説明
この問題を軽減する最善の方法は、パッチ適用および変更管理プログラムを実装することです。これは、脆弱性、バグ、またはパフォーマンスの問題に対処するためにソフトウェア パッケージに更新または修正プログラムを適用し、一貫性、互換性、およびセキュリティを確保するためにソフトウェア パッケージに加えられた変更を管理または文書化するプロセスです。パッチ適用および変更管理プログラムは、システムまたはサーバーのセキュリティまたは機能を侵害する可能性のある既知または未知の脆弱性が含まれている可能性のある、古いソフトウェア パッケージ バージョンを悪用する攻撃のリスクを防止または軽減するのに役立ちます。パッチ適用および変更管理プログラムは、Windows システムおよびアプリケーションの更新プログラムを管理および配布できるツールである WSUS1 や、ソース コードまたはファイルへの変更を追跡および制御できるツールである Git2 などのツールを使用して実装できます。その他のオプションは、この問題を軽減する有効な方法ではありません。システム更新を実行するために使用されるクライアント スクリプトを改訂することは、この問題を軽減するのに十分な方法ではありません。認識、リソース、またはポリシーの不足など、ソフトウェア パッケージ バージョンが古くなる根本的な原因に対処できない可能性があるためです。クライアントのシステム管理者に対する補習トレーニングは、この問題を直接的に軽減する方法ではありません。ソフトウェア パッケージのバージョンを更新するための即時の効果的なアクションにつながらない可能性があるためです。品質保証が承認するまでシステムのパッチ適用を控えることは、この問題を軽減する方法ではなく、ソフトウェア パッケージのバージョンが古くなる潜在的な原因または障壁となります。

レッドチーム評価は、特定のデータやシステムにアクセスすることを目標として、現実世界の攻撃シナリオをシミュレートする侵入テストの一種です。レッドチーム評価は、定義済みの目的がなく、ターゲットに関する可能な限り多くの情報を発見することに焦点を当てた、未知の環境の評価とは異なります。既知の環境の評価は、ターゲット組織との協力とコミュニケーションを伴う侵入テストの一種であり、特定のデータやシステムに焦点を当てない場合があります。
コンプライアンス ベースの評価は、特定の規制または業界標準を満たすことを目的とした侵入テストの一種であり、特定のデータやシステムに焦点を当てない場合があります。

site: コマンドを使用すると、Google での検索を特定のドメインに制限できます。たとえば、site:company.com は company.com ドメインからの結果のみを返します。これにより、侵入テスト担当者はターゲット ドメインに関連する情報やページを見つけることができます。

なりすまし攻撃では、侵入テスト担当者が有効なユーザーの身元を偽装して、システムや情報に不正にアクセスします。この方法は、フィッシング、ソーシャル エンジニアリング、脆弱な認証プロセスの悪用などの戦術が使用される可能性があるため、有効なユーザー資格情報を収集するのに特に効果的です。ウォードライビング、​​キャプティブ ポータル、認証解除などのその他のオプションは、ワイヤレス ネットワークの脆弱性に重点が置かれており、ユーザー資格情報の取得はそれほど直接的ではありません。