什么时候进行客户端渗透测试合适?

安全资讯 小布 464浏览 0评论

客户端渗透测试,也称为内部测试,是利用客户端应用程序(例如电子邮件客户端、Web 浏览器、Macromedia Flash、Adobe Acrobat 等)中的漏洞的行为。根据赛门铁克互联网安全威胁报告,威胁参与者正在远离网络周边的大型和多用途网络攻击,而更专注于针对 Web 和客户端应用程序的更小、更有针对性的攻击。

 

回答所有这些问题可以提供任何组织当前安全状况的真实情况。根据渗透测试的结果,如果需要,可以采取额外的步骤来增强组织的安全性。

在本文中,您将了解应该多久执行一次渗透测试、渗透测试和漏洞评估对于客户端安全的重要性、渗透测试需要哪些信息以及最大的客户端安全漏洞和威胁的名称,以及就像他们在 2017 年造成的损害一样。到最后,你会注意到公司应该用来教育员工的一些最佳实践。

公司应多久进行一次渗透测试以衡量其客户端安全性?

对于理想的渗透测试时间表,没有硬性规定。但是,当出现以下一种或多种情况时,组织应随时进行渗透测试:

  • 公司地址变更
  • 添加了新的 IT 基础架构或客户端应用程序
  • 对当前基础设施进行了更改
  • 应用了安全补丁

IT Governance 建议每 3 个月后进行 1 级渗透测试,具体取决于企业的风险偏好。级别 1 渗透测试尝试涉及自动扫描和手动评估,以查找影响客户端系统和应用程序的漏洞。

另一方面,如果您的企业具有高价值或知名度,则 2 级渗透测试是合适的。在这种情况下,由于贵公司持有的关键信息或业务性质,敌对的内部人员专门针对您的组织。应每年进行 2 级渗透测试。

对于 PCI DSS 合规性,渗透测试(通常适用于所有类型的渗透测试)应至少每年进行一次,或者在使用中的 IT 基础设施和应用程序进行重要修改或升级时进行。

客户端安全是否需要漏洞扫描或渗透测试?

客户端安全需要渗透测试,因为客户端攻击可以迅速危及您的关键资产和信息。测试您的员工的易感性以及您的网络识别和响应客户端攻击的能力至关重要。

客户端渗透测试者使用的最常见入口点是办公套件、JavaScript、Java 插件、ActiveX、Adobe、媒体播放器和支持 XSS 的网站。

另一方面,如果存在已知漏洞,并且组织的成熟度为中到高,则可以进行漏洞扫描。

公司可以向渗透测试人员提供哪些信息以获得更准确的结果?

根据渗透特殊利益集团 PCI 安全标准委员会发布的信息补充:渗透测试指南,渗透测试可以分为三种类型:白盒、黑盒和灰盒。

所需的信息取决于渗透测试的性质。对于白盒渗透测试,客户端可以向渗透测试者提供完整的应用程序和网络信息。在测试开始之前,黑盒渗透测试可能不需要任何细节。在灰盒渗透测试中,客户端提供目标系统的部分细节。

对于Web 应用程序渗透测试,以下清单包括渗透测试前渗透测试人员最关键的信息:

  •     确定渗透测试的类型(黑盒或白盒)
  •     渗透测试的主要目标
  •     验证授权书是否已签署。
  •     提供 Web 应用程序的 URL 及其访问权限
  •     确定动态和静态页面的数量
  •     测试边界(例如,XXS、劫持、HTML 注入和开放重定向)
  •     技术(例如,NET、ASP、PHP 和 Apache)
  •     任何端口号或 VPN
  •     客户端希望从测试中排除的网页
  •     上报联系人
  •     Web 应用程序防火墙和任何其他入侵检测系统 (IDS) 到位
  •     渗透测试的时间范围(小时和日期)

最大的客户端安全漏洞是什么?

当笔记本电脑或台式机上存在未修补的软件时,通常会发生最大的客户端漏洞之一。敌对行为者可以通过特制的电子邮件或诱使员工访问恶意网页来利用易受攻击的应用程序。

此外,客户端更新中可能存在漏洞。这样,攻击者就可以拦截更新过程,将其恶意代码与原始更新一起发送。因此,员工可能会下载受感染的更新而不是原始更新。

由于 U 盘上加载了恶意软件,因此存在另一个值得注意的漏洞。USB 设备通常包含恶意的可执行代码或 PDF 文件,一旦插入受害者的机器就会自动执行。

有哪些“新”客户端安全攻击?

根据2018 漏洞统计报告,客户端安全攻击占他们调查的整体“应用程序漏洞分类法”的 24%。根据报告,各种类型的客户端安全攻击包括跨站点脚本 (XSS)、点击劫持、CORS、表单劫持、HTML 注入和开放重定向。

跨站脚本 (XSS)

这是 Web 应用程序中最大的漏洞之一,预计将成为 2018 年剩余时间的主要威胁。 XSS 攻击是一种注入类型,其中恶意脚本被注入到受信任和其他良性网站中。因此,用户的浏览器信任并执行该脚本,因为它认为脚本来自受信任的来源。一旦脚本被执行,它就可以访问会话令牌、cookie 或 Web 浏览器保留的其他关键信息。

点击劫持

这是一种欺骗用户点击与用户认为他或她正在点击的内容不同的东西的恶性技术。恶意点击劫持由在用户不知情的情况下执行的脚本或嵌入代码组成。

跨域资源共享 (CORS)

CORS 尝试允许请求提供第一个资源的网站上的所有受限资源。本网站可能包含自由嵌入的视频、脚本、样式表、iframe 和跨源图像。

表单劫持

表单劫持是另一种有害技术,用于利用易受攻击的填写 Web 表单发送垃圾邮件。

HTML 注入

HTML 注入攻击类似于 XSS(前面描述过);唯一的区别是 HTML 注入只允许注入特定的 HTML 标签,而不是注入和执行 JavaScript 代码(在 XSS 中就是这种情况)。

打开重定向

开放重定向,也称为未经验证的重定向和转发攻击,是 Web 开发人员最常忽视的漏洞之一。如果“HTTP GET”请求中的参数值允许将用户重定向到任意外部域的信息,则您的网站容易受到开放重定向的影响。如今,开放重定向正在打开新的网络钓鱼攻击的闸门。

2017 年客户端安全漏洞造成的损失有多大?

由 Ponemon Institute 和埃森哲进行的 2017 年网络犯罪成本研究调查了企业因网络犯罪(包括客户端安全漏洞)而产生的总成本。在这项研究中,来自七个国家的组织接受了调查,包括美国、德国、日本、英国、澳大利亚、法国和意大利。以下来自这份报告的统计数据显示了 2017 年的客户端攻击及其引发的损害:

  •     基于 Web 的攻击造成1230 万美元的损失
  •     恶意的内部触发$ 8.42万损失
  •     网络钓鱼和社会工程造成849 万美元的损失
  •     恶意代码触发$ 8.24万损失
  •     被盗设备造成497 万美元的损失

结论

我们开始意识到组织首当其冲地受到客户端安全漏洞的影响。为防止此类攻击,公司应采取防御措施,对员工进行有关客户端安全问题的培训。以下防御性考虑对公司至关重要:

  • 公司必须确保每个系统和应用程序都正确打了补丁,如果存在任何未打补丁的机器,员工应立即向安全管理人员报告。
  • 对您的员工进行网络钓鱼攻击方面的教育,并要求他们不要打开任何恶意或不需要的链接。
  • 让员工意识到他们一直受到监控,任何可疑活动都会报告给安全管理人员。
  • 教育您的员工了解当前的安全趋势和客户端攻击。如果发生任何事件,您的员工必须能够在攻击成为严重问题之前立即检测到并做出响应。
  • 增强您的端点安全控制,以确保它们能够检测到恶意活动。员工还应了解这些控制措施,以更好地了解其组织的安全状况。
  • 进行定期审核,以确保每位员工都遵守有关客户端安全的规则和规定。例如,您的员工不得信任除他试图访问的页面之外的任何重定向页面。
  • 不要使用 HTTP。如果您希望员工在访问网站时安全,则需要使用 SSL (HTTPS)。
  • 沙盒潜在的恶意 iframe。如果公司使用 iframe 从外部网站加载内容,他们可能也需要保护这些 iframe。
  • 教育您的员工定期删除历史记录、缓存、cookie 和表单自动完成功能。

转载请注明:布尔云安的博客 » 什么时候进行客户端渗透测试合适?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址