笔测试有哪些不同类型?

安全资讯 小布 308浏览 0评论

主动!虽然这句话听起来像是一个自助口号,但它也是当前网络安全最佳实践的关键词。越来越多的公司不再等待攻击发生,而是转向道德黑客攻击,尤其是渗透测试以保护其网络环境。渗透测试通过揭示可预防的网络攻击来增强风险管理计划。通过本综合指南了解不同类型的渗透测试以及它们如何保护您的业务。现在继续阅读!

什么是渗透测试?

一个渗透测试,也被称为笔测试,是硬件或软件的恶意攻击,以确定可以通过威胁演员在将来被利用的漏洞。渗透测试通常有两个目标,即确定系统完整性受到损害的程度以及可以访问多少用户或公司数据。渗透测试因入侵程度而异——道德黑客可以渗透到系统、应用程序或硬件的深度。在进行渗透测试时,安全团队通常会查看注入漏洞、损坏的身份验证、损坏的授权和不当的错误处理。

为什么渗透测试很重要?

渗透测试提供了有关公司特有的网络安全弱点所在的急需的洞察力。并非所有公司都是一样的,虽然威胁评估会寻找常见的系统弱点,但渗透测试会识别特定客户独有的弱点。与其在攻击发生后花钱进行损害控制,渗透测试可以识别编码错误,确保强大的安全控制到位并按预期运行,并检测新的软件错误,所有这些都突出了需要更多关注的威胁向量。此外,许多法规现在都要求进行渗透测试,包括HIPAAPCI DSS

Positive Technologies 于 2018 年发布了一份报告,详细介绍了其所有企业客户之间渗透测试结果的共性。测试涵盖能源、金融、交通、IT等多个领域。下图突出显示了渗透测试揭示的主要漏洞,并指出这些漏洞是否属于中、高或严重威胁范围。了解常见威胁为威胁评估和渗透测试提供了基准。

布尔云安的博客

渗透测试的好处

  1. 在真正的威胁行为者利用它之前发现安全漏洞将节省公司的时间、金钱和声誉损失。
  2. 与真正的攻击不同,渗透测试通常可以在不影响公司日常运营的情况下进行。
  3. 渗透测试有助于在响应时间、通信链和工具功能方面建立基线。
  4. 进行渗透测试遵循现行法规并实现行业合规性。

漏洞评估与渗透测试

虽然漏洞评估和渗透测试都为网络安全团队提供了宝贵的见解,但它们不可互换。相反,它们应该相互结合使用。

漏洞评估 

漏洞评估着眼于公司的环境,对风险进行排名,并评估当前的安全控制。此类评估以资源为中心,查看哪些资源面临最大威胁,然后分配安全预算以解决最关键的风险。

笔测试

另一方面,笔测试是以测试为中心的。这些测试利用并尝试升级情况以识别网络、应用程序和物理位置的弱点。当工程师完成渗透测试时,他们将向客户提供一份识别风险的报告。如上所述,渗透测试会寻找所有弱点,而不仅仅是某些行业的公司通常预期的弱点。

但是漏洞扫描呢?

另一个经常被误解的概念是漏洞扫描。这些扫描可以自动进行并搜索已知漏洞,而渗透测试(通常是手动)寻找新漏洞。例如,漏洞扫描可能会将可用的系统补丁与公司实际实施的补丁进行比较,但它不会寻找新的漏洞。一些著名的扫描工具有 Nessus、GFI LANGuard、Rapid7、Retina、Qualys。

测试类型

从意义上讲,有两种类型的渗透测试:“白盒”和“黑盒​​”。白盒测试发生在漏洞评估之后和公司披露系统信息之后。相反,黑盒测试将侦察留给了渗透测试人员,这意味着漏洞利用的程度取决于测试人员的黑客攻击和信息收集技能。在这两个类别中,安全专家可以进行五种类型的渗透测试。

网络服务测试 

网络渗透测试评估客户端的接入点网络基础设施。这种测试既包括本地运行测试,用于识别内部漏洞,也包括远程测试,用于识别外部可访问的漏洞。通常,网络渗透测试将查看防火墙配置、IPS 欺骗、DNS 攻击和软件模块。防火墙配置还可以包括状态分析测试,它监视活动网络连接并确定允许哪些网络数据包通过防火墙。

客户端测试

客户端测试,也称为内部测试,查看本地问题,例如当用户访问他/她设备上的应用程序时。例如,浏览器和软件包(如 Microsoft、Adobe 或 Photoshop)可能具有在用户计算机上表现不同的应用程序缺陷。与试图突破大型公司的网络边界相比,客户端攻击将更加集中和有针对性。根据InfoSec Institute的说法,客户端渗透测试应该回答以下问题:

  • 组织的安全态势有多可靠?
  • 是否存在任何漏洞?
  • 攻击者利用这些漏洞会造成什么危害?
  • 恶意行为者如何利用漏洞?
  • 员工的访问权限和特权设置是否正确?
  • 如何以经济和明智的方式关闭检测到的弱点?

无线网络测试

无线网络测试评估无线网络的设备和连通性。这些测试将分析协议配置、接入点、DoS 攻击向量和信号泄漏(网络覆盖指定覆盖区域之外的范围)。渗透测试对于提供无线服务以提高客户满意度的公司尤其有益。例如,我们都被警告登录到咖啡馆网络的危险。过去,保护不足的网络使用 LAN(局域网),它使用有线等效保密 (WEP),这是一种现已过时且极其不安全的无线网络保护形式。需要注意的是,无线网络渗透测试不仅仅包括 Wi-Fi;它还涵盖与网络交互的蓝牙和蓝牙低功耗 (BLE) 设备。

社会工程学测试

社会工程学测试通过试图“渗透”员工本应接受的安全培训来针对人际网络。渗透测试人员可以进行远程或物理测试。远程测试利用电子方式(例如电子邮件)试图欺骗员工授予访问权限或泄露敏感信息。网络钓鱼活动是一个远程示例,并且通常是成功的,因为它们利用目标的需求(例如免费假期)或需求(例如银行帐户验证)来欺骗目标。物理攻击涉及与设施中的人员互动。例如,渗透测试团队可能伪装成维护团队并试图在建筑物内虚张声势。

网络应用测试 

基于Web的应用程序测试着眼于与 Web 应用程序相关的浏览器和插件。进行 Web 应用渗透测试涉及消费者端和后端的端点安全。一个渗透测试人员会考虑功能性,可用性,安全性,兼容性和Web应用程序的性能。功能包括链接、默认/错误消息、cookie(即记住用户会话以便更容易返回网站的文件)、HTML 和 CSS。为了可用性,工程师检查导航和内容。对于 Web 应用安全接口和数据库测试,以及会话访问和支付信息流程是常用的测试载体。

自动与手动渗透测试

在确定如何启动渗透测试时,公司面临两种选择。他们可以使用自动化系统,也可以聘请人工团队来手动进行渗透测试。在大多数情况下,公司选择实施自动化和手动测试的组合。无论如何,包括 PCI DSS、FISMA、MARS-E、HIPAA、Sarbanes-Oxley 和 ISO在内的许多法规都需要某种渗透测试来实现合规性。

手动– 通过手动测试,专家工程师收集数据,运行漏洞测试,尝试利用已识别的漏洞,最后撰写一份包含建议性更正的报告。如果使用手动测试,公司可以通过进行有针对性的手动测试或全面的手动测试来更轻松地定制渗透测试。综合测试涉及情景细节,与重点测试相比,更多基于场景的测试。

自动化– 自动化渗透测试速度更快,可由知识较少的人运行。此外,它们通常更高效并且可以自动运行。对于无法聘请专家工程师的小型公司,自动化渗透测试可能是理想的选择。自动化测试的主要弱点是它不能像个人那样“像黑客一样思考”。换句话说,人类渗透测试员拥有更好地分析情况的能力。此外,专家可以一次运行多个测试,而并非所有自动化系统都可以进行多任务处理。

使用第三方

在渗透测试方面,第三方可能是一个很好的资源,但在签订合同之前了解利弊很重要。

优点– 在渗透测试的情况下,许多专家同意第三方渗透测试增强了问责制并提供了对安全控制有效性的公正评估。如果您没有资格进行渗透测试的经验丰富的内部团队,那么尝试运行此类测试的非熟练员工可能会导致停机和性能问题。聘请第三方为无法聘请全职渗透测试员的公司提供了一种节省成本的选择。

缺点——如果没有对第三方进行研究,公司可能会聘请不合格的团队。因此,公司会危及其敏感/专有信息。正如专家经常指出的那样,可以访问的人越多,数据面临的风险就越大。彻底审查任何潜在的第三方并在合同中制定明确的指导方针可以降低风险。

最后,在进行渗透测试时信息可能会丢失,因此备份一如既往地是一个好主意。

NIST 的笔测试建议

在美国国家标准与技术研究院(NIST)的特别出版物 SP 800-115 中,标题“为信息安全测试和评估技术指南‘’,公司可以找到渗透测试的四步流程。这绝不意味着是一个不灵活的结构;相反,它是有兴趣了解一般渗透测试过程的公司的垫脚石。

第 1 步:规划阶段让公司有机会建立目标、确定规则并最终确定法律文件。尽管渗透测试属于道德黑客行为,但它仍然是黑客行为,因此从法律上讲涵盖所有角度很重要。

STEP 2:发现阶段的前半部分涉及信息收集和系统扫描,而后半部分则侧​​重于漏洞分析。在信息收集阶段,专家识别 IP 地址、端口、系统名称和应用程序信息(例如,版本)。如果进行物理笔测试,第一阶段可能会有所不同。在第二个发现阶段,测试人员将通过参考内部编译的列表或第三方数据库(例如国家漏洞数据库(NVD))来比较/确定是否存在常见漏洞。

第 3 步: 在攻击阶段,渗透测试人员实际上会尝试进入系统、网络或位置。获得访问权限依赖于有足够的信息来穿透防御。下一步涉及提升权限,基本上是试图获得对系统的控制。一旦实现访问和控制,渗透测试员将通过浏览可用的数据库、文件或通信渠道来查看哪些信息可能受到损害。最后,测试人员可能会看到他们可以留下/安装哪些插件或恶意软件。

第 4 步:报告过程总结结果,并就如何加强薄弱网络、系统、应用程序等提出建议。

图片来源:NIST SP 800-115

需要帮忙?

渗透测试为公司提供了加强内部和外部安全控制的重要知识。此外,此类测试凸显了公司对消费者隐私和合规性要求的奉献。如果您有兴趣了解有关渗透测试优势的更多信息,请立即联系布尔云安。

转载请注明:布尔云安的博客 » 笔测试有哪些不同类型?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址