0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

科技云报道:一文搞懂企业渗透测试

科技云报到 来源:jf_60444065 作者:jf_60444065 2023-08-24 16:02 次阅读

科技云报道原创

随着网络安全形势的愈加严峻,如今企业也越来越重视网络安全建设,定期开展渗透测试正在成为一种趋势。

网络安全渗透测试,能够帮助企业从攻击者的角度思考,快速了解企业在网络防御方面的不足。通过梳理企业的IT资产、寻找漏洞和攻击路径,以便更好地修复或应对风险。

尽管开展渗透测试对于企业来说非常重要,但是很多企业在准备制定渗透测试计划时,对于渗透测试服务的理解和需求,往往与真实服务情况存在着很多偏差。

那么,企业该如何正确认知渗透测试工作,并有效避免误区?

渗透测试的关键特征

对于一些企业的安全团队而言,很难将渗透测试与漏洞测试、漏洞悬赏以及新兴的BAS(入侵和攻击interwetten与威廉的赔率体系 )威廉希尔官方网站 区分开来。确实,这些安全威廉希尔官方网站 和服务在很多方面都存在重叠,但它们也都有着自己的特点。

从本质上讲,渗透测试是一个主要依靠安全专家或团队以人工方式模仿攻击者的真实攻击行为,其目的是在数字化基础设施的不同层级,找到进入可以攻破目标网络的最有效方法。

漏洞测试,主要是为了在寻找软件应用系统中的缺陷,并帮助组织了解如何解决它们。而漏洞悬赏计划通常仅限于移动或web应用程序,可能与真正的入侵行为并不匹配。

漏洞赏金猎人的目标只是尽快找到漏洞并提交报告以获得奖励,而不是深入调查问题与解决问题。

入侵和攻击模拟(BAS)是一项新兴的安全防护威廉希尔官方网站 。它遵循“扫描、漏洞利用和不断重复”的设计逻辑,依赖于自动化执行测试的工具,几乎不需要安全人员的参与。

BAS项目本质上是连续的,并且会随着网络的变化动态地产生测试结果。

总的来说,渗透测试相比其他类似的安全威廉希尔官方网站 ,具有两个关键性特征:首先,它是由人类完成的,在很大程度上取决于人工进攻战术;其次,它默认所有的数字化系统都会存在安全缺陷,需要全面的安全评估,并根据受到攻击后的危害程度确定修复的优先级。

考虑价值而不是成本

根据测试方法和目标的不同,渗透测试通常分为外部测试、内部测试、盲测、针对性测试等。

然而,很多企业为了节省成本,往往会选择收费更便宜的测试提供商和测试方式,并认为各种类型测试的结果会很相似,但事实并非如此。

首先,与大多数服务一样,渗透测试的程度差异很大,既有覆盖网络所有区域的广泛测试,也有针对网络中少数区域的非广泛测试。

其次,提供渗透测试服务的公司很多,这些公司都有各自的优势和弱点,他们的威廉希尔官方网站 也各有千秋,呈现测试结果的方式也有好有坏。企业有必要确保所选测试团队的能力能够满足测试需要。

随着数字化转型的深入,各种数据资产对企业而言是无价的,一旦数据被非法泄露,组织的商誉会受到严重损害。

而如果攻击者的目标是为了勒索钱财,他们索要的赎金数额通常也会远高于渗透测试的成本预算。

因此,考虑到与网络攻击造成的经济损失相比,投入到渗透测试的成本可以说是微不足道的。企业应该根据实际需求,专注于寻找从测试中获得的价值,而不是成本。

渗透测试的方法和流程

渗透测试方法

黑盒测试:将测试对象看作一个黑盒子,安全不考虑测试对象的内部结构;

白盒测试:把测试对象看作一个打开的盒子,测试人员一句测试对象内部逻辑结构相关的信息,设计或选择测试用例;

灰盒测试:介于白盒与黑盒之间,是基于对测试对象内部细节有限认知的软件测试方法。

渗透测试目标

主机操作系统的测试、数据库系统的测试、应用系统的测试、网络设备的测试。

渗透测试过程

渗透测试有一个执行标准(PTES),其核心理念是通过建立起进行渗透测试所需要的基本准则基线,来定义一次真正的渗透测试过程。

标准将渗透测试过程分为七个阶段,依次为:前期交互阶段、情报收集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透攻击阶段、报告阶段。

前期交互阶段

在前期交互阶段,渗透测试团队与客户组织主要进行交互讨论。该阶段通常涉及收集客户需求、准备测试计划、定义测试范围与边界、定义业务目标、项目管理与规划等活动。

渗透测试首先必须将实施方法、实施时间 、实施人员,实施工具等具体的实施方案提交给客户,并得到客户的相应书面委托和授权。

应该做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。

信息收集分析阶段

信息收集是每一步渗透攻击的前提,通过信息收集可以有针对性的制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。

这一步主要包括白盒收集、人力资源情报、踩点、寻找外网入口以及识别防御机制。

威胁建模阶段

威胁建模主要使用情报搜集阶段所活的到的信息,来标识出目标系统上可能存在的安全漏洞与弱点。

在威胁建模阶段,通常需要将客户组织作为敌手来看待,然后以攻击者的视角和思维来尝试利用目标系统的弱点。

此阶段的工作主要为:业务流程分析、威胁对手/社区分析、威胁对手/社区分析。

漏洞分析阶段

漏洞分析阶段主要是从前面几个环节获取的信息分析和理解,哪些攻击途径是可行的。

特别需要重点分析端口和漏洞扫描结果,提取到的服务“旗帜”信息,以及在情报收集环节中得到的其他关键信息。

渗透攻击阶段

渗透攻击主要是针对目标系统实施深入研究和测试的渗透攻击,并不是进行大量漫无目的的渗透测试。

后渗透攻击阶段

后渗透攻击阶段主要是从已经攻陷了的客户组织系统标识出关键的基础设施,寻找最具有价值信息和资产。主要包括:基础设施分析、高价值目标识别、掠夺敏感信息、掩踪灭迹、权限维持。

渗透测试报告

报告是渗透测试过程中最为重要的因素,将使用报告文档来交流在渗透测试过程中做了哪些,如何做的,以及最为重要的就是告诉客户组织如何修复所发现的安全漏洞与弱点。

渗透测试的误区

从测试中获得一个好的结果只是一个良好的开始,但企业不应该沾沾自喜,这也不代表企业的网络安全防护工作高枕无忧。

只要组织的数字化系统还在运行,它就时刻会面临各种不断出现的新威胁。网络犯罪分子会不停地寻找系统中的漏洞,如果渗透测试间隔时间长,他们就有机会领先于企业发现可利用的新漏洞。

良好的测试结果只是肯定了过去建设的成绩,并激励组织继续重视在安全方面的投入。因此,企业应该持续性进行渗透测试,以消除新出现的威胁,并确保系统没有威胁。

此外,关于渗透测试还有一个长期存在的误区,那就是外部人员执行渗透测试会比内部人员更有效,其原因是外部人员对企业的数字化系统并不熟悉,因此会更加客观。

虽然客观性是渗透测试有效性的关键,但了解业务系统并不就意味着不客观。

其实渗透测试可由企业内部员工、专业服务商或其他第三方机构完成。渗透测试由标准程序和性能度量组成,只要测试者能够严格遵循测试指导原则,测试结果就是有效的。

对于企业而言,选择的重点不应该放在聘请外部或内部测试者上,而是应该放在寻找能够出色完成工作的测试者上。

结语

‍随着网络安全威胁的不断扩展与升级, 渗透测试目前已经成为现代企业组织主动识别安全漏洞与潜在风险的关键过程。
但不幸的是,仍然有很多组织并未认识到主动评估安全态势的价值,而一些组织尽管开展了渗透测试工作,但主要目的也只是为了满足合规要求。

但不管企业开展渗透测试的目的是什么,只要测试结果能被用于做出有意义的改变,这项工作就是成功和有效的。

企业应该从测试的关键发现中吸取教训,并采取适当的行动来加强组织的安全防御。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能区块链等领域。

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 测试
    +关注

    关注

    8

    文章

    5295

    浏览量

    126625
  • 网络安全
    +关注

    关注

    10

    文章

    3158

    浏览量

    59735
收藏 人收藏

    评论

    相关推荐

    企业服务器平台设计与搭建

    企业服务器平台的设计与搭建是个复杂但系统的过程,涉及多个环节和因素。主机推荐小编为您整理发布企业服务器平台设计与搭建这
    的头像 发表于 12-04 09:51 94次阅读

    亚马逊科技与甲骨合作推出新服务

    近日,亚马逊科技(Amazon Web Services,简称AWS)与甲骨(Oracle)宣布了项重大合作,共同推出了Oracle Database@Amazon Web Services
    的头像 发表于 10-08 14:57 417次阅读

    详解企业数据库是干嘛的

    业上数据库是企业将其数据库系统从传统的本地数据中心迁移到由第三方服务提供商管理的远程服务器上的过程。这样做的目的通常是为了提高数据处理的效率、降低成本、增强数据的安全性和可靠性,以及利用
    的头像 发表于 09-13 11:49 332次阅读

    IBM拟购Accelalpha,强化甲骨应用服务

    IBM近日宣布了项重要战略举措,计划收购业界知名的甲骨应用咨询公司Accelalpha,旨在进步加速客户对甲骨
    的头像 发表于 09-10 15:58 309次阅读

    加速企业管理黑科技,华为 Flexus X 实例首次亮相 828 企业

    推动我国计算创新发展,是提升我国信息化发展水平,打造数字经济新动能的重要支撑。数据显示,近年来,我国计算是全球增速最快的市场之。对企业而言,抓住数字化转型机遇,利用
    的头像 发表于 09-09 22:16 643次阅读
    加速<b class='flag-5'>企业</b>上<b class='flag-5'>云</b>管理黑科技,华为<b class='flag-5'>云</b> Flexus X 实例首次亮相 828 <b class='flag-5'>企业</b>节

    搞懂用ZPC轻松拿捏数据上

    ZPC是ZLG全新研发的显控体机。开源AWTK,版权无忧!AWFlow流图编程,开发很简单!多种通信协议,设备互联超便捷!更有ZWS,数据上很轻松!本文将介绍ZPC轻松拿捏数据上。ZPC简介
    的头像 发表于 09-05 08:05 335次阅读
    <b class='flag-5'>一</b><b class='flag-5'>文</b><b class='flag-5'>搞懂</b>用ZPC轻松拿捏数据上<b class='flag-5'>云</b>

    计算与企业IT成本治理

    计算已经当仁不让成为企业IT架构的核心。 起初企业选择计算的大动因是厂商宣称计算能够带来
    的头像 发表于 06-19 09:40 543次阅读
    <b class='flag-5'>云</b>计算与<b class='flag-5'>企业</b>IT成本治理

    甲骨与谷歌建立合作伙伴

    近日,全球领先的数据库和威廉希尔官方网站 提供商甲骨(Oracle)与谷歌(Google Cloud)共同宣布建立了项意义深远的合作伙伴关系。这
    的头像 发表于 06-12 17:22 918次阅读

    甲骨与谷歌携手,共创威廉希尔官方网站 新篇章

    在数字化浪潮的推动下,计算已成为企业转型升级的必经之路。近日,两大科技巨头——甲骨(Oracle)和谷歌(Google Cloud)正式宣布建立战略合作伙伴关系,共同推出了
    的头像 发表于 06-12 15:10 498次阅读

    按钮和开关触感测试搞懂,内含单柱拉力试验机)

    最近,小编收到客户咨询,能不能用单柱拉力试验机进行按钮和开关触感测试?为了解决客户的测试需求,科准测控为其定制了套威廉希尔官方网站 方案,内含仪器和操作方法。 在今天的电子设备领域,按钮和开关不仅仅是实现功能
    的头像 发表于 05-31 10:01 712次阅读
    按钮和开关触感<b class='flag-5'>测试</b>(<b class='flag-5'>一</b><b class='flag-5'>文</b><b class='flag-5'>搞懂</b>,内含单柱拉力试验机)

    6 倍性能直加速直快,耀 X 实例值得中小企业拥有

    的难题。在这样的背景下,华为推出了项具有革命性意义的创新——华为耀服务器 X 实例(以下简称:耀 X 实例)。这不仅仅是
    的头像 发表于 05-27 18:17 831次阅读
    6 倍性能<b class='flag-5'>一</b>直加速<b class='flag-5'>一</b>直快,<b class='flag-5'>云</b>耀 X 实例值得中小<b class='flag-5'>企业</b>拥有

    搞懂DDR内存原理

    内存(DRAM-RandomAccessMemory)作为当代数字系统最主要的核心部件之,从各种终端设备到核心层数据处理和存储设备,从各种消费类电子设备到社会各行业专用设备,是各种级别的CPU进行
    的头像 发表于 05-09 17:09 2239次阅读
    <b class='flag-5'>一</b><b class='flag-5'>文</b><b class='flag-5'>搞懂</b>DDR内存原理

    pcb应变测试有多重要?了解!

    pcb应变测试有多重要?了解!
    的头像 发表于 02-24 16:26 1085次阅读

    介绍款基于java的渗透测试神器-CobaltStrike

    Cobalt Strike是款基于java的渗透测试神器,常被业界人称为CS神器。
    的头像 发表于 01-16 09:16 972次阅读
    介绍<b class='flag-5'>一</b>款基于java的<b class='flag-5'>渗透</b><b class='flag-5'>测试</b>神器-CobaltStrike

    2023计算企业排行

    企业计算的采用也在全球范围内加速。据IDC报告,2023年全球企业基础设施支出预计将超过1.3万亿美元,比五年前增长了68%。这种增长的驱动力来自于
    发表于 12-27 14:43 536次阅读
    2023<b class='flag-5'>云</b>计算<b class='flag-5'>企业</b>排行