ドメイン6からペンテストの実施手順(5つのフェーズ)に関する問題です。各フェーズとその目的がわかることが必要です。
ペネトレーションテスターが、Metasploitなどのツールを使用して、同定された脆弱性を悪用しアクセスを試みる際の目的は何ですか?
a. システムのパフォーマンス向上
b. システムの脆弱性の特定
c. システムのセキュリティ評価
d. システムへの不正アクセスの確立
正解:d ペネトレーションテスターがExploitationフェーズでツールを使用して脆弱性を悪用するのは、システムへの不正アクセスを確立するためです。
他の選択肢が間違っている理由
a. ペネトレーションテストは主にシステムのセキュリティ評価を行うため、システムのパフォーマンス向上を目的とはしません。
b. システムの脆弱性の特定は探査フェーズで行われ、Exploitationフェーズではそれを悪用しますが、目的自体は不正アクセスの確立です。
c. システムのセキュリティ評価もペネトレーションテストの目的ではありますが、Exploitationフェーズでの具体的な行動は不正アクセスを確立することです。
ペンテストには5つのフェーズがあります。1. 発見・偵察、2. スキャンと探査、3. 脆弱性の悪用、4. 悪用後の攻撃、5. 報告です。この問題では前提としてすでに脆弱性が同定されており、それを悪用するフェーズ(3. 脆弱性の悪用フェーズ)での目的を問うています。このフェーズでのゴールは脆弱性を利用してアクセスを確立することです。確立されたアクセスは正規のアクセスではないので不正アクセスとなります。 この不正アクセスを利用して更なる攻撃を継続することが、次のフェーズである4. 悪用後の攻撃フェーズです。