渗透测试方法和标准
2024 年 1 月 24 日
阅读时长 5 分钟

随着在线空间持续快速增长,计算机系统、网络或 Web 应用程序遭受网络攻击的可能性更高。为了减轻此类风险并做好准备,渗透测试是发现攻击者可能利用的安全漏洞的必要步骤。

什么是渗透测试?

渗透测试是一种为模拟网络攻击而进行的安全测试。网络攻击可能包括尝试网络钓鱼或破坏网络安全系统。根据所需的安全控制,组织可选择使用不同类型的渗透测试。该测试可以手动运行,也可以通过特定行动方案或渗透测试方法使用自动化工具运行。

为什么要进行渗透测试以及谁会参与其中?

术语“道德黑客攻击”和“渗透测试”有时可以互换使用,但存在差异。道德黑客攻击是一个更广泛的网络安全领域,包括任何运用黑客技能来改善网络安全的行为。渗透测试只是道德黑客运用的多种方法之一。道德黑客还可能提供恶意软件分析、风险评估和其他黑客工具和技术,以发现和修复安全漏洞,而不是造成伤害。

IBM 2023 年《数据泄露成本报告》表明,2023 年全球数据泄露的平均成本为 445 万美元,在 3 年内增长了 15%。减少这些泄漏的一种方法是进行准确、有针对性的渗透测试。

许多企业会雇用渗透测试人员来对其应用程序、网络和其他资产发起模拟攻击。通过发起虚假攻击,渗透测试人员可以帮助安全团队发现严重安全漏洞,改善整体安全状况。这些攻击通常由红队或进攻型安全团队实施。红队模拟真实攻击者针对组织自身系统的策略、技术和程序 (TTP),作为评估安全风险的一种方式。

开始执行渗透测试过程时,需要考虑几种渗透测试方法。组织的选择取决于目标组织的类别、渗透测试的目标和安全测试的范围。没有放之四海而皆准的方法。这就要求组织了解其安全问题和安全策略,以便在渗透测试过程之前进行公平的漏洞分析。

5 种最常用渗透测试方法

渗透测试过程的前几步之一是决定采用哪种方法。

下面,我们将深入探讨五种最常用的渗透测试框架和渗透测试方法,以帮助指导利益相关者和各组织找到满足其特定需求的最佳方法,并确保它涵盖所有必需的领域。

1. 开源安全测试方法手册

 

开源安全测试方法手册 (OSSTMM) 是最流行的渗透测试标准之一。该方法经过同行评审,用于安全测试,由安全和开放方法研究所 (ISECOM) 创建。

该方法基于一种科学的渗透测试方法,为测试人员提供了可访问且适应性强的指南。OSSTMM 包括其方法中的运营重点、渠道测试、指标和信任分析等关键功能。

OSSTMM 为渗透测试专业人员提供了一个进行网络渗透测试和漏洞评估的框架。它旨在成为一个框架,供提供商查找和解决漏洞,如敏感数据以及与身份验证有关的问题。

2. 开放式 Web 应用程序安全项目 (OWASP)

 

OWASP 是开放网络应用安全项目的简称,是一个致力于网络应用安全的开源组织。

该非营利组织的目标是让任何想要提高自身 Web 应用程序安全性的人都可以免费且轻松地获取所有材料。OWASP 有自己的 10 大安全漏洞(ibm.com 外部链接),这是一份妥善维护的报告,概述了 Web 应用程序面临的最大安全问题和风险,例如跨站脚本、失效的身份验证以及防火墙之后的安全问题。OWASP 使用 10 大安全漏洞列表作为其 OWASP 测试指南的基础。

该指南分为三部分:用于 Web 应用程序开发的 OWASP 测试框架、Web 应用程序测试方法以及报告。Web 应用程序方法可单独使用,也可作为 Web 应用程序渗透测试、移动应用程序渗透测试、API 渗透测试和 IoT 渗透测试的 Web 测试框架的一部分。

3. 渗透测试执行标准

 

PTES 即渗透测试执行标准,是一种综合渗透测试方法。

PTES 由信息安全专家团队设计,由七个主要部分组成,涵盖渗透测试的各个方面。PTES 的目的是制定技术指南,概述各组织应预期从渗透测试中得到什么,并从前期交互阶段开始,在整个过程中提供指导。

PTES 旨在成为渗透测试的基准,并为安全专业人员和组织提供标准化的方法。该指南提供了一系列资源,例如渗透测试流程从开始到结束的每个阶段的最佳实践。PTES 的一些主要特点是开发和后期开发。开发是指通过社会工程学和密码破解等渗透技术获取系统访问权限的过程。漏洞开发是指从被入侵的系统中提取数据并保持访问权限。

4. 信息系统安全评估框架

 

信息系统安全评估框架 (ISSAF) 是信息系统安全组 (OISSG) 支持的渗透测试框架。

此方法已不再维护,并且可能不是最新信息的最佳来源。但是,它的主要优势之一是,将各个渗透测试步骤与特定的渗透测试工具联系起来。此类格式可以成为创建个性化方法的良好基础。

5. 美国国家标准与技术研究院 (NIST)

 

NIST 是美国国家标准与技术研究院的缩写,是一个网络安全框架,为联邦政府和外部组织提供了一套渗透测试标准。NIST 是美国商务部下属的一个机构,应被视为要遵循的最低标准。

NIST 渗透测试与 NIST 发布的指南保持一致。为了遵守此类指南,各组织必须按照预先确定的一组指南执行渗透测试。

渗透测试阶段

设置范围

 

在渗透测试开始之前,测试团队和企业会设定测试范围。该范围概述了渗透测试人员将会测试哪些系统、何时进行测试以及可以使用哪些方法。该范围还决定了渗透测试人员将会提前获得多少信息。

开始测试

 

下一步将是测试范围规划并评估漏洞和功能。在此步骤中,可以进行网络和漏洞扫描,以更好地了解相关组织的基础设施。可以根据组织需求进行内部测试和外部测试。渗透测试人员可以进行多种测试,包括黑盒测试、白盒测试和灰盒测试。每种测试都提供有关目标系统的不同程度的信息。

一旦建立了网络的总体概况,测试人员就可以开始在给定范围内分析系统和应用程序。在此步骤中,渗透测试人员要收集尽可能多的信息,以了解任何错误配置。

结果报告

 

最后一步是编制报告并进行汇报。在此步骤中,重要的是要编制渗透测试报告,其中包含渗透测试的所有结果,概述已发现的漏洞。该报告应包括缓解计划以及不进行补救将会引发的潜在风险。

渗透测试与 IBM

如果想要测试一切,那无疑是在浪费时间、预算和资源。通过使用一个配备历史数据的通信和协作平台,您可以集中管理高风险的网络、应用程序、设备和其他资产,并对其进行优先处理,从而优化安全测试计划。通过 X-Force Red Portal,参与补救行动的所有人都能够在发现漏洞后立即查看测试结果,并在方便时安排安全测试。

作者
Teaganne Finn Content Writer, IBM Consulting