主页
topics
网络渗透测试
发布日期:2023 年 12 月 20 日
撰稿人:Teaganne Finn、Amanda Downie
获取洞见,更快、更有效地准备和应对网络攻击。
网络渗透的运作方式如下:道德黑客或红队使用黑客工具和技术,对组织的计算机系统进行模拟网络攻击。其目的是躲过组织的防火墙并进行未经授权的访问。
网络渗透测试可包括攻击 Web 应用程序、API、端点和物理控制措施。对操作系统的模拟攻击可以揭示安全薄弱环节,并向组织展示薄弱点所在。
虚假攻击有助于安全团队发现与网络基础架构相关的安全漏洞。可以测试的常见威胁包括分布式拒绝服务 (DDos) 攻击、域名系统 (DNS)、恶意软件、网络钓鱼和 SQL 注入。
测试人员还可以使用工具进行侦察,并实现渗透测试过程自动化。通常使用两种类型的测试:内部测试和外部测试。
内部网络测试:在内部测试中,渗透测试人员充当内部攻击者或试图利用窃取的凭据实施恶意行为的人。这类测试的主要目的是发现个人或员工可从组织内部加以利用的漏洞。为了完成测试,测试人员需要通过窃取信息和滥用权限来访问私人数据或敏感数据。
外部网络测试:外部网络渗透测试服务旨在模拟试图入侵网络的外部攻击者。这些渗透测试人员致力于发现直接连接到互联网的安全问题,例如服务器、路由器、网站、应用程序和员工计算机等开源风险。
通常情况下,网络渗透测试遵循四个具体步骤。测试最终会出具网络渗透测试报告,对业务风险和风险调查结果做出详细分析。
在第一阶段,道德黑客与主要利益相关者讨论测试的总体目标是什么以及组织已发现哪些漏洞。在渗透测试之前,应进行漏洞评估。
然后,渗透测试人员和利益相关者决定要执行哪些测试以及他们计划使用的成功指标。测试人员使用多种不同的工具和方法来执行虚假攻击,例如端口扫描和网络映射 (nmap)。
常用的测试视角有三种。它们可以单独使用,也可以组合使用,视组织需求而定。
黑匣测试:“黑匣”测试是从对网络系统了解甚少或一无所知的普通黑客的角度进行的。这种类型的测试将是外部渗透测试,因为其目标是利用网络中面向外部的漏洞。
灰匣测试:这种类型的网络渗透测试更偏重于内部,目的是扮演一名有内部系统访问权限的黑客,同时也兼顾外部黑客的某些方面。灰匣测试旨在扮演组织内的不良行为者,在提权后将权限用于恶意用途。
白匣测试:最后,白匣测试是三种安全测试类型中最具侵入性的。进行这项测试,是为了勾画出这样一个“假想敌”:他是一名信息技术专家,或是能够访问组织源代码和所有可能的系统数据的某个人。该测试通常在最后执行,以测试 IT 架构的完整性。并进一步确保黑客和网络攻击对目标系统的可能攻击无懈可击。
在侦察和发现阶段,渗透测试人员从侦察中获取数据进行现场测试,并通过社会工程等策略发现现有的漏洞。渗透测试人员使用欺骗性工具操纵个人共享信息,希望找到薄弱环节所在并开始针对这些漏洞发起攻击。
在发现步骤中,渗透测试人员可以使用端口扫描程序和漏洞扫描程序等工具。端口扫描程序用于发现系统上可供黑客进入的开放端口,漏洞扫描程序用于发现系统上现有的漏洞。
下一步是将所有前期工作付诸行动。在此步骤中,渗透测试人员使用可利用脚本或尝试窃取数据的工具来执行网络渗透测试。目的是弄清道德黑客能造成多大的破坏,如果他们确实获得了访问权,还要确定他们能在系统内停留多长时间。
渗透测试人员可以从一次测试一个漏洞开始,但应该对多个漏洞执行测试,以确保采取了广泛的方法来应对这些安全风险。
最后一步是记录执行了哪些网络渗透测试,然后检查每个测试的结果并与信息安全团队讨论补救措施。报告需要详细介绍从开始到结束的整个过程,并确定组织的薄弱环节、证据、数据和建议。这份报告对于企业所有者全面了解已发现的风险以及进一步帮助他们做出明智决策的分析很重要。
组织面临着许多威胁,为数据设置防护措施对保护企业及其敏感信息至关重要。网络渗透测试可以发现所有漏洞,并从所有可能的入口点保护组织的数据。虽然漏洞扫描可以带来益处,但它并不像测试工具那么全面,如果有的话,应将其作为渗透测试的补充。
通过执行渗透测试,您可以更好地了解哪些安全控制措施能够发挥作用,哪些需要加强。网络渗透测试还能让组织分析自身的安全状况。
预先分析组织的网络漏洞,可确保消除数据泄露的几乎所有可能性。渗透测试通过安全评估和网络安全扫描来提高整体安全性。
自动执行和协调各种重复性操作,确保网络始终受到监控并处于正常状态。
对您的移动应用程序、IoT 应用程序、网络、硬件和人员进行测试,发现并修复漏洞,保护您最重要的资产。
凭借成熟的安全技能、专业知识和现代解决方案,在瞬息万变的环境中保持领先,保护您的基础架构和网络免受复杂的网络安全威胁。
通过 X-Force Red Portal,参与补救措施的所有人都能够在发现漏洞后立即查看测试结果,并在方便时安排安全测试。
2024 年 IBM X-Force Threat Intelligence Index 为安全团队和企业领导者提供了切实可行的洞察分析,帮助您了解威胁参与者如何发动攻击以及如何主动采取措施保护您的组织。
浏览 2024 年数据泄露成本报告的全面调查结果。汲取从 604 家遭遇数据泄露的组织中总结的经验教训。
X-Force 以威胁情报和研究为基础,提供一系列攻防兼备的产品和服务。
X-Force 最新研究集中在此研究中心,这里每周都有新的博客
这本电子书向您介绍网络靶场产品和服务,以及您的组织如何进行全面的业务危机响应培训。