😉Just another security guy | 🐱Hacking for fun, money, and for a social cause
現代の情報セキュリティは、理解するのが難しい場合があります。 「攻撃」、「エクスプロイト」、「脆弱性」などの用語は自明かもしれませんが、ペンテスト、EDR、DAST とは何を意味するのでしょうか?テスト範囲を割り当てることが重要なのはなぜですか?
これは、この記事の続きです。
最上階からレンガを頭に投げつけられる人もいます。これは攻撃です。
これを行うために、彼は建設現場に行き、最上階に登り、レンガを拾い、狙いを定めて投げます。これはエクスプロイトです。
あなたの頭は、与えられた重量と加速度でレンガを打つようには設計されていません。これは脆弱性です。
建設現場からすべてのレンガを取り除き、その上に人の存在を排除し、念のために上層階も排除します。これがセキュリティです。
ヘルメットをかぶって、レンガにぶつかったときの影響をどうにか軽減します。これはアンチウイルス/EDRです。
あなたの安全規則では、全員がヘルメットを着用するように規定されています。しかし、スタッフはヘルメットなしで歩き、歩き続けました。これは紙のセキュリティです。
職長はまだ生きていて、その人は四方八方にレンガを投げており、警備員はすでに赤いボタンを押しています。これはセキュリティ アナライザーです。
職長を 2 人雇い、そのうちの 1 人が死亡した場合でも作業が停止しないようにします。これが正式な耐障害性です。
建設現場のレンガの数に加えて、職長を 1 人雇います。これが実際の耐障害性です。
テニスボールのように、レンガをあらゆる方向に投げる装置を購入します。これがDASTです。
ある人が建設現場に向かい、上層階に登り、レンガで職長を殺し、今では喜んでこれに対する報酬を支払うように要求しています。これはバグハンターです。
DAST と同じことをすべて実行する仮想シミュレーターを購入しますが、構造を構築する必要はありません。これがSASTです。
投擲装置と建設シミュレーターの間にフィードバック モジュールを購入します。これがIASTです。
あなたは購入に夢中になり、サードパーティの会社に助けを求めました.同社は、レンガの問題を解決するために、有名なベンダーから最新のコンクリート ミキサーを購入することを勧めています。コンクリートミキサーとレンガがどのように接続されているかは気にしませんが、それでも購入します.現在、上層階からレンガが落下するだけでなく、コンクリートミキサーも落下する可能性があるため、レンガの問題はそれほど重要ではありません。これはインテグレーターの関与です。
あなたは専門家を雇って、建設現場に入り、高層階に登り、スタッフの頭にレンガを落とす可能性をチェックしました。これはペンテスターです。
ペンテスターは 10 通りの方法で職長をレンガで殺すことができただけでなく、オブジェクト全体を破壊し、装備を燃やし、警備員に殺し合いを強要しました。これは、時間内にテスト範囲が割り当てられなかった経験豊富なペンテスターです。
考えられることも考えられないこともすべて行ったので、落ちたレンガで誰も殺されず、オブジェクトが破壊されず、機器が燃やされず、警備員用のセキュリティベルトも確実に使用されました。翌日、職長はコンクリートミキサーのブレーキシステムから落ちました。これが現代の情報セキュリティの現実です。
ありがとうございます。この記事は最初にここで公開されました。
情報セキュリティを分かりやすく解説【後編】 | HackerNoon