何为渗透测试?
发布时间:
2021-06-29
来源:
作者:
访问量:
365
【编者按】渗透测试是信息安全不可分割的一部分。渗透测试是在网络犯罪分子试图侵入系统之前发现漏洞的过程。从评估中收集到的数据,可以帮助组织在欺诈者有机会暴露其安全基础设施漏洞之前弥补漏洞。人们可能已经在安全研究和文章中看到过术语Pentesting(渗透测试),但又是否知道其真正的含义。
一、渗透测试的定义
Pentesting(渗透测试)是对应用程序或网络进行安全评估、分析和模拟攻击的过程,以评估其安全性。其目标是通过积极寻找漏洞来穿透组织的安全防御,这些漏洞通常是网络罪犯可能利用来破坏数据完整性、机密性或可用性的弱点或缺陷。渗透测试人员使用与攻击者相同的工具、技术和流程来发现和演示系统中的弱点对业务的影响。
发现的漏洞可用于调整组织的安全策略、修补应用程序或网络,并识别应用程序之间的常见弱点。渗透测试可以加强组织的总体安全态势,是组织主动采取措施防止安全漏洞的关键措施。
渗透测试通常模拟可能威胁业务的各种不同的攻击。渗透测试可以检查系统是否足够坚固,是否能够抵抗来自经过身份验证和未经身份验证的一系列攻击。在适当的范围内,渗透测试可以深入到需要评估系统的任何方面。
二、对渗透测试的误解
渗透测试对于所有垂直领域的组织都是至关重要的,特别是那些受数据隐私法律和法规约束的组织。人们对渗透测试的作用,以及最适合哪些公司和安全项目存在误解。在此通过澄清什么不是渗透测试,来深入了解什么是渗透测试。
误解1:渗透测试和威胁搜索是一样的
很多人把渗透测试和威胁搜索混为一谈。虽然他们都是希望解决类似的问题,但这些术语是不可互换的。渗透测试的目的是主动识别尽可能多的漏洞,而威胁搜索的目标一般是主动识别已经通过组织安全防御的攻击者,这样他们就可以在任何真正的破坏发生之前被阻止。
误解2:渗透测试和红队是一样的
许多人也会混淆渗透测试和红队,然而这两个是不同的。渗透测试更广泛地关注系统、应用程序和支持它们的环境,而红队更具体地关注人。
红队更有针对性,其目标是找出一个漏洞,为犯罪分子提供进一步进入某个环境的机会,最终使他们能够在某个时候获得完全访问权限。
在真正的红队项目中,安全专业人员本质上是欺骗组织内的个人,让他们能够访问他们目前没有的东西。红队是一项庞大而复杂的工作,需要大量的开源的社交情报来找出一个组织的不足之处。
误解3:渗透测试和漏洞赏金是一样的
渗透测试和漏洞赏金不一样。漏洞赏金程序是最近推出的一种越来越受欢迎的服务,许多人将其视为渗透测试的补充,以进一步增强在已经很安全的平台上的安全测试范围,以抵御网络攻击。
与本质上更全面的渗透测试不同,漏洞赏金计划更专注于测试网站和可公开访问的Web应用程序。因此,赏金程序无法在网络内部或网站和应用程序上线之前检测到漏洞。
误解4:渗透测试等同于漏洞评估
虽然渗透测试和漏洞评估都旨在发现环境或应用程序中存在的缺陷,但它们却以不同的方式进行。
漏洞评估是一种使用扫描仪进行的自动化方法。虽然渗透测试人员使用工具来完成任务,但从本质上讲,渗透测试的核心是一个手动过程。在渗透测试期间,高技术和熟练的人员手动检查结果,通过攻击尝试和漏洞链来识别风险。
漏洞扫描和渗透测试都是全面安全策略的必要组成部分,谁也不能相互取代。
误解5:渗透测试只能评估技术弱点
渗透测试还包括社会工程,因此,在测试之前确定是否对技术进行独家评估非常重要。在某些情况下,分析师可能会被授权做更多事情,比如扫描社交媒体以寻找可利用的信息,或者试图通过电子邮件从用户那里钓鱼敏感数据。
三、渗透测试的优势
在理想情况下,组织从一开始就以消除危险的安全漏洞为目标设计软件和系统。渗透测试可以让组织了解其在实现这个目标方面做得如何。渗透测试支持以下安全活动:
l 查找系统中的弱点;
l 确定控件的稳健性;
l 支持遵守数据隐私和安全法规(例如,PCI DSS、HIPAA、GDPR);
l 为管理层提供当前安全态势和预算优先事项的定性和定量示例。
由于各组织在偏远的环境中迫切需要优化和精简的安全流程和技术,而新冠疫情发展又引发了对渗透解决方案的指数级需求。如今,企业比以往任何时候都更倾向于采用渗透式解决方案,以增强自身的安全态势,抵御网络安全威胁。
参考资料:
【1】https://www.helpnetsecurity.com/2021/04/29/what-pentesting-is/
【2】https://www.synopsys.com/glossary/what-is-penetration-testing.html
【3】https://securityintelligence.com/eight-myths-not-to-believe-about-penetration-testing/
上一条:
下一条:
相关资讯
