什么是 NIST 渗透测试框架?

安全资讯 小布 364浏览 0评论

随着时间的推移,网络威胁的风险越来越大。虽然新技术的集成创造了业务效率和增强的互连性,但它也使组织面临新形式的网络相关风险。为了应对这一日益严重的问题,美国国家标准与技术研究院 (NIST)制定了 NIST 网络安全框架 (CSF)。该框架可作为管理网络安全风险的指南。评估您遵守 NIST 的最佳方法之一是进行基于 NIST 的渗透(笔)测试。但是pentest 框架需要什么呢?

 

让我们讨论。

 

什么是 NIST 渗透测试? 

渗透测试通常被称为形式“道德黑客”。

如果您的组织想要评估您的网络安全漏洞,很少有方法更有效。它暴露了您系统的优势和劣势,然后可以利用这些优势来了解黑客可能陷入的陷阱有多深。通过模拟真实世界的攻击,您可以识别绕过网络、系统或应用程序安全功能的可能方法。

渗透测试有几个好处,包括:

  • 衡量您的防御有多严格以及您的系统对现实世界攻击的容忍程度。
  • 发现攻击者成功破坏您的网络安全防御所需的必要复杂程度。
  • 确定可以限制系统威胁的进一步对策。
  • 了解您能够如何有效地检测攻击并对其做出响应。

渗透测试越密集,您必须响应的有用和可操作的信息就越多。更多的信息往往会导致更好的安全实践。根据NIST:

渗透测试场景应侧重于定位和定位应用程序、系统或网络的设计和实现中的可利用缺陷。测试应该重现最有可能和最具破坏性的攻击模式——包括最坏的情况,例如管理员的恶意操作。

渗透测试过程相对简单——业务和测试人员同意一组严格的测试参数,然后测试人员以两种方式之一开始工作:

 

外部渗透测试测试 

外部渗透测试在您组织的安全边界之外进行。

也称为黑帽测试,它允许您的企业衡量您的安全状况,就像在寻求进入您的网络(通常通过互联网)的外人看来一样;测试人员从对您的网络安全环境的零知识开始。

外部渗透测试的目标是揭示可能被恶意攻击者利用的漏洞。尽管每种方法都不同,但您可以期望测试人员采用以下路线:

  • 侦察– 测试员继续执行事实调查任务,在互联网上搜索公开信息,例如:
    • DNS 服务器信息
    • IP地址
    • 操作系统
    • 新闻组帖子
  • 枚举– 测试人员使用发现和扫描技术来查找外部主机以及侦听服务。
  • 规避– 测试人员应用规避技术来规避常见的外围防御,例如:
    • 防火墙
    • 路由器
    • 访问控制
  • 初始攻击– 测试人员发送攻击的开场齐发,以测试常见应用程序协议的响应。
  • 漏洞攻击——在找到可从外部访问的服务器后,测试人员试图获得对内部服务器和敏感信息的访问权限。
  • 持续发现——测试人员寻找替代的访问方法暴露,包括:
    • 无线接入点
    • 调制解调器
    • 内部服务器的门户

 

 

内部渗透测试

内部测试为攻击者提供了一个先机。

他们事先获得了信息,这使他们能够模拟来自员工的攻击。这意味着他们从特权地位开始。

内部渗透测试揭示了可利用的漏洞,尤其是与系统级安全和配置相关的漏洞,包括:

  • 验证
  • 访问控制
  • 系统强化
  • 应用配置
  • 服务配置

通常,测试人员开始时至少具有某种级别的网络访问权限,具有与典型用户相同的权限和信息;尽管他们可以被授予更多特权,具体取决于您的具体测试目标。

测试人员的目标是通过权限提升进一步访问其他网络和系统。从那里开始,任务是确定黑客可以进入网络的深度以及可能造成的破坏程度。

Pentest框架阶段 

无论渗透测试是内部的还是外部的,NIST 渗透测试框架都侧重于四个总体阶段:

  1. 规划
  2. 发现
  3. 攻击
  4. 报告

测试人员不会进行单个测试,而是进行多个测试。这会创建一个反馈循环,新发现的信息允许他们深入研究您的系统。您可以在此图中看到此循环的可视化表示:

 

规划阶段 

规划阶段代表渗透测试的前期阶段。在此初始阶段,渗透测试员将与您的组织会面以概述测试的细节,包括:

  • 期望
  • 目标
  • 目标
  • 法律影响

测试人员力求深入了解风险、文化以及需要进行的测试类型。确定规则后,您的组织应通过文档获得管理层的批准。

需要注意的是,零测试发生在第一阶段。

 

发现阶段 

发现阶段实际上可以分为两个独立的子阶段:

测试 

测试人员开始测试的初始过程,该过程旨在收集信息和扫描系统。根据攻击者的不同,有几种不同的技术可用于收集关键细节,包括:

  • 网络端口和服务识别– 测试仪使用端口扫描器来识别:
    • 网络端口
    • 当前在活动主机上运行的服务
    • 在每个识别的服务上运行的应用程序

 

  • 主机名和 IP 地址信息– 测试仪执行 DNS 查询、网络嗅探和 Inter NIC 查询以发现主机名和 IP 地址。
  • 系统信息——虽然这通常仅限于内部测试,但可以利用网络信息系统和 NetBIOS 枚举来查找共享和名称等信息。
  • 员工姓名和联系信息– 测试人员搜索您的 Web 服务器或主管服务器以显示员工信息。
  • 应用程序和服务信息——横幅抓取允许测试人员记录版本号。
  • 物理事实调查– 此外,设施的物理演练或垃圾箱潜水可能会提供更多有用的信息。

 

漏洞分析 

发现阶段的下一部分涉及漏洞分析。

在此阶段,测试人员将收集扫描主机的服务、应用程序和操作系统。然后,他们会将这些类别与漏洞数据库和测试人员自己的知识进行比较。

这可以使用数字或手动流程来完成。手动过程需要更长的时间,但可能能够识别自动扫描程序可能遗漏的漏洞。

攻击阶段

正如NIST所说,“执行攻击是任何渗透测试的核心。”

通常,攻击阶段遵循四个步骤,如果成功则重复执行:

  1. 获得访问-如果攻击成功的,在漏洞被证实和可能减轻答复中所列。大多数漏洞利用不允许测试人员拥有最高级别的访问权限;相反,他们倾向于教测试人员更多关于网络及其漏洞的知识。
  2. 提升特权——在某些情况下,漏洞利用可能允许测试人员提升他们在网络或系统上的特权,以确定真正的风险级别。
  3. 系统浏览——信息收集过程允许测试人员识别新的方式来访问其他系统。
  4. 安装额外的工具——如果测试人员做到了这一点,他们可以在系统或网络上安装更多的工具,这将使他们能够深入研究额外的系统或资源。

在第 4 步发生后,您可以利用该新信息返回到第 1 步并重新开始该过程。通过每次连续攻击,测试人员都能够收集有关系统和网络的更多信息。这反过来又使他们能够利用新发现的漏洞并获得进一步的访问权限。

常见的漏洞包括:

  • 错误配置– 错误配置的安全设置或部分不安全的默认设置。
  • 内核缺陷——内核代码——操作系统的核心部分——负责执行整个安全模型。
  • 缓冲区溢出——如果程序没有正确处理正确长度的输入,具有管理员级别权限的任意代码可能会进入系统。
  • 输入验证不足——当应用程序无法验证它们从用户那里收到的输入时,它会将系统暴露给 SQL 注入攻击。
  • 符号链接– 也称为符号链接,这种类型的文件会将您发送到另一个文件。可以利用符号链接来破坏系统文件。
  • 竞争条件——如果程序处于特权模式,用户可以小心地安排他们的攻击时间,使用提升的特权作为入口。
  • 不正确的文件和目录权限– 不正确的权限可能会使您的系统暴露在一系列不同的攻击之下。

 

报告阶段 

尽管从技术上讲它是按顺序排列的,但报告阶段应该贯穿渗透测试的其他三个阶段。这通常通过书面日志和定期报告进行维护。

测试完成后,测试团队将准备一份综合报告,其中包括:

  • 已知漏洞
  • 当前风险评级
  • 整治指导

在六个月到一年的时间里,可以重复该测试,以了解您的组织在降低整体风险状况方面的成功程度。

 

NIST 框架的 5 个核心功能 

渗透测试可帮助您的组织遵守 NIST 设置的框架。

该框架旨在通过遵循五个核心功能来改善关键基础设施的网络安全:

  1. 识别– 组织深入全面地了解其安全环境以更好地管理其系统、资产、功能和数据的各种风险,这一点至关重要。这些知识使您能够根据风险管理策略(根据您的业务需求量身定制)确定工作的优先级。

如果您想遵循此功能,您必须完全了解您的数字和物理资产。这样做可以让您更好地了解您的风险敞口,从而输入风险缓解措施。

  1. 保护——一旦你发现了风险,你就必须对它们做出反应。如何?通过制定和实施适当的保护措施来防止或减少攻击的影响。这可以通过多种方式实现,包括:
    1. 访问控制
    2. 识别管理
    3. 意识和培训
    4. 数据安全
    5. 信息保护流程和程序
    6. 防护技术
    7. 维护
  2. 检测– 您需要安装可以立即检测攻击或异常活动的措施。监控应持续进行,以便您的组织能够保持网络可见性,从而响应或预测攻击。通过不断寻找威胁,您可以衡量系统的效率并为未来的威胁做好准备。
  3. 响应– 如果确实发生网络入侵,您的组织必须制定计划以防止其造成严重损害。您[R应急预案小号HOULD负责双方停止事件所必需的响应和缓解动作显然不识数的当事人和防止未来的曝光。活动结束后,您有机会确定需要改进的领域。
  4. 恢复– 如果攻击削弱或损害您的能力或服务,会发生什么?您需要制定一个恢复计划,以便您恢复活动和功能。通常,这将基于作为快速恢复指南的优先行动要点列表。

 

使用 RSI 安全性的 NIST 渗透测试  

通过模拟真实世界的攻击,渗透测试是您可以用来评估组织网络安全防御的最佳方法之一。通过定期执行此操作,您可以加强努力,防止黑客访问您的关键任务系统和数据。

渗透测试使您能够:

  • 识别安全漏洞和风险
  • 优先考虑网络安全风险
  • 发现错误配置和后门漏洞
  • 了解所有潜在的攻击媒介
  • 以快速有效的方式响应违规行为

但是,根据 NIST渗透测试框架,您可以信任谁来充分执行渗透测试?

布尔云安作为渗透测试专家,我们将您置于黑客的头脑中,以便您始终领先于他们一步。因此,如果您今天需要帮助,请不要再犹豫了。今天就联系我们,看看我们如何帮助进行有效的测试并加强您的网络安全!

转载请注明:布尔云安的博客 » 什么是 NIST 渗透测试框架?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址