渗透测试的历史

安全资讯 小布 684浏览 0评论

介绍

50 多年来,从 1960 年代中期开始,随着技术的日益复杂,白帽测试人员一直致力于确保计算机系统保持安全,免受试图破坏甚至破坏信息网络的黑客的攻击。随着计算机能够跨通信线路、可能被破坏的线路以及其中包含、被盗或泄露的数据共享信息,保持信息安全的挑战就出现了。今天,每分钟有大约 640 TB 的数据在全球范围内传输,有很多信息需要被窃取,因此需要保护的信息也很多。

 

双重渗透认证

了解网络犯罪分子用来对您的组织进行白帽、道德黑客攻击的工具和技术。

早期历史

早在 1965 年,计算机安全专家就警告政府和企业,计算机跨通信线路交换数据的能力不断增强,这将不可避免地导致试图渗透这些线路并访问正在交换的数据。在 1967 年的年度联合计算机会议上,超过 15,000 名计算机安全专家、政府和商业分析师聚集在一起,讨论了计算机通信线路可能被渗透的担忧,创造了这个术语并确定了当今计算机通信可能面临的主要挑战。

实际测试系统以确保其完整性的想法出现于主要安全网络,例如兰德公司,该网络首先发现了这一现在对互联网通信的主要威胁。兰德公司与美国高级研究计划署 (ARPA) 合作,制作了一份开创性的报告,以其主要作者的名字命名为威利斯报告。该报告讨论了安全问题并提出了政策和技术考虑,即使在今天也为安全措施奠定了基础。

从这份报告开始,政府和企业开始组建团队,试图找到计算机网络和系统中的漏洞,以保护计算机系统免受不道德的黑客攻击或渗透。1960 年代后期,以专门的军事团队命名的所谓老虎队成立,目的是测试计算机网络抵御攻击的能力。大多数系统失败得很快而且非常糟糕。主要由兰德公司和政府进行的渗透测试证明了两件事:首先,系统可以被渗透,其次,使用渗透测试技术来识别系统、网络、硬件和软件中的漏洞是一项有用的练习,需要有待进一步研究和发展。

詹姆斯·P·安德森

渗透测试开发的早期先驱之一是 James P. Anderson。在他 1972 年的报告中,安德森概述了老虎团队可以采取的一系列明确步骤来测试系统被渗透和破坏的能力。Anderson 的方法包括首先识别漏洞并设计针对它的攻击,然后找到攻击本身的弱点以及消除其威胁的方法。这种基本方法至今仍在使用。

在 1970 年代和 1980 年代,对如何创建安全系统的研究仍然很新颖。安德森 1980 年的出版物展示了如何设计一个程序来监控计算机系统的使用,以识别可能预示黑客活动的异常使用情况非常简单,以至于今天任何精明的计算机用户都会很容易理解它的工作原理并能够指向任何数字绕过它的方法。尽管如此,当时的工作仍是开创性的,其中许多方法构成了当今标准系统保护的一部分。

多路信息和计算服务

由广泛的政府、军队和企业实体开发和使用的另一个系统是 Multics(多路复用信息和计算服务)。它可能是计算机系统的鼻祖,从 1965 年到 2000 年以某种形式运行,并且可以说今天仍在运行。霍尼韦尔最终购买了它并为教育、政府和工业提供服务。Multics 的关键发展是它为偏远地区的用户提供安全的计算服务,这是该时期的一项激进发展。Multics 的基本设计即使在今天仍在其他操作系统(如 UNIX)中使用。

Multics 安全系统非常好,它成为第一个也是多年来唯一一个被美国政府授予 B2 评级的操作系统。尽管如此,在 1974 年,美国空军对其 Multics 系统进行了道德黑客攻击,这是美国已知最早的白帽攻击之一,并且暴露了大量漏洞。无论如何,Multics 仍然被认为是世界上最安全的系统之一,部分原因是它的所有安全功能都是标准产品的一部分,而不是补充或附加功能。因此,如果应用程序设计人员希望他们的产品与 Multics 系统配合使用,他们必须确保他们的产品符合访问设计安全许可。然而,今天,当安全功能可以是可选的,而且通常是,应用程序可能无法满足这些要求,

撒但

1990 年代,出现了用于分析网络的安全管理员工具 (SATAN)。这个名字令人震惊,开发人员添加了一项功能,允许将其重新配置为 SANTA,这证明了渗透测试人员和黑客可能天生的恶作剧本性。该工具允许管理员在他们自己的网络上运行一系列测试,以帮助识别可能存在漏洞的区域,并创建一份报告以及解释可能出现的问题的教程。SATAN 不再处于开发阶段,已被其他工具取代,例如 nmap 和 Nessus,仅举几例。

现代

今天,渗透测试的可用选项高度专业化且数量众多。许多系统都包含用于对操作系统进行一系列安全测试的工具。其中一个例子是 Kali Linux,用于数字取证和渗透测试。它包含八种标准安全工具,包括 Nmap、Aircrack-ng、Kismet、Wireshark、Metasploit Framework、Burp Suite 和 John the Ripper。单个系统将包含如此多的渗透测试工具,这表明当今的技术已经变得多么复杂,以及有多少巧妙的黑客发现了在共享计算环境(尤其是 Internet)中制造恶作剧的方法。Pentoo 是一个类似的以渗透测试为重点的系统。

关于黑客构成的威胁的统计数据令人警醒。兰德公司最近的一份报告表明,仅在美国,一年内就有多达 6500 万人的个人数据以某种方式遭到破坏,并且网络犯罪每年产生数十亿美元的收入。同样,那些致力于保护网络信息的人创建的工具也可以用来利用它。

今天,按需渗透测试是测试网络系统可能被破坏和访问信息的方式的最新方法之一。这种测试网络的混合方法结合了道德黑客破坏系统安全的手动和实时尝试,以及对系统运行检查的自动化工具。总之,这种方法被认为提供了更广泛和更严格的安全审查。该方法已经发展到包括基于订阅的服务。这种方法允许可能无法负担广泛的渗透测试工具或具有操作它们的专业知识的人员的小公司聘请专家根据需要检查他们的系统。由于许多系统范围的检查每半年运行一次,因此这种方法可能是一种具有成本效益的方法,特别是对于较小的组织。

渗透测试职业

如今,每年在安全工具和检查上的花费超过 64 亿美元,而渗透执行标准在 2009 年才确立了几年。可用于建立和维持安全系统的一系列工具可能令人生畏。外行。对于寻求职业道路的人来说,渗透测试是一个新兴且增长更快的领域,充满了令人兴奋的可能性,并且有多种途径可以为在该领域的职业生涯做准备。

转载请注明:布尔云安的博客 » 渗透测试的历史

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址