、パスワードテスターでテストします。これは侵入テストで行うことです」と彼女は言いました。
Weidmanによると、パスワードテストの重要なツールにはHashcatとJohn the Ripperのパスワードクラッカーが含まれており、これらは一般的に侵入テストで使用されているという。 彼女は、Microsoft Azure Active Directoryからのパスワードをチェックすることに加えて、Wiresharkなどのネットワークプロトコルアナライザーを使用して、ネットワーク上でパスワードを盗聴できるとも述べました。 ここでの目標は、ユーザーが資格情報に「パスワード」などの簡単に推測されるパスワードを使用しないようにすることです。
ネットワークトラフィックを調べている間、リンクローカルマルチキャスト名前解決(LLMNR)を探し、可能であれば無効にする必要があります。 Weidmanは、LLMNRを使用してパスワードハッシュをキャプチャできると述べました。 「ネットワークで聞いてハッシュを取得し、それらをクラックします」と彼女は言いました。
マシンを認証する
Weidmanは、パスワードを解読したら、それを使用してネットワーク上のマシンで認証を行うと言いました。 「全員が同じようにイメージされたため、ローカル管理者がいるかもしれません」と彼女は言いました。 「うまくいけば、ドメイン管理者がいます。」
Weidmanは管理者の資格情報を取得すると、その資格情報を使用してマシンの秘密領域に侵入できます。 彼女は、二次認証が時々あるので、それらのパスワードも解読する必要があると言いました。
Weidman氏は、独自の侵入テストを行う場合は注意する必要があると述べました。 「ペネトレーションテストを行うときは、何も壊さないように心がけています」と彼女は言い、「何もうまくいかないという確実性は100%ありません」と付け加えました。
マルウェアのダウンロードを避ける
Weidmanは、非常に便利な侵入テストツールの1つがMetasploit無料版であると述べましたが、マルウェアを含む可能性があるため、インターネットからエクスプロイトをダウンロードすることには注意を払っています。 「事故で自分を攻撃しないでください」と彼女は警告した。 彼女は、テスト用に提供されたエクスプロイトには、あなたを攻撃するマルウェアが頻繁に含まれていると言いました。
- 2019年のベストパスワードマネージャー2019年のベストパスワードマネージャー
- 2019年の最高のマルウェア除去および保護ソフトウェア2019年の最高のマルウェア除去および保護ソフトウェア
- 2019年のビジネス向けベストランサムウェア保護2019年のビジネス向けベストランサムウェア保護
ちなみに、Microsoftは、Microsoft Windows 10、Windows Server 2012R2、およびOffice 2016をサポートするMicrosoft Security Compliance Toolkit v1.0と呼ばれるWindows用の脆弱性評価ツールも提供しています。
ワイドマンは、浸透はある種の深い闇の魔法であると考えることに対して警告します。 彼女は、代わりに基本を最初にカバーすることが重要だと言いました。 「誰もがセクシーな名前を持っているため、侵入テストに飛びつきます」と彼女は言いました。 「しかし、ぶら下がっている果物を見つけて、それを最初に修正することには多くの価値があります。」
