什么是渗透测试?
渗透测试是一种安全测试,用于测试应用程序的不安全性。进行它以发现系统中可能存在的安全风险。
如果系统不安全,那么任何攻击者都可以破坏或获得对该系统的授权访问。安全风险通常是在开发和实施软件时发生的意外错误。例如,配置错误、设计错误和软件错误等。
为什么需要渗透测试?
渗透测试通常评估系统保护其网络、应用程序、端点和用户免受外部或内部威胁的能力。它还尝试保护安全控制并确保仅授权访问。
渗透测试是必不可少的,因为 -
-
它标识了一个模拟环境,即入侵者如何通过白帽攻击来攻击系统。
-
它有助于找到入侵者可以攻击的薄弱区域,以访问计算机的功能和数据。
-
它支持避免黑帽攻击并保护原始数据。
-
它估计了对潜在业务的攻击程度。
-
它提供了证据来表明,为什么增加对技术安全方面的投资很重要
何时进行渗透测试?
渗透测试是一项基本功能,需要定期执行以确保系统正常运行。除此之外,它应该在任何时候执行 -
-
安全系统发现攻击者的新威胁。
-
您添加了一个新的网络基础设施。
-
您更新系统或安装新软件。
-
你搬迁你的办公室。
-
您设置了一个新的最终用户计划/政策。
渗透测试有什么好处?
渗透测试提供以下好处 -
-
管理系统的增强- 它提供有关安全威胁的详细信息。除此之外,它还对漏洞的程度进行分类,并建议您,哪个更脆弱。因此,您可以通过相应地分配安全资源来轻松准确地管理您的安全系统。
-
避免处罚- 渗透测试使您的组织的主要活动保持更新并符合审计要求。因此,渗透测试可以保护您免于处罚。
-
财务损失保护- 安全系统的简单破坏可能会造成数百万美元的损失。渗透测试可以保护您的组织免受此类损害。
-
客户保护- 即使是单个客户的数据泄露也可能造成巨大的财务损失和声誉损失。它保护与客户打交道并保持其数据完整的组织。
渗透测试 - 方法
渗透测试是考虑系统的各种问题并进行测试、分析并给出解决方案的技术组合。它基于逐步执行渗透测试的结构化程序。
渗透测试方法的步骤
以下是渗透测试的七个步骤 -
-
规划与准备
计划和准备从定义渗透测试的目标和目的开始。
客户和测试人员共同定义目标,使双方有相同的目标和理解。渗透测试的共同目标是 -
-
识别漏洞并提高技术系统的安全性。
-
让外部第三方确认 IT 安全。
-
提高组织/人员基础设施的安全性。
-
侦察
侦察包括对初步信息的分析。很多时候,测试人员除了初步信息(即IP地址或IP地址块)之外没有太多信息。测试人员首先分析可用信息,并在需要时向客户端请求更多信息,例如系统描述、网络计划等。这一步是被动渗透测试的一种。唯一的目标是获得系统的完整和详细信息。
-
发现
在此步骤中,渗透测试人员很可能会使用自动化工具扫描目标资产以发现漏洞。这些工具通常有自己的数据库,提供最新漏洞的详细信息。然而,测试人员发现
-
网络发现- 例如发现其他系统、服务器和其他设备。
-
Host Discovery - 它确定这些设备上的开放端口。
-
服务询问- 它询问端口以发现在其上运行的实际服务。
-
分析信息和风险
在此步骤中,测试人员分析和评估在测试步骤之前收集的信息,以动态渗透系统。由于系统数量较多,基础设施规模较大,因此非常耗时。在分析时,测试人员考虑以下要素 -
-
渗透测试的定义目标。
-
系统的潜在风险。
-
为后续主动渗透测试评估潜在安全漏洞所需的估计时间。
但是,从已识别系统列表中,测试人员可以选择仅测试那些包含潜在漏洞的系统。
-
主动入侵尝试
这是必须谨慎执行的最重要的步骤。此步骤涉及在发现步骤中识别出的潜在漏洞在多大程度上具有实际风险。当需要验证潜在漏洞时,必须执行此步骤。对于那些具有非常高完整性要求的系统,在执行关键清理程序之前需要仔细考虑潜在的漏洞和风险。
-
最终分析
此步骤主要考虑到那时执行的所有步骤(如上所述),以及对以潜在风险形式存在的漏洞的评估。此外,测试人员建议消除漏洞和风险。最重要的是,测试人员必须确保测试的透明度以及它所披露的漏洞。
-
报告准备
报告准备必须从整体测试程序开始,然后分析漏洞和风险。高风险和关键漏洞必须有优先级,然后是较低的顺序。
但是,在记录最终报告时,需要考虑以下几点 -
-
渗透测试的总体总结。
-
每个步骤的详细信息以及测试期间收集的信息。
-
发现的所有漏洞和风险的详细信息。
-
清除问题和修复系统的详细信息。
-
对未来安全的建议。
渗透测试与漏洞
通常,这两个术语,即渗透测试和漏洞评估,被许多人互换使用,要么是因为误解,要么是市场炒作。但是,这两个术语在目标和其他方式方面彼此不同。但是,在描述差异之前,让我们首先一一了解这两个术语。
-
渗透测试
渗透测试复制外部或/和内部网络攻击者的行为,旨在破坏信息安全并破解有价值的数据或破坏组织的正常运作。因此,在先进工具和技术的帮助下,渗透测试人员(也称为道德黑客)努力控制关键系统并获取对敏感数据的访问权限。
-
漏洞评估
另一方面,漏洞评估是在给定环境中识别(发现)和测量安全漏洞(扫描)的技术。它是对信息安全位置的综合评估(结果分析)。此外,它识别潜在的弱点并提供适当的缓解措施(补救)以消除这些弱点或降低风险水平以下。
下表说明了渗透测试和漏洞评估之间的根本区别 -
渗透测试 | 漏洞评估 |
确定攻击的范围。 | 在给定系统中创建资产和资源目录。 |
测试敏感数据收集。 | 发现每个资源的潜在威胁。 |
收集目标信息和/或检查系统。 | 为可用资源分配可量化的价值和重要性。 |
清理系统并提供最终报告。 | 试图减轻或消除有价值资源的潜在漏洞。 |
它是非侵入性的,文档和环境审查和分析。 | 全面分析并通过审查目标系统及其环境。 |
它是物理环境和网络架构的理想选择。 | 它非常适合实验室环境。 |
它适用于关键的实时系统。 | 它适用于非关键系统。 |
哪个选项是实践的理想选择?
这两种方法具有不同的功能和方法,因此取决于各自系统的安全位置。然而,由于渗透测试和漏洞评估之间的基本区别,第二种技术比第一种更有利。
漏洞评估识别弱点并提供解决方案。另一方面,渗透测试只回答“任何人都可以闯入系统安全,如果可以,那么他能造成什么危害?”的