重庆网站搭建方案,热搜关键词,如何帮别人推广赚钱,榆林做网站的公司渗透测试 (penetration test)并没有一个标准的定义#xff0c;国外一些安全组织达成共识的通用说法是#xff1a;渗透测试是通过模拟恶意黑客的攻击方法#xff0c;来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析#x…渗透测试 (penetration test)并没有一个标准的定义国外一些安全组织达成共识的通用说法是渗透测试是通过模拟恶意黑客的攻击方法来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析这个分析是从一个攻击者可能存在的位置来进行的并且从这个位置有条件主动利用安全漏洞。
换句话来说渗透测试是指渗透人员在不同的位置比如从内网、从外网等位置利用各种手段对某个特定网络进行测试以期发现和挖掘系统中存在的漏洞然后输出渗透测试报告并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告可以清晰知晓系统中存在的安全隐患和问题。
我们认为渗透测试还具有的两个显著特点是渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
作为网络安全防范的一种新技术对于网络安全组织具有实际应用价值。但要找到一家合适的公司实施渗透测试并不容易。
No.1 知道为什么要测试
执行渗透测试的目的是什么是满足审计要求是你需要知道某个新应用在现实世界中表现如何你最近换了安全基础设施中某个重要组件而需要知道它是否有效或者渗透测试根本就是作为你定期检查防御健康的一项例行公事
当你清楚做测试的原因时你也就知晓自己想从测试中得到什么了而这可以让测试规划工作更有效率。知道做测试的缘由可以让人恰当地确立测试的范围确定测试结果将会揭露什么问题。
或许这一步中最重要的一部分是让团队提前架设好准备从测试结果中得出正确的结论的心理预期。如果测试是要审查IT基础设施的某个特定方面(比如说新的Web应用)那就没必要着墨于公司整体安全。理解做测试的缘由可以让你问出正确的问题得到能被恰当理解的结果。
No.2 测试方法
有些渗透测试人员通过使用两套扫描器进行安全评估。这些工具至少能够使整个过程实现部分自动化这样技术娴熟的专业人员就可以专注于所发现的问题。如果探查得更深入则需要连接到任何可疑服务某些情况下还要利用漏洞。
商用漏洞扫描工具在实际应用中存在一个重要的问题如果它所做的测试未能获得肯定答案许多产品往往会隐藏测试结果。譬如有一款知名扫描器就存在这样的缺点要是它无法进入Cisco路由器或者无法用SNMP获得其软件版本号它就不会做出这样的警告该路由器容易受到某些拒绝服务DoS攻击。如果不知道扫描器隐藏了某些信息譬如它无法对某种漏洞进行测试你可能误以为网络是安全的而实际上网络的安全状况可能是危险的。
除了找到合适工具以及具备资质的组织进行渗透测试外还应该准确确定测试范围。攻击者会借助社会工程学、偷窃、贿赂或者破门而入等手法获得有关信息。真正的攻击者是不会仅仅满足于攻击某个企业网络的。通过该网络再攻击其它公司往往是黑客的惯用伎俩。攻击者甚至会通过这种方法进入企业的ISP。
No.3 测试技巧
为了从渗透测试上获得最大价值应该向测试组织提供尽可能详细的信息。这些组织同时会签署保密协议这样你就可以更放心地共享策略、程序及有关网络的其它关键信息。
还要确定的是哪些系统需要测试。虽然你不想漏掉可能会受到攻击的某个系统但可能仍想分阶段把渗透测试外包出去以便每个阶段专注于网络的不同部分。
你还应该制订测试准则譬如说渗透测试人员可以探查漏洞并进行测试但不得利用因为这可能会危及到你想要保护的系统。
此外你还要提供合适的测试途径。如果你想测试在非军事区DMZ里面的系统最好的测试地方就是在同一个网段内测试。让渗透测试人员在防火墙外面进行测试听起来似乎更实际但内部测试可以大大提高发现防火墙原本隐藏的服务器安全漏洞的可能性。因为一旦防火墙设置出现变动就有可能暴露这些漏洞或者有人可能通过漏洞利用一台DMZ服务器攻击其它服务器。还记得尼姆达病毒吗它就是首次攻击得逞后、利用一台Web服务器发动其它攻击的。
以外部需要访问的Web或应用服务器为例你应该考虑与渗透测试人员共享这些应用的源代码如果测试涉及这些脚本或程序的话。没有源代码很难测试ASP或CGI脚本事先认定攻击者根本不会看到源代码是不明智的。Web服务器软件里面的漏洞往往会把脚本和应用暴露在远程攻击者面前。如果能够获得应用的源代码则可以提高测试该应用的效率。毕竟你出钱是为了让渗透测试人员查找漏洞而不是浪费他们的时间。
No.4 做好计划
了解测试目的并确定测试范围后就可以开始制定测试计划了。定出详细明确的测试条件和需求最为重要任何松散或须经解释的测试要求都会削减渗透测试的效率。需做好详尽计划的原因有很多其中最主要的原因与成本控制和提升测试结果可用性有关。
良好的测试计划应分为多个部分。一个部分帮助委托公司巩固其测试方案的要求。一个部分确认测试返回数据的类型。还要有一部分内容为向公司执行委员会解释测试开销做准备。
测试计划不是制定好后就固定不变的测试过程中可能需作出修订。测试团队被聘用后他们可能会针对某些测试元素提出一些能产生更好结果的建议。其中关键就在于公司内部就该测试计划达成一致后 安全团队就能判断渗透测试员的建议是否能满足测试需求了不用什么都依靠测试团队的力量。
No.5 雇佣正确的团队
提供渗透测试服务的公司和顾问很多。这些公司都有各自的优势和弱点他们的技术技巧各有千秋呈现测试结果的方式也有好有坏。公司有必要确保所选测试团队的能力尽可能地符合测试需要。
要注意的是测试需求应高于客户要求。确实有些团队在导引征求建议书(RFP)过程或挤进获批供应商列表上颇有心得但他们执行测试计划所需渗透测试动作的技术未必比得上这些在应付客户上的技巧。选择渗透测试团队时应将测试技术放在第一位会计和行政管理方面的能力次之。
可以考察测试团队的老辣程度看他们如何在不推翻原计划的条件下提出建议改进客户的测试计划。这也是为什么前期要做好测试计划的一个重要原因。因为可以检查测试过程中的种种改动。
No.6 不要干预
渗透测试的目的就是要展现出公司企业安全状态的实际情况所以尽量不要为了得到一个好看的结果而人为干扰渗透测试员给防御方提供不公平的优势。
事实上红队几乎总能渗透进公司网络边界。我们当前的技术和操作就是这样的。很多情况下真正的问题存在于蓝队到底什么时候才能发现已被攻破会如何响应。
无论测试结果如何都要让测试过程正常进行以便结果真实、准确、有用。管理层的任何干预都会毁了渗透测试的有效性请一定记得在测试完成前不要插手。
No.7 注意结果
测试完成后你会得到一份完整的报告需仔细研读。渗透测试员应向你呈现出测试的结果如果你有机会根据测试结果改进安全系统别放过这种机会。
或许渗透测试是为了满足监管合规要求而做的。也有可能你就没想找任何理由来改变你的安全防御。这都没关系。你的安全防御如今已被攻破而你可以看清安全计划的成功之处与失败的地方。
如果测试结果被用于做出有意义的改变渗透测试就是划算的。而划算的渗透测试也更有可能在未来获得公司高层的安全预算。
No.8 沟通结果
对大多数公司来说渗透测试的结果不局限在安全团队范围内。至少对整个IT部门都有影响而很多情况下还有高管们需要看到的信息。
很多安全人员都觉得向非安全专业的经理传达渗透测试结果是过程中最难的部分。不仅需要说明都做了什么为什么要这么做还要用他们能听懂的语言解释需要作出什么改动。这往往意味着要用商业术语沟通而不是以技术语言阐述。
正如渗透测试可被视为真实攻击的预演将其他部门的同事纳入结果阐述和操作展示的受众范围也有助于确保被接收的信息确实是你想要传达的。
对很多业务经理而言网络安全是个令人望而生畏的高难度领域尽量别用过多的行话让业务经理们在座位上一头雾水坐卧不宁。
既然都已经花大力气做了计划并执行了切实的渗透测试那就努力让测试结果对整个公司有用吧。
