更好地了解目前存在哪些类型的渗透测试以及每种类型的用途
通过 Lucas Lança 和 Cássio Lima,Kryptus EED 网络安全团队成员。南非
黑客攻击的数量和严重程度的增加,以及人们对其可能对组织造成损害的认识,凸显了寻求信息安全领域专业服务的必要性,这些服务有可能防止或减轻此类攻击。
Um pentest或 渗透测试,是对系统进行模拟网络攻击,以评估其安全性。目的是测试和验证安全实施、识别漏洞并建议改进组织的防御机制和安全政策。原则上,入侵测试与黑客攻击的区别仅在于实施攻击的授权以及在生产环境中实施时损害的减轻。
组建计算机黑客专家小组来测试系统安全性的做法出现于 70 世纪 XNUMX 年代。被称为 老虎队这些专业人员帮助建立了所谓的渗透测试的参数和方法;是渗透测试人员的前身。尽管从那时起职业黑客就出现在信息安全领域,但直到最近十年,他们的形象才在社会上获得更广泛的认可。
考虑到对承包第三方服务的需求日益增长 网络安全,了解适合进行入侵测试的情况以及可以进行的不同形式的入侵测试非常重要。
一般来说,渗透测试通常分为 黑盒, 灰盒或 白盒,与渗透测试人员将收到的有关应用程序的信息量相关的分类。
在考试中 黑盒 没有提供关于受到攻击的应用程序或基础设施的信息。渗透测试人员被放置在 黑客 常见的。其目的是确定系统中容易受到外部环境滥用的漏洞,并且表面枚举步骤通常会在这种类型的测试中花费更多时间来寻找初始访问权限。
灰盒 是测试中 pentester 作为普通用户甚至具有更多权限的用户,对系统有一些内部知识,以及有关应用程序的基础设施或操作的一些信息。它旨在进行比测试更深入的评估 黑盒 并能够针对高风险系统更有针对性地开发测试。使用内部系统帐户,可以模拟来自持续访问系统的对手的攻击。
测试 白盒 是提供对源代码、文档等的完全访问权限的。这种类型的测试可以包括静态代码分析和动态测试。从理论上讲,这种分析需要更多的时间,并且有可能识别出应用程序中所有现有的漏洞。
不同类型的渗透测试可以在各种场景中执行,例如 Web 应用程序、移动应用程序或直接在客户端的基础设施上执行。它们还可以在应用程序开发周期的不同时间执行,或者为了满足特定需求,例如,验证所购买的第三方应用程序的安全性、满足合规性要求或验证当前的安全态势是否符合公司的期望。
这种多样性的情况是该行业的特点之一,它需要训练有素、高素质的专业人员在非常不同的环境中开展活动,并将有关各种漏洞和开发错误的知识应用到被测系统中。
一旦确定了测试的范围和目标,渗透测试人员团队就可以获得访问权限,他们将根据应用程序所处的环境和用于执行测试的框架继续进行测试。有效的测试在很大程度上取决于渗透测试人员枚举环境、系统地搜索可能被滥用的点、识别可能的攻击媒介、尝试滥用、尝试提升权限并返回到枚举阶段的能力。
测试结果可以通过不同的方式报告给客户,通常遵循入侵测试框架中建立的报告标准或通过与开发团队集成的平台,具体取决于测试在开发周期中的插入。除了指出已发现的漏洞之外,通常还会提供可能的解决方案的建议,并指出有助于开发解决方案或理解问题的参考。一旦做出任何更正,建议重新进行测试,以确保所发现的问题得到妥善解决。
黑客攻击 越来越普遍,并最终将覆盖大多数公司。进行入侵测试是评估和提高应用程序或系统安全性过程的基本部分。组织需要制定安全策略,力求最大限度地减少攻击面,并做好准备应对安全事件。人们不应该再思考‘袭击是否会发生’,而应该思考‘袭击何时会发生’。
Kryptus 为 Web 应用程序、Android 和 iOS 移动应用程序、基础设施、硬件/固件和源代码审查提供渗透测试解决方案。
