測(cè)試網(wǎng)絡(luò)的外圍很重要，但攻擊者可能已經(jīng)位于網(wǎng)絡(luò)內(nèi)部。攻擊者可能是一位有不滿情緒的員工，或者是利用防火墻內(nèi)服務(wù)和周邊安全防御的外部人員。如果要測(cè)試內(nèi)部安全控制，那么您需要考慮多個(gè)方面，包括各種內(nèi)部測(cè)試、您可能希望使用的測(cè)試技術(shù)和測(cè)試員工的重要性(社會(huì)工程測(cè)試)。

一個(gè)單位的內(nèi)部網(wǎng)絡(luò)可能會(huì)受到各種方式的檢測(cè)、分析和攻擊。

一些最常見(jiàn)的內(nèi)部測(cè)試類型包括：

• 內(nèi)部攻擊：這種滲透測(cè)試技術(shù)可以模擬由授權(quán)個(gè)人發(fā)起的惡意活動(dòng)，他有組織網(wǎng)絡(luò)的合法連接。例如，如果訪問(wèn)規(guī)則太過(guò)于寬松，那么IT管理員就可能將其他人擋在網(wǎng)絡(luò)之外。

• 外部攻擊：這種滲透測(cè)試技術(shù)會(huì)檢查外部人員通過(guò)寬松的服務(wù)訪問(wèn)內(nèi)部。它可能會(huì)攻擊超文本傳輸協(xié)議(HTTP)、簡(jiǎn)單郵件傳輸協(xié)議(SMTP)、結(jié)構(gòu)化查詢語(yǔ)言(SQL)、遠(yuǎn)程桌面(RDP)或其他服務(wù)。有一些在線服務(wù)專門(mén)會(huì)銷售受限企業(yè)資源的訪問(wèn)權(quán)限。

• 盜取設(shè)備攻擊：這種攻擊接近于物理攻擊，因?yàn)樗槍?duì)于組織的設(shè)備。它可能會(huì)專門(mén)盜取CEO的筆記本電腦、智能手機(jī)、復(fù)印機(jī)或單位的備份磁帶。無(wú)論是什么設(shè)備，其目標(biāo)都一樣：提取重要信息、用戶名和密碼。

• 物理進(jìn)入：這種測(cè)試技術(shù)專門(mén)測(cè)試組織的物理控制。要對(duì)房門(mén)、大門(mén)、鎖、守衛(wèi)、閉路電視(CCTV)和警報(bào)器進(jìn)行測(cè)試，檢查它們是否會(huì)被繞過(guò)。一種常用的方法是使用撞匙打開(kāi)機(jī)械鎖，用Arduino板打開(kāi)電子鎖。

• 繞過(guò)驗(yàn)證攻擊：這種測(cè)試技術(shù)會(huì)尋找無(wú)線接入端和調(diào)制解調(diào)器。其目標(biāo)是了解系統(tǒng)是否安全，并提供足夠的驗(yàn)證控制。如果可以繞過(guò)控制，那么道德黑客可能會(huì)嘗試了解能夠獲得哪一級(jí)別的系統(tǒng)控制。

滲透測(cè)試團(tuán)隊(duì)的網(wǎng)絡(luò)知識(shí)結(jié)構(gòu)不同，所采用的測(cè)試技術(shù)也會(huì)有所不同

• 墨盒測(cè)試可以模擬外部攻擊，因?yàn)橥獠咳藛T通常不知道所攻擊網(wǎng)絡(luò)或系統(tǒng)的內(nèi)部情況。簡(jiǎn)單地說(shuō)，安全團(tuán)隊(duì)完全不了解目標(biāo)網(wǎng)絡(luò)及其系統(tǒng)。攻擊者必須收集關(guān)于目標(biāo)的各種信息，然后才能確定它的優(yōu)缺點(diǎn)。

• 白盒測(cè)試則采用與墨盒測(cè)試完全相反的方法。這種安全測(cè)試的前提是，安全測(cè)試人員完全了解網(wǎng)絡(luò)、系統(tǒng)和基礎(chǔ)架構(gòu)。這種信息允許安全測(cè)試人員采用一種更規(guī)范化的方法，它不僅能夠查看所提供的信息，還能夠驗(yàn)證它的準(zhǔn)確性。所以，雖然墨盒測(cè)試在收集信息時(shí)會(huì)花費(fèi)更長(zhǎng)的時(shí)間，但是白盒測(cè)試則在漏洞檢測(cè)時(shí)花費(fèi)更多時(shí)間。

• 灰盒測(cè)試有時(shí)候指的是只了解部分情況的測(cè)試。灰盒測(cè)試人員只知道部分的內(nèi)部結(jié)構(gòu)。

無(wú)論采用哪一種滲透測(cè)試方法，其目的都是對(duì)組織的網(wǎng)絡(luò)、策略和安全控制進(jìn)行系統(tǒng)的檢查。一個(gè)良好的滲透測(cè)試還可以檢查組織的社會(huì)成分。社會(huì)工程攻擊的目標(biāo)是組織的員工，其目的是通過(guò)操縱員工獲得私密信息。近幾年來(lái)，許多成功的攻擊案例都組合使用了社會(huì)和技術(shù)攻擊手段。Ghostnet和Stuxnet就是這樣兩個(gè)例子。如果您需要在執(zhí)行內(nèi)部滲透測(cè)試之后更新政策，那么一個(gè)很好的資源是SANS政策項(xiàng)目。要通過(guò)良好的控制、政策和流程對(duì)員工進(jìn)行長(zhǎng)期培訓(xùn)，才能夠很好地對(duì)抗這種攻擊手段。