不同類型的安全滲透測(cè)試(也稱為滲透測(cè)試)是網(wǎng)絡(luò)安全武器庫(kù)中的關(guān)鍵武器,因?yàn)樗鼈兪拱踩鲃?dòng)性成為可能。鑒于威脅形勢(shì)正在快速發(fā)展,即使是最好的應(yīng)用程序和網(wǎng)絡(luò)安全措施也可能存在漏洞,因此通過(guò)滲透測(cè)試來(lái)測(cè)試安全措施的有效性和強(qiáng)度。必須注意的是,各種類型的安全滲透測(cè)試并不相同,每種都有自己的優(yōu)勢(shì)和范圍。在本文中,將詳細(xì)探討這些不同類型的滲透測(cè)試。
什么是安全滲透測(cè)試?
滲透測(cè)試是在安全條件下針對(duì)目標(biāo)系統(tǒng)/應(yīng)用程序/網(wǎng)絡(luò)/基礎(chǔ)設(shè)施模擬實(shí)時(shí)網(wǎng)絡(luò)攻擊的過(guò)程。滲透測(cè)試不能自動(dòng)進(jìn)行,必須由受信任的滲透測(cè)試人員進(jìn)行。在滲透測(cè)試結(jié)束時(shí),滲透測(cè)試人員會(huì)提供一份詳細(xì)的報(bào)告,其中包含目標(biāo)系統(tǒng)的安全狀態(tài)和將安全風(fēng)險(xiǎn)降至最低的對(duì)策。
筆測(cè)試比漏洞掃描更嚴(yán)格、更深入。在漏洞掃描中,利用自動(dòng)化來(lái)識(shí)別已知的漏洞簽名和安全弱點(diǎn)。正是通過(guò)筆測(cè)試來(lái)評(píng)估此類漏洞的可利用性和致命性。此外,還會(huì)識(shí)別安全配置錯(cuò)誤、業(yè)務(wù)邏輯缺陷和未知漏洞等,并使用不同類型的安全滲透測(cè)試評(píng)估它們的可利用性。
安全滲透測(cè)試有哪些類型?
1.網(wǎng)絡(luò)滲透測(cè)試
網(wǎng)絡(luò)基礎(chǔ)設(shè)施(網(wǎng)絡(luò)、系統(tǒng)、主機(jī)、網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)等))中的漏洞、差距和漏洞可通過(guò)網(wǎng)絡(luò)滲透測(cè)試識(shí)別。它是最常見(jiàn)的滲透測(cè)試類型。結(jié)合本地和遠(yuǎn)程測(cè)試,涵蓋內(nèi)部和外部訪問(wèn)點(diǎn)。識(shí)別內(nèi)部和外部攻擊者可利用的入口點(diǎn),并通過(guò)這種滲透測(cè)試類型評(píng)估面向互聯(lián)網(wǎng)的關(guān)鍵資產(chǎn)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的安全風(fēng)險(xiǎn)。
常見(jiàn)的目標(biāo)領(lǐng)域:
- 防火墻配置
- 防火墻繞過(guò)
- 狀態(tài)分析
- 數(shù)據(jù)庫(kù)服務(wù)器
- IPS/IDS規(guī)避
- SMTP 郵件服務(wù)器
- 域名系統(tǒng)
- 打開(kāi)端口
- 代理服務(wù)器等
2.應(yīng)用滲透測(cè)試
應(yīng)用筆測(cè)試是一種復(fù)雜、詳細(xì)且有針對(duì)性的測(cè)試類型,其中需要進(jìn)行戰(zhàn)略規(guī)劃以提高效率。在這里,全球接受的行業(yè)框架用于模擬針對(duì)應(yīng)用程序的實(shí)時(shí)攻擊,以暴露由不安全的編碼、開(kāi)發(fā)和設(shè)計(jì)實(shí)踐引起的安全漏洞。
常見(jiàn)的目標(biāo)領(lǐng)域:
- Web 應(yīng)用程序和網(wǎng)站
- 軟件
- 移動(dòng)應(yīng)用
- 內(nèi)部/外部開(kāi)發(fā)的程序
- 蜜蜂
- Applet 和 Scriptlet
- 插件
- 構(gòu)架
- 瀏覽器
- 語(yǔ)言
- CRM、HR系統(tǒng)、SAP等系統(tǒng)。
3.物理滲透測(cè)試
物理滲透測(cè)試,也稱為物理入侵測(cè)試,是指滲透測(cè)試人員試圖破壞物理安全控制/障礙以訪問(wèn)關(guān)鍵資產(chǎn)/敏感區(qū)域的地方。這種形式的筆測(cè)試提供了對(duì)安全漏洞、安全未知數(shù)和物理資產(chǎn)面臨的現(xiàn)實(shí)風(fēng)險(xiǎn)的深入洞察。
共同目標(biāo):
- 周邊安全
- RFID 和門禁系統(tǒng)
- 入侵警報(bào)
- 物理位置上的鎖
- 相機(jī)
- 傳感器和運(yùn)動(dòng)檢測(cè)器
- 陷阱
- 組織中的人際網(wǎng)絡(luò)
4.社會(huì)工程滲透測(cè)試
通過(guò)社會(huì)工程滲透測(cè)試,測(cè)試人員通過(guò)操縱、欺騙、網(wǎng)絡(luò)釣魚、詐騙、威脅、尾隨和垃圾箱挖掘來(lái)瞄準(zhǔn)組織中的人際網(wǎng)絡(luò),以獲取對(duì)專有/機(jī)密信息的訪問(wèn)權(quán)或?qū)Y產(chǎn)的物理訪問(wèn)權(quán)。人類是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié),他們?nèi)狈σ庾R(shí)常常被惡意行為者利用。鑒于 90% 的網(wǎng)絡(luò)攻擊都是通過(guò)社會(huì)工程(尤其是網(wǎng)絡(luò)釣魚)發(fā)起的,因此社會(huì)工程滲透測(cè)試是必不可少的。
5.客戶端滲透測(cè)試
客戶端筆測(cè)試/內(nèi)部測(cè)試是指測(cè)試人員識(shí)別組織內(nèi)部出現(xiàn)并可從客戶端利用的潛在安全威脅。
共同目標(biāo):
- 客戶端軟件
- 網(wǎng)頁(yè)瀏覽器
- 內(nèi)容創(chuàng)建軟件(MS Office Suite、Photoshop、Adobe Page Maker)
- 媒體播放器等
6.無(wú)線網(wǎng)絡(luò)滲透測(cè)試
測(cè)試人員通過(guò)無(wú)線網(wǎng)絡(luò)滲透測(cè)試識(shí)別和分析客戶端使用的無(wú)線設(shè)備中的漏洞,以檢測(cè)流氓/弱設(shè)備和不安全的接入點(diǎn)。除了包括平板電腦、智能手機(jī)、筆記本電腦等無(wú)線設(shè)備外,還包括無(wú)線協(xié)議、無(wú)線接入點(diǎn)和管理員憑據(jù)。
結(jié)論
定期滲透測(cè)試可以為組織節(jié)省數(shù)百萬(wàn)美元,這對(duì)于強(qiáng)大和主動(dòng)的網(wǎng)絡(luò)安全策略以及強(qiáng)大的安全態(tài)勢(shì)至關(guān)重要。然而,進(jìn)行滲透測(cè)試沒(méi)有萬(wàn)能的解決方案。鑒于各行業(yè)和個(gè)人業(yè)務(wù)需求在安全需求和環(huán)境方面存在巨大差異,安全滲透測(cè)試類型的選擇必須高度定制和情境化。要根據(jù)您的業(yè)務(wù)需求和環(huán)境定制設(shè)計(jì)和實(shí)施滲透測(cè)試。
網(wǎng)站資訊
解決方案
關(guān)于我們
