序章 現代の情報セキュリティは、理解するのが難しい場合があります。 「攻撃」、「エクスプロイト」、「脆弱性」などの用語は自明かもしれませんが、ペンテスト、EDR、DAST とは何を意味するのでしょうか?テスト範囲を割り当てることが重要なのはなぜですか? これは、 この記事の続きです。 暴力によって説明される現代の情報セキュリティ 最上階からレンガを頭に投げつけられる人もいます。これは です。 攻撃 これを行うために、彼は建設現場に行き、最上階に登り、レンガを拾い、狙いを定めて投げます。これは エクスプロイトです。 あなたの頭は、与えられた重量と加速度でレンガを打つようには設計されていません。これは 脆弱性です。 建設現場からすべてのレンガを取り除き、その上に人の存在を排除し、念のために上層階も排除します。これが セキュリティです。 ヘルメットをかぶって、レンガにぶつかったときの影響をどうにか軽減します。これは です。 アンチウイルス/EDR あなたの安全規則では、全員がヘルメットを着用するように規定されています。しかし、スタッフはヘルメットなしで歩き、歩き続けました。これは です。 紙のセキュリティ 職長はまだ生きていて、その人は四方八方にレンガを投げており、警備員はすでに赤いボタンを押しています。これは セキュリティ アナライザーです。 職長を 2 人雇い、そのうちの 1 人が死亡した場合でも作業が停止しないようにします。これが 正式な耐障害性です。 建設現場のレンガの数に加えて、職長を 1 人雇います。これが 実際の耐障害性です。 テニスボールのように、レンガをあらゆる方向に投げる装置を購入します。これが DASTです。 ある人が建設現場に向かい、上層階に登り、レンガで職長を殺し、今では喜んでこれに対する報酬を支払うように要求しています。これは バグハンターです。 DAST と同じことをすべて実行する仮想シミュレーターを購入しますが、構造を構築する必要はありません。これが SASTです。 投擲装置と建設シミュレーターの間にフィードバック モジュールを購入します。これが IASTです。 あなたは購入に夢中になり、サードパーティの会社に助けを求めました.同社は、レンガの問題を解決するために、有名なベンダーから最新のコンクリート ミキサーを購入することを勧めています。コンクリートミキサーとレンガがどのように接続されているかは気にしませんが、それでも購入します.現在、上層階からレンガが落下するだけでなく、コンクリートミキサーも落下する可能性があるため、レンガの問題はそれほど重要ではありません。これは インテグレーターの関与です。 あなたは専門家を雇って、建設現場に入り、高層階に登り、スタッフの頭にレンガを落とす可能性をチェックしました。これは です。 ペンテスター ペンテスターは 10 通りの方法で職長をレンガで殺すことができただけでなく、オブジェクト全体を破壊し、装備を燃やし、警備員に殺し合いを強要しました。これは、時間内に が割り当てられなかった です。 テスト範囲 経験豊富なペンテスター 考えられることも考えられないこともすべて行ったので、落ちたレンガで誰も殺されず、オブジェクトが破壊されず、機器が燃やされず、警備員用のセキュリティベルトも確実に使用されました。翌日、職長はコンクリートミキサーのブレーキシステムから落ちました。これが 現代の情報セキュリティの現実です。 https://bit.ly/3Goglsf 最終的な考え ありがとうございます。この記事は最初に ここで公開されました。