모든 침투 테스트에는 회사의 컴퓨터 시스템에 대한 모의 공격이 포함됩니다. 그러나 다양한 유형의 침투 테스트는 다양한 유형의 기업 자산을 대상으로 합니다.
1. 애플리케이션 침투 테스트
애플리케이션 침투 테스트는 웹 애플리케이션 및 웹사이트, 모바일 및 IoT 앱, 클라우드 앱, 애플리케이션 프로그래밍 인터페이스를 포함한 앱 및 관련 시스템의 취약점을 찾습니다.
침투 테스터는 오픈 웹 애플리케이션 보안 프로젝트 상위 10위에 나열된 취약점을 검색하는 것으로 시작하는 경우가 많습니다.
오픈 웹 애플리케이션 보안 프로젝트 상위 10은
웹 애플리케이션에서 가장 심각한 취약점 목록입니다.
2. 네트워크 침투 테스트
네트워크 침투 테스트는 회사의 전체 컴퓨터 네트워크를 공격합니다. 네트워크 침투 테스트에는 외부 테스트와 내부 테스트의 두 가지 유형이 있습니다.
외부 테스트에서 침투 테스터는 외부 해커의 행동을 모방하여 서버, 라우터, 웹 사이트 및 직원 컴퓨터와 같은 인터넷 연결 자산에서 보안 문제를 찾습니다.
내부 테스트에서 침투 테스터는 자격 증명을 훔친 악의적인 내부자나 해커의 행동을 모방합니다. 목표는 개인이 네트워크 내부에서 악용할 수 있는 취약성을 찾아내는 것입니다.
3. 하드웨어 침투 테스트
하드웨어 침투 테스트는 노트북, 모바일 및 IoT 디바이스, 운영 기술(OT) 등 네트워크에 연결된 디바이스의 취약점을 찾습니다.
침투 테스터는 해커가 엔드포인트에 원격으로 액세스할 수 있도록 하는 운영 체제 악용과 같은 소프트웨어 결함을 찾을 수 있습니다.
4. 인원 침투 테스트
인원 침투 테스트는 직원의 사이버 보안 위생에 대한 취약점을 찾아냅니다. 인원 침투 테스트는 기업이 소셜 엔지니어링 공격에 얼마나 취약한지 평가합니다.
인원 침투 테스터는 피싱, 비싱(음성 피싱) 및 스미싱(SMS 피싱)을 사용하여 직원을 속여 중요한 정보를 누설하도록 합니다.
인원 침투 테스트는 사무실의 물리적 보안도 평가할 수 있습니다.
