消除系統(tǒng)和應(yīng)用程序的弱點(diǎn)是網(wǎng)絡(luò)安全的優(yōu)先事項(xiàng)。公司依靠各種技術(shù)來(lái)發(fā)現(xiàn)軟件缺陷，但沒(méi)有任何測(cè)試方法能提供比滲透測(cè)試更真實(shí)、更全面的分析。本文是 對(duì)滲透測(cè)試的介紹。繼續(xù)閱讀以了解滲透測(cè)試的工作原理以及公司如何使用這些測(cè)試來(lái)防止 代價(jià)高昂且具有破壞性的違規(guī)行為。

滲透測(cè)試定義

滲透測(cè)試（或滲透測(cè)試）是對(duì)網(wǎng)絡(luò)攻擊的模擬，用于測(cè)試計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序的安全漏洞。這些測(cè)試依賴于真正的黑客用來(lái)破壞業(yè)務(wù)的工具和技術(shù)的組合。滲透測(cè)試的其他常見(jiàn)名稱(chēng)是 白帽攻擊 和 道德黑客攻擊。

滲透測(cè)試人員通常使用 自動(dòng)化測(cè)試工具 和手動(dòng)實(shí)踐的組合來(lái)模擬攻擊。測(cè)試人員還使用滲透工具來(lái)掃描系統(tǒng)并分析結(jié)果。一個(gè)好的滲透測(cè)試工具應(yīng)該：

• 易于設(shè)置和使用。
• 快速進(jìn)行系統(tǒng)掃描。
• 根據(jù)嚴(yán)重程度對(duì)弱點(diǎn)進(jìn)行排序。
• 自動(dòng)驗(yàn)證弱點(diǎn)。
• 重新驗(yàn)證過(guò)去的漏洞。
• 提供詳細(xì)的報(bào)告和日志。

滲透測(cè)試的主要目標(biāo)是識(shí)別操作系統(tǒng)、服務(wù)、應(yīng)用程序、配置和用戶行為中的安全問(wèn)題。這種形式的測(cè)試使團(tuán)隊(duì)能夠發(fā)現(xiàn)：

• 系統(tǒng)漏洞和安全漏洞。
• 不遵守?cái)?shù)據(jù)隱私和安全法規(guī)（PCI、 HIPAA、 GDPR等）
• 整個(gè)團(tuán)隊(duì)缺乏安全意識(shí)。
• 威脅識(shí)別協(xié)議中的缺陷。
• 事件響應(yīng)計(jì)劃的改進(jìn)空間 。
• 安全策略中的錯(cuò)誤。

公司通常聘請(qǐng)外部承包商進(jìn)行滲透測(cè)試。由于缺乏系統(tǒng)知識(shí)，第三方測(cè)試人員比內(nèi)部開(kāi)發(fā)人員更徹底、更有創(chuàng)造力。一些公司還運(yùn)行賞金計(jì)劃，邀請(qǐng)自由職業(yè)者入侵系統(tǒng)，并承諾如果他們違反系統(tǒng)，將收取費(fèi)用。

滲透測(cè)試的最終結(jié)果是什么？

滲透測(cè)試的最終結(jié)果是滲透 測(cè)試報(bào)告。一份報(bào)告會(huì)通知 IT 和網(wǎng)絡(luò)系統(tǒng)管理員有關(guān)測(cè)試發(fā)現(xiàn)的缺陷和漏洞。報(bào)告還應(yīng)包括解決問(wèn)題和改進(jìn)系統(tǒng)防御的步驟。

每份滲透測(cè)試報(bào)告都應(yīng)包括：

• 執(zhí)行摘要： 摘要提供了測(cè)試的高級(jí)概述。非技術(shù)讀者可以使用摘要來(lái)深入了解滲透測(cè)試所揭示的安全問(wèn)題。
• 工具、方法和向量： 本節(jié)介紹測(cè)試背后的工具和方法。測(cè)試人員還概述了導(dǎo)致成功入侵的逐步攻擊模式。
• 詳細(xì)發(fā)現(xiàn)： 此部分列出了滲透測(cè)試發(fā)現(xiàn)的所有安全風(fēng)險(xiǎn)、漏洞、威脅和問(wèn)題。與執(zhí)行摘要不同，報(bào)告的這一部分深入探討了技術(shù)細(xì)節(jié)。
• 建議： 建議部分解釋了如何提高安全性并保護(hù)系統(tǒng)免受真正的網(wǎng)絡(luò)攻擊。

您應(yīng)該多久進(jìn)行一次滲透測(cè)試？

公司定期進(jìn)行滲透測(cè)試，通常每年一次。除了年度測(cè)試外，公司還應(yīng)該在團(tuán)隊(duì)出現(xiàn)以下情況時(shí)組織滲透測(cè)試：

• 添加新的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
• 安裝新的應(yīng)用程序。
• 顯著升級(jí)或修改基礎(chǔ)架構(gòu)或應(yīng)用程序。
• 在新地點(diǎn)設(shè)立辦公室。
• 添加新的安全補(bǔ)丁。
• 更改最終用戶策略。

根據(jù)您公司的規(guī)模和預(yù)算，在團(tuán)隊(duì)進(jìn)行更改時(shí)運(yùn)行滲透測(cè)試可能并不現(xiàn)實(shí)。在這種情況下，團(tuán)隊(duì)?wèi)?yīng)該結(jié)合使用滲透測(cè)試和漏洞掃描。雖然效率不高，但自動(dòng)漏洞掃描比滲透測(cè)試更快、更便宜。

滲透測(cè)試步驟

滲透測(cè)試是一個(gè)復(fù)雜的實(shí)踐，由幾個(gè)階段組成。以下是滲透測(cè)試如何檢查目標(biāo)系統(tǒng)的分步說(shuō)明。

滲透測(cè)試范圍

此步驟涉及測(cè)試的初步準(zhǔn)備。團(tuán)隊(duì)?wèi)?yīng)該：

• 概述測(cè)試的后勤工作。
• 定義測(cè)試范圍。
• 設(shè)定期望。
• 設(shè)定目標(biāo)。
• 定義滲透團(tuán)隊(duì)的侵略限制。
• 考慮潛在的法律影響。

偵察（情報(bào)收集）

黑客開(kāi)始了解系統(tǒng)并在情報(bào)收集階段尋找潛在的切入點(diǎn)。這個(gè)階段需要團(tuán)隊(duì)主要收集有關(guān)目標(biāo)的信息，但測(cè)試人員也可以發(fā)現(xiàn)表面級(jí)的弱點(diǎn)。

偵察步驟包括掃描：

• 所有硬件。
• 本地和無(wú)線網(wǎng)絡(luò)。
• 防火墻。
• 相關(guān)應(yīng)用。
• 網(wǎng)站。
• 基于云的系統(tǒng)。
• 員工行為和協(xié)議。

偵察階段的另一個(gè)常用術(shù)語(yǔ)是 開(kāi)源情報(bào) (OSINT) 收集。

威脅建模

測(cè)試人員使用偵察階段的洞察力來(lái)設(shè)計(jì)自定義威脅以滲透系統(tǒng)。該團(tuán)隊(duì)還識(shí)別和分類(lèi)不同的資產(chǎn)進(jìn)行測(cè)試。

手術(shù)

測(cè)試人員試圖通過(guò)他們?cè)谠缙陔A段找到的入口點(diǎn)闖入目標(biāo)。如果他們破壞了系統(tǒng)，測(cè)試人員會(huì)嘗試提升他們的訪問(wèn)權(quán)限。在系統(tǒng)中橫向移動(dòng)使?jié)B透測(cè)試人員能夠識(shí)別：

• 網(wǎng)絡(luò)分段 設(shè)置不佳 。
• 訪問(wèn)敏感數(shù)據(jù)和資源。
• 帳號(hào)和 密碼管理不力。

開(kāi)發(fā)后

滲透測(cè)試人員評(píng)估黑客利用系統(tǒng)弱點(diǎn)可能造成的損害程度。后利用階段還要求測(cè)試人員確定安全團(tuán)隊(duì)?wèi)?yīng)如何從測(cè)試漏洞中恢復(fù)。

分析、報(bào)告和創(chuàng)建可操作的保護(hù)步驟

測(cè)試人員將測(cè)試結(jié)果編譯成一份報(bào)告，其中概述了：

• 黑客活動(dòng)的逐步細(xì)分。
• 發(fā)現(xiàn)的弱點(diǎn)和漏洞。
• 數(shù)據(jù)測(cè)試人員能夠達(dá)到。
• 測(cè)試人員在系統(tǒng)中未被檢測(cè)到的時(shí)間。
• 公司必須采取措施消除漏洞并防范真正的攻擊。

重新測(cè)試

一旦安全團(tuán)隊(duì)實(shí)施了筆報(bào)告中的更改，系統(tǒng)就可以重新測(cè)試了。測(cè)試人員應(yīng)該運(yùn)行相同的模擬攻擊，以查看目標(biāo)現(xiàn)在是否可以抵抗破壞嘗試。

標(biāo)準(zhǔn)化滲透測(cè)試方法

公司通常依賴五種標(biāo)準(zhǔn)化滲透測(cè)試方法之一： OWASP、 OSSTMM、 ISSAF、 PTES和 NIST。

OWASP

OWASP（開(kāi)放 Web 應(yīng)用程序安全項(xiàng)目）是一個(gè)用于識(shí)別應(yīng)用程序漏洞的框架。此方法允許團(tuán)隊(duì)：

• 識(shí)別 Web 和移動(dòng)應(yīng)用程序中的漏洞。
• 發(fā)現(xiàn)開(kāi)發(fā)實(shí)踐中的缺陷。

OWASP 還使測(cè)試人員能夠?qū)︼L(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)，從而節(jié)省時(shí)間并幫助確定問(wèn)題的優(yōu)先級(jí)。該框架擁有龐大的用戶社區(qū)，因此不乏 OWASP 文章、技術(shù)、工具和技術(shù)。

OSSTMM

OSSTMM（開(kāi)源安全測(cè)試方法手冊(cè)）依賴于網(wǎng)絡(luò)滲透測(cè)試的科學(xué)方法。這個(gè)經(jīng)過(guò)同行評(píng)審的框架為道德黑客提供了理想的操作安全性的準(zhǔn)確表征。OSSTMM 使?jié)B透測(cè)試人員能夠運(yùn)行適合組織技術(shù)和特定需求的定制測(cè)試。

國(guó)際安全援助部隊(duì)

ISSAF（信息系統(tǒng)安全評(píng)估框架）提供了一種專(zhuān)門(mén)的結(jié)構(gòu)化測(cè)試方法。該框架非常適合希望詳細(xì)計(jì)劃和記錄滲透測(cè)試每個(gè)步驟的測(cè)試人員。ISSAF 對(duì)于使用不同工具的測(cè)試人員也很有用，因?yàn)樵摲椒ㄔ试S您將每個(gè)步驟與特定工具聯(lián)系起來(lái)。

PTES

PTES（滲透測(cè)試方法和標(biāo)準(zhǔn)）提供高度結(jié)構(gòu)化的七步測(cè)試方法。該方法指導(dǎo)測(cè)試人員完成所有滲透測(cè)試步驟，從偵察和數(shù)據(jù)收集到利用后和報(bào)告。PTES 要求測(cè)試人員了解組織運(yùn)行成功測(cè)試的流程。

NIST

NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）提供精確的滲透測(cè)試指南，以提高整體 網(wǎng)絡(luò)安全。該框架在銀行、通信和能源等高危行業(yè)中很受歡迎。遵守 NIST 通常是美國(guó)企業(yè)的監(jiān)管要求。為了遵守 NIST，公司必須對(duì)應(yīng)用程序和網(wǎng)絡(luò)進(jìn)行滲透測(cè)試。

滲透測(cè)試的類(lèi)型

滲透測(cè)試在目標(biāo)、條件和目標(biāo)方面有所不同。根據(jù)測(cè)試設(shè)置，該公司向測(cè)試人員提供有關(guān)系統(tǒng)的不同程度的信息。在某些情況下，安全團(tuán)隊(duì)是對(duì)測(cè)試了解有限的團(tuán)隊(duì)。

黑盒滲透測(cè)試

滲透團(tuán)隊(duì)在黑盒測(cè)試中沒(méi)有關(guān)于目標(biāo)系統(tǒng)的信息。黑客必須找到自己的方式進(jìn)入系統(tǒng)，并計(jì)劃如何策劃破壞。通常，測(cè)試人員在黑盒測(cè)試開(kāi)始時(shí)只有公司名稱(chēng)。滲透團(tuán)隊(duì)必須從詳細(xì)的偵察開(kāi)始，因此這種形式的測(cè)試需要相當(dāng)長(zhǎng)的時(shí)間。

灰盒滲透測(cè)試

測(cè)試團(tuán)隊(duì)了解具有提升權(quán)限的用戶。黑客知道：

• 文檔的設(shè)計(jì)和架構(gòu)。
• 內(nèi)部結(jié)構(gòu)。

灰盒滲透測(cè)試允許團(tuán)隊(duì)從一開(kāi)始就專(zhuān)注于具有最大風(fēng)險(xiǎn)和價(jià)值的目標(biāo)。這種類(lèi)型的測(cè)試非常適合模仿長(zhǎng)期訪問(wèn)網(wǎng)絡(luò)的攻擊者。

白盒滲透測(cè)試

滲透測(cè)試人員在開(kāi)始工作之前就掌握了有關(guān)目標(biāo)系統(tǒng)的信息。這些信息可以包括：

• IP 地址。
• 網(wǎng)絡(luò)基礎(chǔ)架構(gòu)示意圖。
• 用戶協(xié)議。
• 系統(tǒng)工件（源代碼、二進(jìn)制文件、容器）。

根據(jù)設(shè)置，測(cè)試人員甚至可以訪問(wèn)運(yùn)行系統(tǒng)的服務(wù)器。雖然不像黑盒測(cè)試那樣真實(shí)，但白盒組織起來(lái)又快又便宜。

有針對(duì)性的測(cè)試

公司的 IT 人員和測(cè)試團(tuán)隊(duì)一起進(jìn)行有針對(duì)性的測(cè)試。測(cè)試人員和安全人員在各個(gè)階段都了解彼此的活動(dòng)。針對(duì)性測(cè)試的另一個(gè)術(shù)語(yǔ)是“開(kāi)燈”方法，因?yàn)闇y(cè)試對(duì)所有參與者都是透明的。

外部測(cè)試

外部測(cè)試模擬對(duì)外部可見(jiàn)服務(wù)器或設(shè)備的攻擊。外部測(cè)試的常見(jiàn)目標(biāo)是：

• 域名服務(wù)器 (DNS)。
• 網(wǎng)絡(luò)應(yīng)用程序。
• 電子郵件服務(wù)器。
• 網(wǎng)站。
• Web 和應(yīng)用服務(wù)器。
• 防火墻。

外部測(cè)試的目的是查明外部攻擊者是否可以侵入系統(tǒng)。次要目標(biāo)是查看攻擊者在違規(guī)后能走多遠(yuǎn)。

內(nèi)部測(cè)試

內(nèi)部測(cè)試模仿 來(lái)自防火墻后面的內(nèi)部威脅。此測(cè)試的典型起點(diǎn)是具有標(biāo)準(zhǔn)訪問(wèn)權(quán)限的用戶。最常見(jiàn)的兩種情況是：

• 一名心懷不滿的員工決定破壞系統(tǒng)。
• 通過(guò) 網(wǎng)絡(luò)釣魚(yú)攻擊訪問(wèn)系統(tǒng)的攻擊者。

內(nèi)部測(cè)試是確定惡意或受感染員工對(duì)系統(tǒng)造成多大損害的理想選擇。

盲測(cè)

盲測(cè)模擬現(xiàn)實(shí)生活中的攻擊。雖然安全團(tuán)隊(duì)知道測(cè)試，但工作人員對(duì)違規(guī)策略或測(cè)試人員活動(dòng)的信息有限。

雙盲測(cè)試

在雙盲設(shè)置中，公司內(nèi)只有一兩個(gè)人知道即將進(jìn)行的測(cè)試。雙盲測(cè)試非常適合檢查：

• 安全監(jiān)控系統(tǒng)。
• 事件識(shí)別協(xié)議。
• 響應(yīng)程序。

雙盲測(cè)試可以真實(shí)地了解安全團(tuán)隊(duì)檢測(cè)和響應(yīng)現(xiàn)實(shí)攻擊的能力。

滲透測(cè)試方法（測(cè)試領(lǐng)域）

以下是您可以運(yùn)行來(lái)檢查公司防御的不同滲透測(cè)試方法。

網(wǎng)絡(luò)滲透測(cè)試和利用

網(wǎng)絡(luò)滲透測(cè)試模仿入侵網(wǎng)絡(luò)、路由器、交換機(jī)和主機(jī)的黑客技術(shù)。

這種形式的測(cè)試包括：

• 防火墻繞過(guò)。
• 規(guī)避下一代入侵防御系統(tǒng) (NGIPS)。
• 路由器和代理服務(wù)器測(cè)試。
• IPS和DPS規(guī)避。
• 打開(kāi)端口掃描。
• SSH 安全 攻擊。
• 測(cè)試阻止橫向移動(dòng)的策略。
• 攔截網(wǎng)絡(luò)流量。
• 發(fā)現(xiàn)舊設(shè)備和第三方設(shè)備。

這種類(lèi)型的測(cè)試包括內(nèi)部和外部網(wǎng)絡(luò)利用。網(wǎng)絡(luò)滲透發(fā)現(xiàn)的常見(jiàn)弱點(diǎn)有：

• 配置錯(cuò)誤的資產(chǎn)。
• 特定于產(chǎn)品的漏洞。
• 無(wú)線網(wǎng)絡(luò)的弱點(diǎn)。
• 流氓服務(wù)。
• 弱密碼協(xié)議。

對(duì)企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的模擬攻擊是最常見(jiàn)的滲透測(cè)試類(lèi)型。

Web 應(yīng)用程序安全測(cè)試

應(yīng)用程序安全測(cè)試搜索服務(wù)器端應(yīng)用程序中的潛在風(fēng)險(xiǎn)。這些測(cè)試的典型主題是：

• 網(wǎng)絡(luò)應(yīng)用程序。
• 蜜蜂。
• 連接。
• 構(gòu)架。
• 移動(dòng)應(yīng)用程序。

常見(jiàn)的應(yīng)用程序漏洞包括：

• 跨站點(diǎn)請(qǐng)求偽造和腳本。
• 注射缺陷。
• 會(huì)話管理不善。
• 不安全的直接對(duì)象引用。
• 編碼錯(cuò)誤。
• 損壞的身份驗(yàn)證或授權(quán)協(xié)議。
• 弱密碼學(xué)。

客戶端或網(wǎng)站和無(wú)線網(wǎng)絡(luò)

這種類(lèi)型的測(cè)試檢查無(wú)線設(shè)備和基礎(chǔ)設(shè)施是否存在漏洞。無(wú)線滲透測(cè)試會(huì)發(fā)現(xiàn)不安全的無(wú)線網(wǎng)絡(luò)配置和糟糕的身份驗(yàn)證檢查。

這種類(lèi)型的測(cè)試包括掃描：

• Web 服務(wù)器配置錯(cuò)誤。
• 反惡意軟件和 DDoS 預(yù)防 策略。
• SQL 注入。
• MAC地址欺騙。
• 媒體播放器和內(nèi)容創(chuàng)建軟件。
• 跨站腳本。
• 熱點(diǎn)和接入點(diǎn)。
• 加密協(xié)議。

社會(huì)工程學(xué)攻擊

社會(huì)工程測(cè)試搜索員工協(xié)議和行為中的漏洞。成為社會(huì)工程攻擊的受害者 可能導(dǎo)致未經(jīng)授權(quán)的訪問(wèn)、惡意軟件、 勒索軟件或憑據(jù)泄露。

社會(huì)工程滲透測(cè)試通常模仿現(xiàn)實(shí)世界的攻擊，例如：

• 竊聽(tīng)。
• 尾隨。
• 網(wǎng)絡(luò)釣魚(yú)攻擊。
• 魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)。
• 誘餌。
• 恐嚇軟件。
• 借口。

物理測(cè)試

物理滲透測(cè)試試圖獲得對(duì)業(yè)務(wù)區(qū)域的物理訪問(wèn)。這種測(cè)試可確保以下各項(xiàng)的完整性：

• 射頻識(shí)別系統(tǒng)。
• 相機(jī)。
• 門(mén)禁系統(tǒng)和鍵盤(pán)。
• 員工和供應(yīng)商的行為。
• 運(yùn)動(dòng)和光傳感器。

黑客經(jīng)常將物理測(cè)試與社會(huì)工程學(xué)結(jié)合起來(lái)，創(chuàng)造出真實(shí)的攻擊條件。

云筆測(cè)試

云滲透測(cè)試檢查保護(hù)云資產(chǎn)的防御措施。滲透測(cè)試可識(shí)別云設(shè)置中的應(yīng)用程序、網(wǎng)絡(luò)和配置中的潛在風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)可能使黑客能夠訪問(wèn)：

• 公司憑證。
• 內(nèi)部系統(tǒng)。
• 敏感數(shù)據(jù)。

這種類(lèi)型的測(cè)試對(duì)于依賴 IaaS、PaaS 和 SaaS 解決方案的公司來(lái)說(shuō)是必不可少的。云滲透測(cè)試對(duì)于確保安全的 云部署也很重要。

任何風(fēng)險(xiǎn)評(píng)估策略的關(guān)鍵部分

滲透測(cè)試允許公司在黑客有機(jī)會(huì)造成破壞之前主動(dòng)發(fā)現(xiàn)系統(tǒng)弱點(diǎn)。定期對(duì)您的系統(tǒng)進(jìn)行模擬攻擊，以確保 IT 運(yùn)營(yíng)安全并防止代價(jià)高昂的違規(guī)行為。