滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法,包括了對系統各類弱點、技術缺陷或漏洞的主動分析。由于滲透測試需要通過模擬黑客攻擊來評估目標系統的安全性和漏洞,因此可能會帶來一些風險,比如影響目標系統的正常運行、泄露敏感數據、引起法律糾紛等。為了確保測試工作的安全性和有效性,企業組織在開展滲透測試工作前,需要全面了解測試的類型、方法和原則。本文將對其中的7種最常見類型進行介紹:
01、網絡滲透測試
如果攻擊者能夠成功闖入公司的網絡,其引發的風險將會非常高。網絡滲透測試主要指測試人員嘗試繞過防火墻、測試路由器、規避入侵檢測和防御系統(IPS/IDS)、掃描端口和代理服務,并尋找所有類型的網絡漏洞。在實際應用中,網絡滲透測試工作主要包括外部網絡滲透測試與內部網絡滲透測試。
在外部網絡滲透測試中,面向互聯網的資產是模擬攻擊的主要目標。通常,目標資產會由客戶提供,但也可以在客戶確認的情況下執行“無范圍”(no-scope)測試。測試人員將嘗試在掃描期間發現的任何可利用漏洞。此外,允許登錄的暴露服務將受到密碼猜測攻擊的影響,例如暴力破解或密碼噴射。對外開放的企業網站通常會接受額外的審查,以尋找攻擊者容易利用的常見Web漏洞。
內部網絡滲透測試則是從已獲得組織內部網絡訪問權限的角度進行,可以在測試人員和客戶員工之間提供有益的互動,測試人員可以使用客戶提供的基礎設施,或是他們自己的物理或虛擬遠程測試系統來進行遠程訪問。
02、社會工程滲透測試
社會工程是網絡犯罪分子用來欺騙用戶泄露憑據或敏感信息的一種技術。如今,大多數網絡安全攻擊會從社會工程、網絡釣魚或短信網絡釣魚開始。攻擊者通常會聯系員工,通過電子郵件、電話、社交媒體及其他方式瞄準那些擁有管理員或高級訪問權限的人。通過社會工程滲透測試可以幫助安全團隊預先了解組織的人員安全意識狀態,并在社會工程攻擊期間和之后測試組織安全團隊的反應和支持能力。
社會工程測試主要包括:
- 網絡釣魚測試。旨在確定組織的用戶群對魚叉式網絡釣魚攻擊的敏感性。該測試的目標不是評估組織電子郵件保護的有效性,而是確定當郵件避開這些過濾器時用戶將如何反應。這些評估的結果可以用于增強組織的反社會工程意識計劃。
- 電話語音釣魚。測試人員會使用來電顯示欺騙技術冒充用戶、支持人員或客戶。該評估旨在說服用戶執行一些可能會披露信息或提供對組織系統的訪問權限的操作。許多用戶會根據來電號碼選擇信任來電者。部分用戶會察覺出攻擊并以各種方式做出響應,例如咨詢安全顧問或在通話后聯系信息安全團隊。
- USB令牌注入。用戶可能會無意中嘗試將USB設備連接到環境中。在此評估類型中,測試人員會將部署看似普通的USB驅動器,并誘使用戶將該設備插入公司系統。這些USB設備可以是包含建立遠程連接的惡意文件的典型驅動器,也可以是在連接時執行某些鍵盤操作。
- 收集短信釣魚。這種評估類型類似于網絡釣魚,但利用的媒介變為SMS或短消息服務向用戶發送欺詐性的消息。與網絡釣魚一樣,這些活動將嘗試讓用戶訪問冒充組織的站點或嘗試傳遞惡意木馬病毒。
03、Web應用滲透測試
基于Web的應用程序對于幾乎每家組織的運營都至關重要。Web應用程序滲透測試側重于通過Web應用程序呈現給攻擊者的攻擊面。這些測試類型旨在評估Web應用程序的安全性,并尋找攻擊性方法來訪問敏感數據,或獲得對Web應用程序的控制權限。在此評估期間,組織通常會向測試人員提供憑據訪問權限,以審查整個應用程序。
Web應用程序測試的對象包括Web應用程序、瀏覽器、ActiveX、插件、Silverlight、小腳本和小應用程序,測試中所用的語言包括JAVA、php、和.NET等。應用編程接口(API)與XML、MySQL、Oracle及其連接和系統一樣也是測試的一部分。如果Web應用程序是移動的,它們還需要在其環境中進行測試。由于端點在運行時和Web應用程序在線時具有交互性,針對Web應用的滲透測試會很復雜,滲透測試人員必須兼顧所有方面。
04、無線網絡滲透測試
現代企業會高度依賴無線網絡來連接端點和物聯網設備等,無線網絡已成為網絡犯罪分子的熱門目標,但其應用安全性卻常被企業所忽視。覆蓋無線安全的滲透測試必須面面俱到,無線網絡測試人員需要尋找無線加密中已知的缺陷,試圖破解密鑰,誘使用戶向“雙面惡魔”(evil twin)接入點或被攻擊者控制的文件夾提供憑據,并暴力破解登錄詳細信息。惡意接入點掃描可以通過物理位置和經過身份驗證的無線分段測試完成這些評估類型,以確定攻擊者在成功連接到環境后可以訪問的內容。
隨著企業開始走上數字化轉型和現代化之路,物聯網、傳感器、攝像頭、移動設備及和其他端點面臨的威脅也在加大。黑客會試圖通過這些新的入口點訪問關鍵資產,數字攻擊面擴大無疑對他們有利。因此,滲透測試人員需要全面驗證無線加密協議、檢查信標、確認流量以及搜索接入點、熱點和mac地址欺騙。
05、物理安全滲透測試
并非公司面臨的所有威脅都是由外部網絡應用所引起,特別是在邊緣計算興起后,很多企業會在接近業務運營的地方建立數據分中心,面向這些中心的物理環境安全測試已變得更加重要。
在物理環境安全測試中,測試人員將會模擬驗證大門的安全系統、門禁卡、門鎖、攝像頭和傳感器,并嘗試冒充工作人員。他們還會驗證當攻擊者可以物理訪問計算設備、數據中心網絡和邊緣計算網絡時,企業數字化應用系統的安全系數會如何變化。這類測試通常會在安全團隊大多數成員完全不知情的情況下執行。
06、云計算滲透測試
私有云和公共云的廣泛應用為現代企業組織帶來了諸多好處,但也給網絡犯罪分子帶來了機會。許多組織在云端都存放了大量關鍵業務數據資產,如果這些資產遭到破壞,會導致業務運營的癱瘓。
雖然云供應商會為企業提供功能強大的配套安全服務,但云滲透測試對企業組織已必不可少。云端滲透測試需要提前通知云提供商,因為系統的某些區域可能禁止白帽黑客訪問。
云端的滲透測試必須遵守云服務商給出的統一滲透測試演練規則。而在開始進行測試前,組織也需要詳細填寫云計算安全滲透測試申請表。云滲透測試的內容主要包括檢查云環境的安全性、應用程序及API、訪問、存儲、加密、虛擬機、操作系統及更新、安全外殼(SSH)、遠程桌面協議(RDP)遠程管理以及錯誤配置和密碼。
07、紅藍對抗測試
受軍事演習活動的啟發,在網絡安全領域也開始流行基于實戰背景的攻防對抗測試演練活動,會組織專業的測試紅隊充當攻擊者,而藍隊主要由企業現有的安全團隊組成。這種整體式對抗性測試方法能夠確保滲透測試的真實性和有效性,不僅可以評估安全缺陷、漏洞和威脅,還可以評估安全團隊的反應能力。
通過聘請行業專家充當藍隊,企業組織不僅可以發現目前的安全防護薄弱環節,還可以趁此機會提升員工的專業安全技能。安全團隊可以學習如何更快速地了解和響應攻擊。紅藍對抗測試有多種形式。有時藍隊被告知模擬或滲透測試的時間,有時則完全不知情。紅隊滲透測試人員可以深入了解內部安全團隊在如何響應,并提供優化的建議。
參考鏈接:https://www.esecurityplanet.com/networks/types-of-penetration-testing/
