渗透测试的原则

1。渗透测试概述

---

渗透测试是什么?

渗透测试测试你现有的网络安全措施,试图找到漏洞,攻击者可以利用。笔测试给你了解攻击者可能会试图破坏你的网络,所以你可以关闭任何差距,保持领先一步。

笔测试可以在家里完成,但通常它们是由第三方使用各种工具和方法,试图穿透你的网络。攻击者可能会利用这些测试类似于现实世界的攻击方法。目标是发现漏洞、错误配置和其他安全漏洞之前,攻击者可以利用他们,让你的组织面临风险。

如果一个攻击(或从笔渗透测试)成功,攻击者可以:

• 获得个人健康信息(φ)
• 获得个人身份信息(PII)
• 偷的凭证
• 窃取数据和记录
• 启动恶意软件
• 做横向运动在你的网络(可能数周或数月之前,你甚至知道他们那里)
• 信用卡和其他金融信息的访问
• 影响业务操作
• 劫持你的系统和操作并要求赎金
• 摧毁你的数据

笔测试帮助你发现缺点在你的攻击表面,这样你就可以使计划可以利用之前修复它们。

笔测试是一个互补的漏洞评估程序的组件。作为脆弱性评估的一部分,您的组织应该做常规漏洞扫描,给你洞察所有的资产和跨企业的弱点。笔测试帮你验证如果攻击者可以利用这些弱点和评估成功的补救工作。

建立一个综合脆弱性评估项目,你应该在连续的基础上进行脆弱性评估扫描然后做笔定期测试。一些合规指南要求年度笔测试,但是你可能建立一个强大的网络安全项目如果你进行这些测试更频繁的例子,至少每季度。

笔测试的重要性

这里有一些原因您的组织应该采取渗透测试作为全面的网络安全计划的一部分:

• 笔测试帮助你发现如果你有漏洞攻击者可能利用进入你的网络,数据和资产。
• 这些测试可以给你洞察如何满足遵从性标准和有安全漏洞。
• 笔测试也可以帮助你确定你的安全控制工作。
• 你可以测试应用程序组织使用是否有编程错误,可以给攻击者访问你的网络。

2。渗透测试的目标和过程

---

一般来说,有五个阶段进行渗透测试。

1. 你的笔测试过程始于决定谁你想进行测试——无论是内部资源或第三方笔测试仪。这一阶段应包括设定目标和目标为笔测试结果。这些目标应该是特定于您的组织和要与现有的网络和业务目标相一致。
2. 接下来,确定您的测试的范围。例如,你想要测试人员针对整个网络,看看能发现什么呢?或者你想要设置的参数测试和测试人员的目标只有一个特定的子集?设置范围将帮助你测试人员制定攻击计划你的目标(s)。
3. 设置范围和目标后,是时候开始测试。测试人员将开始通过扫描的数量在你的目标收集尽可能多的信息关于现有的安全协议和试图找到空白和漏洞。一旦笔测试了解您的安全措施,测试人员应该使用各种开发方法是否他/她可以访问,就像一个攻击者在现实世界中。获得后,测试人员将确定是否可以维护和扩展访问从违反什么额外的系统可以访问。当测试完成后,笔测试人员应该删除所有攻击的证据包括脚本和日志在测试阶段使用。
4. 你的笔测试人员完成测试后,测试人员将为您提供一个报告的发现。报告应突出的弱点是什么,它是如何突破,哪里有差距你现有的安全措施,违反的影响可能对您的组织。你应该为缓解回顾这些研究结果和制定计划,开始最关键的漏洞最大的对您的组织的潜在影响。
5. 一旦你实施减排计划,这是一个好主意跟进其他笔测试,看看你的修复工作,你打算和新漏洞是否出现自你上次测试。

渗透测试方法

笔有不同的方法测试,两种最常见的是白盒测试和黑盒测试。

在白盒测试,你的组织会提供你的测试人员的信息关于你的预定目标。白盒测试也通常发生在一个受到信任的环境。

在黑盒测试,你不与你分享关于目标的附加信息测试仪和笔测试人员通常不使用证书进行网络扫描。

灰盒测试是渗透测试的另一种方法。顾名思义,它的中间的黑盒和白盒测试。在这里,您的组织为测试人员提供了部分目标的详细信息。

Nessus专家是一个很好的补充这些方法渗透测试的工具。

渗透测试方法

除了方法测试笔,笔测试人员可能利用多种测试方法在组织参与。下面是一些例子:

有针对性的测试:有针对性的笔测试过程中,你的内部IT团队一起工作和你的第三方测试试图违反你的攻击表面。这些类型的测试过程中,双方共享信息,测试人员在做什么发起攻击和您的团队是如何回应的块。这种类型的测试不仅给你的信息,你可能有漏洞,但它也给您的团队带来现实世界的经验,试图阻止攻击的发生。

盲目的测试:盲目的测试是一个真实的攻击场景,所有测试人员知道你的URL或组织的名称和您的团队只是知道你放行测试。这里,测试人员试图进入你的网络和系统实时很少甚至没有额外的信息对你的公司或安全的姿势。

双盲测试:双盲测试类似于盲目测试,测试人员限制了组织的信息;但是,与盲目测试,你的团队不知道你授权测试和订婚迫在眉睫。

外部测试:在外部测试中,测试人员面向攻击你的资产和系统,例如web服务器、防火墙、和电子邮件服务器。

内部测试:内部测试可以让测试人员访问您的系统防火墙和模拟将会发生什么如果员工或一个人用偷来的凭证有未经授权的访问你的企业系统。

渗透测试频率

您的组织应该为普通笔测试计划。虽然有些遵从法规要求年度测试,你会发现它更有利于整体网络安全态势如果你更频繁,例如,每季度至少一次。

笔测试给你一个时间点快照的安全性。由于你的攻击表面不断变化和扩大,日常笔测试可能帮助你找到漏洞和空白你的现有程序,使您能够弥补他们之前,攻击者可以利用它们。

3所示。笔测试和脆弱性管理

---

• 有漏洞评估和渗透测试之间的差异,但相辅相成的过程。
• 笔测试是一个独立的活动,给你的照片你的网络暴露在一个时间点。
• 漏洞评估是一个持续的练习,你可以了解到你所有的漏洞。每次运行一个新的漏洞扫描或进行渗透测试,你有机会发现新的信息网络安全态势。
• 笔测试帮助你定义的领域改进加强漏洞评估流程。

4所示。笔测试和漏洞评估

---

• 有漏洞评估和渗透测试之间的差异,但相辅相成的过程。
• 笔测试是一个独立的活动,给你的照片你的网络暴露在一个时间点。
• 漏洞评估是一个持续的练习,你可以了解到你所有的漏洞。每次运行一个新的漏洞扫描或进行渗透测试,你有机会发现新的信息网络安全态势。
• 笔测试帮助你定义的领域改进加强漏洞评估流程。

漏洞扫描和笔测试

漏洞扫描渗透测试是一个组成部分。这是一种发现漏洞和缺点在你的攻击表面和可以帮助测试人员发现哪些目标测试期间。

漏洞扫描可以跨整个攻击表面或测试人员可能会被限制在一个特定的子集。这里有一些子集的例子,其中一些可能被包括在专业测试:

• 内部网络
• 外部网络
• 云环境
• 物联网(物联网)设备
• 工业物联网(IIoT)设备(工业4.0)
• (OT)设备操作技术
• 容器
• 网络应用程序

5。渗透测试工具

---

渗透测试一直是一个手动过程,依赖于训练、技能和创新思维的测试人员试图破坏你的攻击表面。然而今天,测试人员支持阿森纳的自动化工具来帮助他们发起测试目标。其中一个是卡莉Linux。

卡莉Linux有600多个渗透工具和是一个免费的资源。它可以用于渗透测试、逆向工程、科技取证和研究。

站得住脚的Nessus没有安装在卡莉Linux默认情况下,但它可以很容易地安装,然后用来支持笔测试活动。Nessus可以帮助你的钢笔试验机找到本地和远程漏洞,检查默认凭证,协助配置和合规审计,web应用程序扫描。你可以阅读更多关于Nessus支持卡莉Linux笔测试://www.yyueer.com/blog/getting-started-with-nessus-on-kali-linux。

6。Nessus漏洞扫描

---

Nessus专家是一种有效的工具来帮助你在你的攻击表面发现的漏洞。它支持扫描等各种资产类型的操作系统(MacOS, Windows, Linux)、应用程序、网络设备和更多。

Nessus带有预制模板受到信任和non-credentialed漏洞扫描。这些模板,连同预先构建的政策,帮助笔测试人员的测试活动。Nessus测试人员可以了解到您的组织的网络和测试人员取得上风,能够迅速发现的弱点和漏洞。

Nessus模板支持合规框架,如网络安全中心(CIS),健康保险流通与责任法案(HIPAA)、国防信息系统局(DISA)、安全技术实现指南(STIG)等。您还可以自定义模板,包括创建偏好,以避免假阴性或假阳性。

Nessus有142000多个插件,自动更新。覆盖超过56000 cf,每周有超过100的新插件发布。这意味着与Nessus笔测试人员得到准确、及时的信息最新的漏洞和恶意软件,这样他们就可以在您的网络追捕他们。