從攻擊者的角度思考可以更快速了解企業(yè)在網(wǎng)絡(luò)防御方面的不足。網(wǎng)絡(luò)安全滲透測試工作的本質(zhì)就是扮演攻擊性黑客的角色，梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑，以便更好地修復(fù)或應(yīng)對風(fēng)險。

　　滲透測試的常見類別

　　滲透測試的具體類型有很多，大致可分為三個主要類別：網(wǎng)絡(luò)滲透測試、應(yīng)用程序滲透測試以及社會工程。

　　01 網(wǎng)絡(luò)滲透測試

　　無線網(wǎng)絡(luò)滲透測試：這種類型的測試涉及滲透測試人員評估客戶定義的無線網(wǎng)絡(luò)。測試人員將尋找無線加密中已知的缺陷，試圖破解密鑰，誘使用戶向“雙面惡魔”（evil twin）接入點或被攻擊者控制的文件夾提供憑據(jù)，并暴力破解登錄詳細信息。惡意接入點掃描可以通過物理位置和經(jīng)過身份驗證的無線分段測試完成這些評估類型，以確定攻擊者在成功連接到環(huán)境后可以訪問的內(nèi)容。

　　外部網(wǎng)絡(luò)滲透測試：在外部網(wǎng)絡(luò)滲透測試中，面向互聯(lián)網(wǎng)的資產(chǎn)會成為模擬攻擊目標(biāo)。通常，目標(biāo)資產(chǎn)由客戶提供，但也可以在客戶確認的情況下執(zhí)行“無范圍”（no-scope）測試。測試人員將嘗試在掃描期間發(fā)現(xiàn)的任何可利用漏洞。此外，允許登錄的暴露服務(wù)將受到密碼猜測攻擊的影響，例如暴力破解或密碼噴射。對外開放的企業(yè)網(wǎng)站通常會接受額外的審查，以尋找攻擊者容易利用的常見Web漏洞。

　　內(nèi)部網(wǎng)絡(luò)滲透測試：內(nèi)部網(wǎng)絡(luò)測試評估是從已獲得組織內(nèi)部網(wǎng)絡(luò)訪問權(quán)限的角度進行，可以在測試人員和客戶員工之間提供有益的互動，測試人員可以使用客戶提供的基礎(chǔ)設(shè)施，或是他們自己的物理或虛擬遠程測試系統(tǒng)來進行遠程訪問。

　　02 應(yīng)用程序滲透測試

　　Web應(yīng)用滲透測試：Web應(yīng)用程序滲透測試側(cè)重于通過Web應(yīng)用程序呈現(xiàn)給攻擊者的攻擊面。這些測試類型旨在評估Web應(yīng)用程序的安全性，并尋找攻擊性方法來訪問敏感數(shù)據(jù)，或獲得對Web應(yīng)用程序的控制權(quán)限。在此評估期間，組織通常會向測試人員提供憑據(jù)訪問權(quán)限，以審查整個應(yīng)用程序。

　　移動應(yīng)用滲透測試：主要指通過對已編譯的移動應(yīng)用程序進行靜態(tài)分析，或進行動態(tài)運行時分析，來評估移動應(yīng)用程序的安全性。此外，移動設(shè)備參與的通信過程也都會被分析和評估。這通常包括與網(wǎng)頁數(shù)據(jù)或API調(diào)用的HTTP連接。

　　密集（Thick）應(yīng)用滲透測試：在Linux和Windows等桌面或服務(wù)器操作系統(tǒng)上運行的編譯應(yīng)用程序需要復(fù)雜的逆向工程。這種評估類型將包括反匯編（將計算機編碼譯成普通語言）和反編譯應(yīng)用程序，并在應(yīng)用程序運行時使用調(diào)試器附加到應(yīng)用程序以進行運行時分析。該測試旨在分析應(yīng)用程序通信是否以不安全的方式傳輸敏感信息。

　　03 社會工程攻擊測試

　　網(wǎng)絡(luò)釣魚：每個組織都可能成為網(wǎng)絡(luò)釣魚攻擊的目標(biāo)。這種評估類型旨在確定組織的用戶群對魚叉式網(wǎng)絡(luò)釣魚攻擊的敏感性。該測試的目標(biāo)不是評估組織電子郵件保護的有效性，而是確定當(dāng)郵件避開這些過濾器時用戶將如何反應(yīng)。這些評估的結(jié)果可以用于增強組織的反社會工程意識計劃。

　　電話語音釣魚：測試人員會使用來電顯示欺騙技術(shù)冒充用戶、支持人員或客戶。該評估旨在說服用戶執(zhí)行一些可能會披露信息或提供對組織系統(tǒng)的訪問權(quán)限的操作。許多用戶會根據(jù)來電號碼選擇信任來電者。部分用戶會察覺出攻擊并以各種方式做出響應(yīng)，例如咨詢安全顧問或在通話后聯(lián)系信息安全團隊。

　　USB令牌注入：用戶可能會無意中嘗試將USB設(shè)備連接到環(huán)境中。在此評估類型中，測試人員會將部署看似普通的USB驅(qū)動器，并誘使用戶將該設(shè)備插入公司系統(tǒng)。這些USB設(shè)備可以是包含建立遠程連接的惡意文件的典型驅(qū)動器，也可以是在連接時執(zhí)行某些鍵盤操作。

　　收集短信釣魚：這種評估類型類似于網(wǎng)絡(luò)釣魚，但利用的媒介變?yōu)镾MS或短消息服務(wù)向用戶發(fā)送欺詐性的消息。與網(wǎng)絡(luò)釣魚一樣，這些活動將嘗試讓用戶訪問冒充組織的站點或嘗試傳遞惡意木馬病毒。

　　滲透測試的關(guān)鍵步驟

　　從企業(yè)的角度來看，滲透測試的目標(biāo)是驗證現(xiàn)有的安全策略有效性，以識別可能造成潛在風(fēng)險的不足。而在滲透測試人員的心目中，他們的目標(biāo)是實際登錄到被測試的系統(tǒng)和應(yīng)用程序，并嘗試數(shù)據(jù)竊取行動。真正的攻擊者根本沒有范圍限制，并且可以通過多種方式攻擊組織，例如直接攻擊暴露在互聯(lián)網(wǎng)上的業(yè)務(wù)系統(tǒng)和應(yīng)用程序，或利用員工某些安全薄弱環(huán)節(jié)實現(xiàn)入侵。在滲透測試服務(wù)的實施中，通常都需要包括以下關(guān)鍵步驟：

　　01 偵察

　　研究組織給定目標(biāo)的細節(jié)。這通常涉及廣泛的OSINT（開源情報），它將在測試人員通過其他階段時為他們提供幫助。此階段產(chǎn)生的信息可以包括但不限于主機名、IP地址、員工姓名和電子郵件地址。

　　02 攻擊面枚舉

　　該階段會枚舉攻擊者可以與之交互的元素。在社會工程模式下，被攻擊的對象可以是服務(wù)、Web應(yīng)用程序、人員甚至是建筑物。每個可以交互的參數(shù)或接口都能在此階段被識別出來。

　　03 漏洞檢測

　　漏洞是目標(biāo)資源中存在的缺陷，攻擊者可以利用存在的漏洞缺陷引發(fā)意想不到的后果，例如系統(tǒng)訪問、信息泄露或拒絕服務(wù)攻擊。在此階段會識別出可能被攻擊者利用的漏洞。

　　04 滲透攻擊

　　這是滲透測試過程中最核心的環(huán)節(jié)。在此環(huán)節(jié)中，滲透測試團隊需要利用他們所找出的目標(biāo)系統(tǒng)安全缺陷，來真正入侵系統(tǒng)獲得訪問控制權(quán)或訪問更多的敏感數(shù)據(jù)。

　　05 撰寫報告

　　在滲透測試完成之后，相關(guān)數(shù)據(jù)需要以清晰的方式關(guān)聯(lián)并呈現(xiàn)給客戶。這份報告應(yīng)該包含之前所有階段之中滲透測試團隊所獲取的關(guān)鍵情報信息、探測和發(fā)掘出的系統(tǒng)安全漏洞、成功滲透攻擊的過程，以及造成業(yè)務(wù)影響后果的攻擊途徑，同時還要站在防御者的角度上，幫助他們分析安全防御體系中的薄弱環(huán)節(jié)、存在的問題，以及修補技術(shù)方案。

　　06 修復(fù)和重新測試

　　當(dāng)測試結(jié)果提交后，接下來就是快速修復(fù)組織既定政策和流程中發(fā)現(xiàn)的漏洞。在某些情況下，發(fā)現(xiàn)的漏洞無法直接修復(fù)，但可以通過其他機制解決，例如額外的安全措施或補償控制。滲透測試人員也可以重新參與以提供補救證據(jù)或評估緩解措施的效果。

　　需要指出的是，這些測試階段并不一定是固化的，滲透測試人員可能會根據(jù)需要不斷重復(fù)之前的步驟。

　　對滲透測試的7個誤解

　　定期開展?jié)B透測試對企業(yè)來說很寶貴，其作用不僅僅在于發(fā)現(xiàn)安全問題，對軟件開發(fā)人員更深入了解系統(tǒng)實際運行情況也會大有幫助。不過，當(dāng)很多企業(yè)準(zhǔn)備制定滲透測試計劃時，他們對滲透測試服務(wù)的理解和需求，往往與真實服務(wù)現(xiàn)況存在著很多偏差和誤區(qū)。

　　誤解1、滲透測試是為了漏洞評估

　　漏洞評估包括識別和分類已知漏洞，生成需要注意的優(yōu)先漏洞列表，并推薦修復(fù)它們的方法。而安全威脅非常多樣，并不僅限于安全漏洞的利用。滲透測試側(cè)重于模擬攻擊者的行為，在服務(wù)完成后，測試人員需要生成一份詳細報告，說明測試過程中是如何破壞安全性以達到先前商定的目標(biāo)（例如破壞工資系統(tǒng)），并提供相應(yīng)的威脅緩解方案。

　　誤解2、人工測試將會被自動化取代

　　為了實現(xiàn)常態(tài)化、持續(xù)性的安全能力測試，許多企業(yè)開始大量使用自動化技術(shù)驅(qū)動的安全測試方法，但需要指出的是：目前的自動化測試模式大多屬于安全掃描，而非真正的滲透攻擊測試。不可否認自動化測試的應(yīng)用價值，但真正的攻擊行為是和機器模擬入侵有很大差異的。經(jīng)驗、創(chuàng)造力和好奇心是滲透測試的核心，而這都是專業(yè)滲透人員獨有的。在自動化測試完成之后，必須要配合人工測試方式，從攻擊者的視角發(fā)現(xiàn)問題。

　　誤解3、滲透測試僅用于發(fā)現(xiàn)技術(shù)缺陷

　　滲透測試的目的是為了發(fā)現(xiàn)組織安全防護體系中的不足。在測試中，測試方可以應(yīng)用包括社會工程方式在內(nèi)的多種方法。因此，在滲透測試之前，通常會確定是否需要專門評估某項技術(shù)的安全性。在實際應(yīng)用中，測試工程師可能會被授權(quán)做更多事情，例如掃描社交媒體以獲取可利用的信息，或嘗試通過電子郵件從用戶那里獲取敏感數(shù)據(jù)，甚至嘗試欺騙獲取用戶的賬號權(quán)限等。

　　誤解4、滲透測試需要由外部團隊完成

　　滲透測試可由企業(yè)內(nèi)部員工、專業(yè)服務(wù)商或其他第三方機構(gòu)完成。理想情況下，外部測試人員會定期檢查內(nèi)部測試人員的工作。

　　誤解5、滲透測試僅對大型企業(yè)有價值

　　如今，一些監(jiān)管法規(guī)和行業(yè)標(biāo)準(zhǔn)都明確提出要求，組織需要定期進行滲透測試。例如，醫(yī)療保健提供者需要進行測試，以確保他們能夠保護其醫(yī)療數(shù)據(jù)安全。同時，任何接受或處理信用卡的企業(yè)都必須符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）。滲透測試結(jié)果有時也會被引用為合規(guī)事件處理時的證據(jù)。

　　誤解6、滲透測試總是主動的

　　滲透測試可以是主動的或被動的。大多數(shù)情況下，組織會主動執(zhí)行測試以幫助防止違規(guī)行為。但是，測試后取證分析期間的滲透測試也可以幫助安全團隊了解發(fā)生了什么，以及事件是如何發(fā)生的，所有這些信息還可以幫助組織防止未來發(fā)生類似的事件。

　　誤解7、滲透測試不會采用DDoS

　　滲透測試人員需要最大程度地避免在測試過程中對企業(yè)正常業(yè)務(wù)開展造成影響。拒絕服務(wù)攻擊由于破壞性較大，一般較少在滲透測試工作中使用。但是，在某些情況下，測試人員需要針對具有資源消耗型漏洞的特定系統(tǒng)執(zhí)行拒絕服務(wù)攻擊，以深入了解攻擊覆蓋面和影響規(guī)模，并制定適當(dāng)?shù)木徑獯胧┮员苊獯祟惞簟?/p>

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<