從攻擊者的角度思考可以更快速了解企業(yè)在網(wǎng)絡(luò)防御方面的不足。網(wǎng)絡(luò)安全滲透測(cè)試工作的本質(zhì)就是扮演攻擊性黑客的角色，梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑，以便更好地修復(fù)或應(yīng)對(duì)風(fēng)險(xiǎn)。

　　滲透測(cè)試的常見類別

　　滲透測(cè)試的具體類型有很多，大致可分為三個(gè)主要類別：網(wǎng)絡(luò)滲透測(cè)試、應(yīng)用程序滲透測(cè)試以及社會(huì)工程。

　　01 網(wǎng)絡(luò)滲透測(cè)試

　　無線網(wǎng)絡(luò)滲透測(cè)試：這種類型的測(cè)試涉及滲透測(cè)試人員評(píng)估客戶定義的無線網(wǎng)絡(luò)。測(cè)試人員將尋找無線加密中已知的缺陷，試圖破解密鑰，誘使用戶向“雙面惡魔”（evil twin）接入點(diǎn)或被攻擊者控制的文件夾提供憑據(jù)，并暴力破解登錄詳細(xì)信息。惡意接入點(diǎn)掃描可以通過物理位置和經(jīng)過身份驗(yàn)證的無線分段測(cè)試完成這些評(píng)估類型，以確定攻擊者在成功連接到環(huán)境后可以訪問的內(nèi)容。

　　外部網(wǎng)絡(luò)滲透測(cè)試：在外部網(wǎng)絡(luò)滲透測(cè)試中，面向互聯(lián)網(wǎng)的資產(chǎn)會(huì)成為模擬攻擊目標(biāo)。通常，目標(biāo)資產(chǎn)由客戶提供，但也可以在客戶確認(rèn)的情況下執(zhí)行“無范圍”（no-scope）測(cè)試。測(cè)試人員將嘗試在掃描期間發(fā)現(xiàn)的任何可利用漏洞。此外，允許登錄的暴露服務(wù)將受到密碼猜測(cè)攻擊的影響，例如暴力破解或密碼噴射。對(duì)外開放的企業(yè)網(wǎng)站通常會(huì)接受額外的審查，以尋找攻擊者容易利用的常見Web漏洞。

　　內(nèi)部網(wǎng)絡(luò)滲透測(cè)試：內(nèi)部網(wǎng)絡(luò)測(cè)試評(píng)估是從已獲得組織內(nèi)部網(wǎng)絡(luò)訪問權(quán)限的角度進(jìn)行，可以在測(cè)試人員和客戶員工之間提供有益的互動(dòng)，測(cè)試人員可以使用客戶提供的基礎(chǔ)設(shè)施，或是他們自己的物理或虛擬遠(yuǎn)程測(cè)試系統(tǒng)來進(jìn)行遠(yuǎn)程訪問。

　　02 應(yīng)用程序滲透測(cè)試

　　Web應(yīng)用滲透測(cè)試：Web應(yīng)用程序滲透測(cè)試側(cè)重于通過Web應(yīng)用程序呈現(xiàn)給攻擊者的攻擊面。這些測(cè)試類型旨在評(píng)估Web應(yīng)用程序的安全性，并尋找攻擊性方法來訪問敏感數(shù)據(jù)，或獲得對(duì)Web應(yīng)用程序的控制權(quán)限。在此評(píng)估期間，組織通常會(huì)向測(cè)試人員提供憑據(jù)訪問權(quán)限，以審查整個(gè)應(yīng)用程序。

　　移動(dòng)應(yīng)用滲透測(cè)試：主要指通過對(duì)已編譯的移動(dòng)應(yīng)用程序進(jìn)行靜態(tài)分析，或進(jìn)行動(dòng)態(tài)運(yùn)行時(shí)分析，來評(píng)估移動(dòng)應(yīng)用程序的安全性。此外，移動(dòng)設(shè)備參與的通信過程也都會(huì)被分析和評(píng)估。這通常包括與網(wǎng)頁數(shù)據(jù)或API調(diào)用的HTTP連接。

　　密集（Thick）應(yīng)用滲透測(cè)試：在Linux和Windows等桌面或服務(wù)器操作系統(tǒng)上運(yùn)行的編譯應(yīng)用程序需要復(fù)雜的逆向工程。這種評(píng)估類型將包括反匯編（將計(jì)算機(jī)編碼譯成普通語言）和反編譯應(yīng)用程序，并在應(yīng)用程序運(yùn)行時(shí)使用調(diào)試器附加到應(yīng)用程序以進(jìn)行運(yùn)行時(shí)分析。該測(cè)試旨在分析應(yīng)用程序通信是否以不安全的方式傳輸敏感信息。

　　03 社會(huì)工程攻擊測(cè)試

　　網(wǎng)絡(luò)釣魚：每個(gè)組織都可能成為網(wǎng)絡(luò)釣魚攻擊的目標(biāo)。這種評(píng)估類型旨在確定組織的用戶群對(duì)魚叉式網(wǎng)絡(luò)釣魚攻擊的敏感性。該測(cè)試的目標(biāo)不是評(píng)估組織電子郵件保護(hù)的有效性，而是確定當(dāng)郵件避開這些過濾器時(shí)用戶將如何反應(yīng)。這些評(píng)估的結(jié)果可以用于增強(qiáng)組織的反社會(huì)工程意識(shí)計(jì)劃。

　　電話語音釣魚：測(cè)試人員會(huì)使用來電顯示欺騙技術(shù)冒充用戶、支持人員或客戶。該評(píng)估旨在說服用戶執(zhí)行一些可能會(huì)披露信息或提供對(duì)組織系統(tǒng)的訪問權(quán)限的操作。許多用戶會(huì)根據(jù)來電號(hào)碼選擇信任來電者。部分用戶會(huì)察覺出攻擊并以各種方式做出響應(yīng)，例如咨詢安全顧問或在通話后聯(lián)系信息安全團(tuán)隊(duì)。

　　USB令牌注入：用戶可能會(huì)無意中嘗試將USB設(shè)備連接到環(huán)境中。在此評(píng)估類型中，測(cè)試人員會(huì)將部署看似普通的USB驅(qū)動(dòng)器，并誘使用戶將該設(shè)備插入公司系統(tǒng)。這些USB設(shè)備可以是包含建立遠(yuǎn)程連接的惡意文件的典型驅(qū)動(dòng)器，也可以是在連接時(shí)執(zhí)行某些鍵盤操作。

　　收集短信釣魚：這種評(píng)估類型類似于網(wǎng)絡(luò)釣魚，但利用的媒介變?yōu)镾MS或短消息服務(wù)向用戶發(fā)送欺詐性的消息。與網(wǎng)絡(luò)釣魚一樣，這些活動(dòng)將嘗試讓用戶訪問冒充組織的站點(diǎn)或嘗試傳遞惡意木馬病毒。

　　滲透測(cè)試的關(guān)鍵步驟

　　從企業(yè)的角度來看，滲透測(cè)試的目標(biāo)是驗(yàn)證現(xiàn)有的安全策略有效性，以識(shí)別可能造成潛在風(fēng)險(xiǎn)的不足。而在滲透測(cè)試人員的心目中，他們的目標(biāo)是實(shí)際登錄到被測(cè)試的系統(tǒng)和應(yīng)用程序，并嘗試數(shù)據(jù)竊取行動(dòng)。真正的攻擊者根本沒有范圍限制，并且可以通過多種方式攻擊組織，例如直接攻擊暴露在互聯(lián)網(wǎng)上的業(yè)務(wù)系統(tǒng)和應(yīng)用程序，或利用員工某些安全薄弱環(huán)節(jié)實(shí)現(xiàn)入侵。在滲透測(cè)試服務(wù)的實(shí)施中，通常都需要包括以下關(guān)鍵步驟：

　　01 偵察

　　研究組織給定目標(biāo)的細(xì)節(jié)。這通常涉及廣泛的OSINT（開源情報(bào)），它將在測(cè)試人員通過其他階段時(shí)為他們提供幫助。此階段產(chǎn)生的信息可以包括但不限于主機(jī)名、IP地址、員工姓名和電子郵件地址。

　　02 攻擊面枚舉

　　該階段會(huì)枚舉攻擊者可以與之交互的元素。在社會(huì)工程模式下，被攻擊的對(duì)象可以是服務(wù)、Web應(yīng)用程序、人員甚至是建筑物。每個(gè)可以交互的參數(shù)或接口都能在此階段被識(shí)別出來。

　　03 漏洞檢測(cè)

　　漏洞是目標(biāo)資源中存在的缺陷，攻擊者可以利用存在的漏洞缺陷引發(fā)意想不到的后果，例如系統(tǒng)訪問、信息泄露或拒絕服務(wù)攻擊。在此階段會(huì)識(shí)別出可能被攻擊者利用的漏洞。

　　04 滲透攻擊

　　這是滲透測(cè)試過程中最核心的環(huán)節(jié)。在此環(huán)節(jié)中，滲透測(cè)試團(tuán)隊(duì)需要利用他們所找出的目標(biāo)系統(tǒng)安全缺陷，來真正入侵系統(tǒng)獲得訪問控制權(quán)或訪問更多的敏感數(shù)據(jù)。

　　05 撰寫報(bào)告

　　在滲透測(cè)試完成之后，相關(guān)數(shù)據(jù)需要以清晰的方式關(guān)聯(lián)并呈現(xiàn)給客戶。這份報(bào)告應(yīng)該包含之前所有階段之中滲透測(cè)試團(tuán)隊(duì)所獲取的關(guān)鍵情報(bào)信息、探測(cè)和發(fā)掘出的系統(tǒng)安全漏洞、成功滲透攻擊的過程，以及造成業(yè)務(wù)影響后果的攻擊途徑，同時(shí)還要站在防御者的角度上，幫助他們分析安全防御體系中的薄弱環(huán)節(jié)、存在的問題，以及修補(bǔ)技術(shù)方案。

　　06 修復(fù)和重新測(cè)試

　　當(dāng)測(cè)試結(jié)果提交后，接下來就是快速修復(fù)組織既定政策和流程中發(fā)現(xiàn)的漏洞。在某些情況下，發(fā)現(xiàn)的漏洞無法直接修復(fù)，但可以通過其他機(jī)制解決，例如額外的安全措施或補(bǔ)償控制。滲透測(cè)試人員也可以重新參與以提供補(bǔ)救證據(jù)或評(píng)估緩解措施的效果。

　　需要指出的是，這些測(cè)試階段并不一定是固化的，滲透測(cè)試人員可能會(huì)根據(jù)需要不斷重復(fù)之前的步驟。

　　對(duì)滲透測(cè)試的7個(gè)誤解

　　定期開展?jié)B透測(cè)試對(duì)企業(yè)來說很寶貴，其作用不僅僅在于發(fā)現(xiàn)安全問題，對(duì)軟件開發(fā)人員更深入了解系統(tǒng)實(shí)際運(yùn)行情況也會(huì)大有幫助。不過，當(dāng)很多企業(yè)準(zhǔn)備制定滲透測(cè)試計(jì)劃時(shí)，他們對(duì)滲透測(cè)試服務(wù)的理解和需求，往往與真實(shí)服務(wù)現(xiàn)況存在著很多偏差和誤區(qū)。

　　誤解1、滲透測(cè)試是為了漏洞評(píng)估

　　漏洞評(píng)估包括識(shí)別和分類已知漏洞，生成需要注意的優(yōu)先漏洞列表，并推薦修復(fù)它們的方法。而安全威脅非常多樣，并不僅限于安全漏洞的利用。滲透測(cè)試側(cè)重于模擬攻擊者的行為，在服務(wù)完成后，測(cè)試人員需要生成一份詳細(xì)報(bào)告，說明測(cè)試過程中是如何破壞安全性以達(dá)到先前商定的目標(biāo)（例如破壞工資系統(tǒng)），并提供相應(yīng)的威脅緩解方案。

　　誤解2、人工測(cè)試將會(huì)被自動(dòng)化取代

　　為了實(shí)現(xiàn)常態(tài)化、持續(xù)性的安全能力測(cè)試，許多企業(yè)開始大量使用自動(dòng)化技術(shù)驅(qū)動(dòng)的安全測(cè)試方法，但需要指出的是：目前的自動(dòng)化測(cè)試模式大多屬于安全掃描，而非真正的滲透攻擊測(cè)試。不可否認(rèn)自動(dòng)化測(cè)試的應(yīng)用價(jià)值，但真正的攻擊行為是和機(jī)器模擬入侵有很大差異的。經(jīng)驗(yàn)、創(chuàng)造力和好奇心是滲透測(cè)試的核心，而這都是專業(yè)滲透人員獨(dú)有的。在自動(dòng)化測(cè)試完成之后，必須要配合人工測(cè)試方式，從攻擊者的視角發(fā)現(xiàn)問題。

　　誤解3、滲透測(cè)試僅用于發(fā)現(xiàn)技術(shù)缺陷

　　滲透測(cè)試的目的是為了發(fā)現(xiàn)組織安全防護(hù)體系中的不足。在測(cè)試中，測(cè)試方可以應(yīng)用包括社會(huì)工程方式在內(nèi)的多種方法。因此，在滲透測(cè)試之前，通常會(huì)確定是否需要專門評(píng)估某項(xiàng)技術(shù)的安全性。在實(shí)際應(yīng)用中，測(cè)試工程師可能會(huì)被授權(quán)做更多事情，例如掃描社交媒體以獲取可利用的信息，或嘗試通過電子郵件從用戶那里獲取敏感數(shù)據(jù)，甚至嘗試欺騙獲取用戶的賬號(hào)權(quán)限等。

　　誤解4、滲透測(cè)試需要由外部團(tuán)隊(duì)完成

　　滲透測(cè)試可由企業(yè)內(nèi)部員工、專業(yè)服務(wù)商或其他第三方機(jī)構(gòu)完成。理想情況下，外部測(cè)試人員會(huì)定期檢查內(nèi)部測(cè)試人員的工作。

　　誤解5、滲透測(cè)試僅對(duì)大型企業(yè)有價(jià)值

　　如今，一些監(jiān)管法規(guī)和行業(yè)標(biāo)準(zhǔn)都明確提出要求，組織需要定期進(jìn)行滲透測(cè)試。例如，醫(yī)療保健提供者需要進(jìn)行測(cè)試，以確保他們能夠保護(hù)其醫(yī)療數(shù)據(jù)安全。同時(shí)，任何接受或處理信用卡的企業(yè)都必須符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）。滲透測(cè)試結(jié)果有時(shí)也會(huì)被引用為合規(guī)事件處理時(shí)的證據(jù)。

　　誤解6、滲透測(cè)試總是主動(dòng)的

　　滲透測(cè)試可以是主動(dòng)的或被動(dòng)的。大多數(shù)情況下，組織會(huì)主動(dòng)執(zhí)行測(cè)試以幫助防止違規(guī)行為。但是，測(cè)試后取證分析期間的滲透測(cè)試也可以幫助安全團(tuán)隊(duì)了解發(fā)生了什么，以及事件是如何發(fā)生的，所有這些信息還可以幫助組織防止未來發(fā)生類似的事件。

　　誤解7、滲透測(cè)試不會(huì)采用DDoS

　　滲透測(cè)試人員需要最大程度地避免在測(cè)試過程中對(duì)企業(yè)正常業(yè)務(wù)開展造成影響。拒絕服務(wù)攻擊由于破壞性較大，一般較少在滲透測(cè)試工作中使用。但是，在某些情況下，測(cè)試人員需要針對(duì)具有資源消耗型漏洞的特定系統(tǒng)執(zhí)行拒絕服務(wù)攻擊，以深入了解攻擊覆蓋面和影響規(guī)模，并制定適當(dāng)?shù)木徑獯胧┮员苊獯祟惞簟?/p>

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<