精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    一文搞懂企業(yè)滲透測試

    科技云報(bào)道原創(chuàng)。

    隨著網(wǎng)絡(luò)安全形勢的愈加嚴(yán)峻,如今企業(yè)也越來越重視網(wǎng)絡(luò)安全建設(shè),定期開展?jié)B透測試正在成為一種趨勢。

    網(wǎng)絡(luò)安全滲透測試,能夠幫助企業(yè)從攻擊者的角度思考,快速了解企業(yè)在網(wǎng)絡(luò)防御方面的不足。通過梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑,以便更好地修復(fù)或應(yīng)對風(fēng)險(xiǎn)。

    盡管開展?jié)B透測試對于企業(yè)來說非常重要,但是很多企業(yè)在準(zhǔn)備制定滲透測試計(jì)劃時(shí),對于滲透測試服務(wù)的理解和需求,往往與真實(shí)服務(wù)情況存在著很多偏差。

    那么,企業(yè)該如何正確認(rèn)知滲透測試工作,并有效避免誤區(qū)?

    滲透測試的關(guān)鍵特征

    對于一些企業(yè)的安全團(tuán)隊(duì)而言,很難將滲透測試與漏洞測試、漏洞懸賞以及新興的BAS(入侵和攻擊模擬)技術(shù)區(qū)分開來。確實(shí),這些安全技術(shù)和服務(wù)在很多方面都存在重疊,但它們也都有著自己的特點(diǎn)。

    從本質(zhì)上講,滲透測試是一個(gè)主要依靠安全專家或團(tuán)隊(duì)以人工方式模仿攻擊者的真實(shí)攻擊行為,其目的是在數(shù)字化基礎(chǔ)設(shè)施的不同層級,找到進(jìn)入可以攻破目標(biāo)網(wǎng)絡(luò)的最有效方法。

    漏洞測試,主要是為了在尋找軟件應(yīng)用系統(tǒng)中的缺陷,并幫助組織了解如何解決它們。而漏洞懸賞計(jì)劃通常僅限于移動(dòng)或web應(yīng)用程序,可能與真正的入侵行為并不匹配。

    漏洞賞金獵人的目標(biāo)只是盡快找到漏洞并提交報(bào)告以獲得獎(jiǎng)勵(lì),而不是深入調(diào)查問題與解決問題。

    入侵和攻擊模擬(BAS)是一項(xiàng)新興的安全防護(hù)技術(shù)。它遵循“掃描、漏洞利用和不斷重復(fù)”的設(shè)計(jì)邏輯,依賴于自動(dòng)化執(zhí)行測試的工具,幾乎不需要安全人員的參與。

    BAS項(xiàng)目本質(zhì)上是連續(xù)的,并且會(huì)隨著網(wǎng)絡(luò)的變化動(dòng)態(tài)地產(chǎn)生測試結(jié)果。

    總的來說,滲透測試相比其他類似的安全技術(shù),具有兩個(gè)關(guān)鍵性特征:首先,它是由人類完成的,在很大程度上取決于人工進(jìn)攻戰(zhàn)術(shù);其次,它默認(rèn)所有的數(shù)字化系統(tǒng)都會(huì)存在安全缺陷,需要全面的安全評估,并根據(jù)受到攻擊后的危害程度確定修復(fù)的優(yōu)先級。

    考慮價(jià)值而不是成本

    根據(jù)測試方法和目標(biāo)的不同,滲透測試通常分為外部測試、內(nèi)部測試、盲測、針對性測試等。

    然而,很多企業(yè)為了節(jié)省成本,往往會(huì)選擇收費(fèi)更便宜的測試提供商和測試方式,并認(rèn)為各種類型測試的結(jié)果會(huì)很相似,但事實(shí)并非如此。

    首先,與大多數(shù)服務(wù)一樣,滲透測試的程度差異很大,既有覆蓋網(wǎng)絡(luò)所有區(qū)域的廣泛測試,也有針對網(wǎng)絡(luò)中少數(shù)區(qū)域的非廣泛測試。

    其次,提供滲透測試服務(wù)的公司很多,這些公司都有各自的優(yōu)勢和弱點(diǎn),他們的技術(shù)也各有千秋,呈現(xiàn)測試結(jié)果的方式也有好有壞。企業(yè)有必要確保所選測試團(tuán)隊(duì)的能力能夠滿足測試需要。

    隨著數(shù)字化轉(zhuǎn)型的深入,各種數(shù)據(jù)資產(chǎn)對企業(yè)而言是無價(jià)的,一旦數(shù)據(jù)被非法泄露,組織的商譽(yù)會(huì)受到嚴(yán)重?fù)p害。

    而如果攻擊者的目標(biāo)是為了勒索錢財(cái),他們索要的贖金數(shù)額通常也會(huì)遠(yuǎn)高于滲透測試的成本預(yù)算。

    因此,考慮到與網(wǎng)絡(luò)攻擊造成的經(jīng)濟(jì)損失相比,投入到滲透測試的成本可以說是微不足道的。企業(yè)應(yīng)該根據(jù)實(shí)際需求,專注于尋找從測試中獲得的價(jià)值,而不是成本。

    滲透測試的方法和流程

    滲透測試方法

    黑盒測試:將測試對象看作一個(gè)黑盒子,安全不考慮測試對象的內(nèi)部結(jié)構(gòu);白盒測試:把測試對象看作一個(gè)打開的盒子,測試人員一句測試對象內(nèi)部邏輯結(jié)構(gòu)相關(guān)的信息,設(shè)計(jì)或選擇測試用例;灰盒測試:介于白盒與黑盒之間,是基于對測試對象內(nèi)部細(xì)節(jié)有限認(rèn)知的軟件測試方法。

    滲透測試目標(biāo)

    主機(jī)操作系統(tǒng)的測試、數(shù)據(jù)庫系統(tǒng)的測試、應(yīng)用系統(tǒng)的測試、網(wǎng)絡(luò)設(shè)備的測試。

    滲透測試過程

    滲透測試有一個(gè)執(zhí)行標(biāo)準(zhǔn)(PTES),其核心理念是通過建立起進(jìn)行滲透測試所需要的基本準(zhǔn)則基線,來定義一次真正的滲透測試過程。

    標(biāo)準(zhǔn)將滲透測試過程分為七個(gè)階段,依次為:前期交互階段、情報(bào)收集階段、威脅建模階段、漏洞分析階段、滲透攻擊階段、后滲透攻擊階段、報(bào)告階段。

    前期交互階段

    在前期交互階段,滲透測試團(tuán)隊(duì)與客戶組織主要進(jìn)行交互討論。該階段通常涉及收集客戶需求、準(zhǔn)備測試計(jì)劃、定義測試范圍與邊界、定義業(yè)務(wù)目標(biāo)、項(xiàng)目管理與規(guī)劃等活動(dòng)。

    滲透測試首先必須將實(shí)施方法、實(shí)施時(shí)間?、實(shí)施人員,實(shí)施工具等具體的實(shí)施方案提交給客戶,并得到客戶的相應(yīng)書面委托和授權(quán)。

    應(yīng)該做到客戶對滲透測試所有細(xì)節(jié)和風(fēng)險(xiǎn)的知曉、所有過程都在客戶的控制下進(jìn)行。

    信息收集分析階段

    信息收集是每一步滲透攻擊的前提,通過信息收集可以有針對性的制定模擬攻擊測試計(jì)劃,提高模擬攻擊的成功率,同時(shí)可以有效的降低攻擊測試對系統(tǒng)正常運(yùn)行造成的不利影響。

    這一步主要包括白盒收集、人力資源情報(bào)、踩點(diǎn)、尋找外網(wǎng)入口以及識(shí)別防御機(jī)制。

    威脅建模階段

    威脅建模主要使用情報(bào)搜集階段所活的到的信息,來標(biāo)識(shí)出目標(biāo)系統(tǒng)上可能存在的安全漏洞與弱點(diǎn)。

    在威脅建模階段,通常需要將客戶組織作為敵手來看待,然后以攻擊者的視角和思維來嘗試?yán)媚繕?biāo)系統(tǒng)的弱點(diǎn)。

    此階段的工作主要為:業(yè)務(wù)流程分析、威脅對手/社區(qū)分析、威脅對手/社區(qū)分析。

    漏洞分析階段

    漏洞分析階段主要是從前面幾個(gè)環(huán)節(jié)獲取的信息分析和理解,哪些攻擊途徑是可行的。

    特別需要重點(diǎn)分析端口和漏洞掃描結(jié)果,提取到的服務(wù)“旗幟”信息,以及在情報(bào)收集環(huán)節(jié)中得到的其他關(guān)鍵信息。

    滲透攻擊階段

    滲透攻擊主要是針對目標(biāo)系統(tǒng)實(shí)施深入研究和測試的滲透攻擊,并不是進(jìn)行大量漫無目的的滲透測試。

    后滲透攻擊階段

    后滲透攻擊階段主要是從已經(jīng)攻陷了的客戶組織系統(tǒng)標(biāo)識(shí)出關(guān)鍵的基礎(chǔ)設(shè)施,尋找最具有價(jià)值信息和資產(chǎn)。主要包括:基礎(chǔ)設(shè)施分析、高價(jià)值目標(biāo)識(shí)別、掠奪敏感信息、掩蹤滅跡、權(quán)限維持。

    滲透測試報(bào)告

    報(bào)告是滲透測試過程中最為重要的因素,將使用報(bào)告文檔來交流在滲透測試過程中做了哪些,如何做的,以及最為重要的就是告訴客戶組織如何修復(fù)所發(fā)現(xiàn)的安全漏洞與弱點(diǎn)。

    滲透測試的誤區(qū)

    從測試中獲得一個(gè)好的結(jié)果只是一個(gè)良好的開始,但企業(yè)不應(yīng)該沾沾自喜,這也不代表企業(yè)的網(wǎng)絡(luò)安全防護(hù)工作高枕無憂。

    只要組織的數(shù)字化系統(tǒng)還在運(yùn)行,它就時(shí)刻會(huì)面臨各種不斷出現(xiàn)的新威脅。網(wǎng)絡(luò)犯罪分子會(huì)不停地尋找系統(tǒng)中的漏洞,如果滲透測試間隔時(shí)間長,他們就有機(jī)會(huì)領(lǐng)先于企業(yè)發(fā)現(xiàn)可利用的新漏洞。

    良好的測試結(jié)果只是肯定了過去建設(shè)的成績,并激勵(lì)組織繼續(xù)重視在安全方面的投入。因此,企業(yè)應(yīng)該持續(xù)性進(jìn)行滲透測試,以消除新出現(xiàn)的威脅,并確保系統(tǒng)沒有威脅。

    此外,關(guān)于滲透測試還有一個(gè)長期存在的誤區(qū),那就是外部人員執(zhí)行滲透測試會(huì)比內(nèi)部人員更有效,其原因是外部人員對企業(yè)的數(shù)字化系統(tǒng)并不熟悉,因此會(huì)更加客觀。

    雖然客觀性是滲透測試有效性的關(guān)鍵,但了解業(yè)務(wù)系統(tǒng)并不就意味著不客觀。

    其實(shí)滲透測試可由企業(yè)內(nèi)部員工、專業(yè)服務(wù)商或其他第三方機(jī)構(gòu)完成。滲透測試由標(biāo)準(zhǔn)程序和性能度量組成,只要測試者能夠嚴(yán)格遵循測試指導(dǎo)原則,測試結(jié)果就是有效的。

    對于企業(yè)而言,選擇的重點(diǎn)不應(yīng)該放在聘請外部或內(nèi)部測試者上,而是應(yīng)該放在尋找能夠出色完成工作的測試者上。

    結(jié)語

    ?隨著網(wǎng)絡(luò)安全威脅的不斷擴(kuò)展與升級,?滲透測試目前已經(jīng)成為現(xiàn)代企業(yè)組織主動(dòng)識(shí)別安全漏洞與潛在風(fēng)險(xiǎn)的關(guān)鍵過程。但不幸的是,仍然有很多組織并未認(rèn)識(shí)到主動(dòng)評估安全態(tài)勢的價(jià)值,而一些組織盡管開展了滲透測試工作,但主要目的也只是為了滿足合規(guī)要求。

    但不管企業(yè)開展?jié)B透測試的目的是什么,只要測試結(jié)果能被用于做出有意義的改變,這項(xiàng)工作就是成功和有效的。

    企業(yè)應(yīng)該從測試的關(guān)鍵發(fā)現(xiàn)中吸取教訓(xùn),并采取適當(dāng)?shù)男袆?dòng)來加強(qiáng)組織的安全防御。

    免責(zé)聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個(gè)人觀點(diǎn),與極客網(wǎng)無關(guān)。文章僅供讀者參考,并請自行核實(shí)相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。

    極客網(wǎng)企業(yè)會(huì)員

    免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

    2023-08-24
    一文搞懂企業(yè)滲透測試
    一文搞懂企業(yè)滲透測試

    長按掃碼 閱讀全文