不同類型的安全滲透測試(也稱為滲透測試)是網(wǎng)絡(luò)安全武器庫中的關(guān)鍵武器,因為它們使安全主動性成為可能。鑒于威脅形勢正在快速發(fā)展,即使是最好的應(yīng)用程序和網(wǎng)絡(luò)安全措施也可能存在漏洞,因此通過滲透測試來測試安全措施的有效性和強度。必須注意的是,各種類型的安全滲透測試并不相同,每種都有自己的優(yōu)勢和范圍。在本文中,將詳細探討這些不同類型的滲透測試。
什么是安全滲透測試?
滲透測試是在安全條件下針對目標系統(tǒng)/應(yīng)用程序/網(wǎng)絡(luò)/基礎(chǔ)設(shè)施模擬實時網(wǎng)絡(luò)攻擊的過程。滲透測試不能自動進行,必須由受信任的滲透測試人員進行。在滲透測試結(jié)束時,滲透測試人員會提供一份詳細的報告,其中包含目標系統(tǒng)的安全狀態(tài)和將安全風(fēng)險降至最低的對策。
筆測試比漏洞掃描更嚴格、更深入。在漏洞掃描中,利用自動化來識別已知的漏洞簽名和安全弱點。正是通過筆測試來評估此類漏洞的可利用性和致命性。此外,還會識別安全配置錯誤、業(yè)務(wù)邏輯缺陷和未知漏洞等,并使用不同類型的安全滲透測試評估它們的可利用性。
安全滲透測試有哪些類型?
1.網(wǎng)絡(luò)滲透測試
網(wǎng)絡(luò)基礎(chǔ)設(shè)施(網(wǎng)絡(luò)、系統(tǒng)、主機、網(wǎng)絡(luò)設(shè)備(路由器、交換機等))中的漏洞、差距和漏洞可通過網(wǎng)絡(luò)滲透測試識別。它是最常見的滲透測試類型。結(jié)合本地和遠程測試,涵蓋內(nèi)部和外部訪問點。識別內(nèi)部和外部攻擊者可利用的入口點,并通過這種滲透測試類型評估面向互聯(lián)網(wǎng)的關(guān)鍵資產(chǎn)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的安全風(fēng)險。
常見的目標領(lǐng)域:
- 防火墻配置
- 防火墻繞過
- 狀態(tài)分析
- 數(shù)據(jù)庫服務(wù)器
- IPS/IDS規(guī)避
- SMTP 郵件服務(wù)器
- 域名系統(tǒng)
- 打開端口
- 代理服務(wù)器等
2.應(yīng)用滲透測試
應(yīng)用筆測試是一種復(fù)雜、詳細且有針對性的測試類型,其中需要進行戰(zhàn)略規(guī)劃以提高效率。在這里,全球接受的行業(yè)框架用于模擬針對應(yīng)用程序的實時攻擊,以暴露由不安全的編碼、開發(fā)和設(shè)計實踐引起的安全漏洞。
常見的目標領(lǐng)域:
- Web 應(yīng)用程序和網(wǎng)站
- 軟件
- 移動應(yīng)用
- 內(nèi)部/外部開發(fā)的程序
- 蜜蜂
- Applet 和 Scriptlet
- 插件
- 構(gòu)架
- 瀏覽器
- 語言
- CRM、HR系統(tǒng)、SAP等系統(tǒng)。
3.物理滲透測試
物理滲透測試,也稱為物理入侵測試,是指滲透測試人員試圖破壞物理安全控制/障礙以訪問關(guān)鍵資產(chǎn)/敏感區(qū)域的地方。這種形式的筆測試提供了對安全漏洞、安全未知數(shù)和物理資產(chǎn)面臨的現(xiàn)實風(fēng)險的深入洞察。
共同目標:
- 周邊安全
- RFID 和門禁系統(tǒng)
- 入侵警報
- 物理位置上的鎖
- 相機
- 傳感器和運動檢測器
- 陷阱
- 組織中的人際網(wǎng)絡(luò)
4.社會工程滲透測試
通過社會工程滲透測試,測試人員通過操縱、欺騙、網(wǎng)絡(luò)釣魚、詐騙、威脅、尾隨和垃圾箱挖掘來瞄準組織中的人際網(wǎng)絡(luò),以獲取對專有/機密信息的訪問權(quán)或?qū)Y產(chǎn)的物理訪問權(quán)。人類是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié),他們?nèi)狈σ庾R常常被惡意行為者利用。鑒于 90% 的網(wǎng)絡(luò)攻擊都是通過社會工程(尤其是網(wǎng)絡(luò)釣魚)發(fā)起的,因此社會工程滲透測試是必不可少的。
5.客戶端滲透測試
客戶端筆測試/內(nèi)部測試是指測試人員識別組織內(nèi)部出現(xiàn)并可從客戶端利用的潛在安全威脅。
共同目標:
- 客戶端軟件
- 網(wǎng)頁瀏覽器
- 內(nèi)容創(chuàng)建軟件(MS Office Suite、Photoshop、Adobe Page Maker)
- 媒體播放器等
6.無線網(wǎng)絡(luò)滲透測試
測試人員通過無線網(wǎng)絡(luò)滲透測試識別和分析客戶端使用的無線設(shè)備中的漏洞,以檢測流氓/弱設(shè)備和不安全的接入點。除了包括平板電腦、智能手機、筆記本電腦等無線設(shè)備外,還包括無線協(xié)議、無線接入點和管理員憑據(jù)。
結(jié)論
定期滲透測試可以為組織節(jié)省數(shù)百萬美元,這對于強大和主動的網(wǎng)絡(luò)安全策略以及強大的安全態(tài)勢至關(guān)重要。然而,進行滲透測試沒有萬能的解決方案。鑒于各行業(yè)和個人業(yè)務(wù)需求在安全需求和環(huán)境方面存在巨大差異,安全滲透測試類型的選擇必須高度定制和情境化。要根據(jù)您的業(yè)務(wù)需求和環(huán)境定制設(shè)計和實施滲透測試。
網(wǎng)站資訊
解決方案
關(guān)于我們
