01、網(wǎng)絡(luò)滲透測(cè)試
如果攻擊者能夠成功闖入公司的網(wǎng)絡(luò),其引發(fā)的風(fēng)險(xiǎn)將會(huì)非常高。網(wǎng)絡(luò)滲透測(cè)試主要指測(cè)試人員嘗試?yán)@過(guò)防火墻、測(cè)試路由器、規(guī)避入侵檢測(cè)和防御系統(tǒng)(IPS/IDS)、掃描端口和代理服務(wù),并尋找所有類(lèi)型的網(wǎng)絡(luò)漏洞。在實(shí)際應(yīng)用中,網(wǎng)絡(luò)滲透測(cè)試工作主要包括外部網(wǎng)絡(luò)滲透測(cè)試與內(nèi)部網(wǎng)絡(luò)滲透測(cè)試。
在外部網(wǎng)絡(luò)滲透測(cè)試中,面向互聯(lián)網(wǎng)的資產(chǎn)是模擬攻擊的主要目標(biāo)。通常,目標(biāo)資產(chǎn)會(huì)由客戶(hù)提供,但也可以在客戶(hù)確認(rèn)的情況下執(zhí)行“無(wú)范圍”(no-scope)測(cè)試。測(cè)試人員將嘗試在掃描期間發(fā)現(xiàn)的任何可利用漏洞。此外,允許登錄的暴露服務(wù)將受到密碼猜測(cè)攻擊的影響,例如暴力破解或密碼噴射。對(duì)外開(kāi)放的企業(yè)網(wǎng)站通常會(huì)接受額外的審查,以尋找攻擊者容易利用的常見(jiàn)Web漏洞。
內(nèi)部網(wǎng)絡(luò)滲透測(cè)試則是從已獲得組織內(nèi)部網(wǎng)絡(luò)訪問(wèn)權(quán)限的角度進(jìn)行,可以在測(cè)試人員和客戶(hù)員工之間提供有益的互動(dòng),測(cè)試人員可以使用客戶(hù)提供的基礎(chǔ)設(shè)施,或是他們自己的物理或虛擬遠(yuǎn)程測(cè)試系統(tǒng)來(lái)進(jìn)行遠(yuǎn)程訪問(wèn)。
02、社會(huì)工程滲透測(cè)試
社會(huì)工程是網(wǎng)絡(luò)犯罪分子用來(lái)欺騙用戶(hù)泄露憑據(jù)或敏感信息的一種技術(shù)。如今,大多數(shù)網(wǎng)絡(luò)安全攻擊會(huì)從社會(huì)工程、網(wǎng)絡(luò)釣魚(yú)或短信網(wǎng)絡(luò)釣魚(yú)開(kāi)始。攻擊者通常會(huì)聯(lián)系員工,通過(guò)電子郵件、電話、社交媒體及其他方式瞄準(zhǔn)那些擁有管理員或高級(jí)訪問(wèn)權(quán)限的人。通過(guò)社會(huì)工程滲透測(cè)試可以幫助安全團(tuán)隊(duì)預(yù)先了解組織的人員安全意識(shí)狀態(tài),并在社會(huì)工程攻擊期間和之后測(cè)試組織安全團(tuán)隊(duì)的反應(yīng)和支持能力。
社會(huì)工程測(cè)試主要包括:
網(wǎng)絡(luò)釣魚(yú)測(cè)試。旨在確定組織的用戶(hù)群對(duì)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊的敏感性。該測(cè)試的目標(biāo)不是評(píng)估組織電子郵件保護(hù)的有效性,而是確定當(dāng)郵件避開(kāi)這些過(guò)濾器時(shí)用戶(hù)將如何反應(yīng)。這些評(píng)估的結(jié)果可以用于增強(qiáng)組織的反社會(huì)工程意識(shí)計(jì)劃。
電話語(yǔ)音釣魚(yú)。測(cè)試人員會(huì)使用來(lái)電顯示欺騙技術(shù)冒充用戶(hù)、支持人員或客戶(hù)。該評(píng)估旨在說(shuō)服用戶(hù)執(zhí)行一些可能會(huì)披露信息或提供對(duì)組織系統(tǒng)的訪問(wèn)權(quán)限的操作。許多用戶(hù)會(huì)根據(jù)來(lái)電號(hào)碼選擇信任來(lái)電者。部分用戶(hù)會(huì)察覺(jué)出攻擊并以各種方式做出響應(yīng),例如咨詢(xún)安全顧問(wèn)或在通話后聯(lián)系信息安全團(tuán)隊(duì)。
USB令牌注入。用戶(hù)可能會(huì)無(wú)意中嘗試將USB設(shè)備連接到環(huán)境中。在此評(píng)估類(lèi)型中,測(cè)試人員會(huì)將部署看似普通的USB驅(qū)動(dòng)器,并誘使用戶(hù)將該設(shè)備插入公司系統(tǒng)。這些USB設(shè)備可以是包含建立遠(yuǎn)程連接的惡意文件的典型驅(qū)動(dòng)器,也可以是在連接時(shí)執(zhí)行某些鍵盤(pán)操作。
收集短信釣魚(yú)。這種評(píng)估類(lèi)型類(lèi)似于網(wǎng)絡(luò)釣魚(yú),但利用的媒介變?yōu)镾MS或短消息服務(wù)向用戶(hù)發(fā)送欺詐性的消息。與網(wǎng)絡(luò)釣魚(yú)一樣,這些活動(dòng)將嘗試讓用戶(hù)訪問(wèn)冒充組織的站點(diǎn)或嘗試傳遞惡意木馬病毒。
03、Web應(yīng)用滲透測(cè)試
基于Web的應(yīng)用程序?qū)τ趲缀趺考医M織的運(yùn)營(yíng)都至關(guān)重要。Web應(yīng)用程序滲透測(cè)試側(cè)重于通過(guò)Web應(yīng)用程序呈現(xiàn)給攻擊者的攻擊面。這些測(cè)試類(lèi)型旨在評(píng)估Web應(yīng)用程序的安全性,并尋找攻擊性方法來(lái)訪問(wèn)敏感數(shù)據(jù),或獲得對(duì)Web應(yīng)用程序的控制權(quán)限。在此評(píng)估期間,組織通常會(huì)向測(cè)試人員提供憑據(jù)訪問(wèn)權(quán)限,以審查整個(gè)應(yīng)用程序。
Web應(yīng)用程序測(cè)試的對(duì)象包括Web應(yīng)用程序、瀏覽器、ActiveX、插件、Silverlight、小腳本和小應(yīng)用程序,測(cè)試中所用的語(yǔ)言包括Java、PHP、和.NET等。應(yīng)用編程接口(API)與XML、MySQL、Oracle及其連接和系統(tǒng)一樣也是測(cè)試的一部分。如果Web應(yīng)用程序是移動(dòng)的,它們還需要在其環(huán)境中進(jìn)行測(cè)試。由于端點(diǎn)在運(yùn)行時(shí)和Web應(yīng)用程序在線時(shí)具有交互性,針對(duì)Web應(yīng)用的滲透測(cè)試會(huì)很復(fù)雜,滲透測(cè)試人員必須兼顧所有方面。
04、無(wú)線網(wǎng)絡(luò)滲透測(cè)試
現(xiàn)代企業(yè)會(huì)高度依賴(lài)無(wú)線網(wǎng)絡(luò)來(lái)連接端點(diǎn)和物聯(lián)網(wǎng)設(shè)備等,無(wú)線網(wǎng)絡(luò)已成為網(wǎng)絡(luò)犯罪分子的熱門(mén)目標(biāo),但其應(yīng)用安全性卻常被企業(yè)所忽視。覆蓋無(wú)線安全的滲透測(cè)試必須面面俱到,無(wú)線網(wǎng)絡(luò)測(cè)試人員需要尋找無(wú)線加密中已知的缺陷,試圖破解密鑰,誘使用戶(hù)向“雙面惡魔”(evil twin)接入點(diǎn)或被攻擊者控制的文件夾提供憑據(jù),并暴力破解登錄詳細(xì)信息。惡意接入點(diǎn)掃描可以通過(guò)物理位置和經(jīng)過(guò)身份驗(yàn)證的無(wú)線分段測(cè)試完成這些評(píng)估類(lèi)型,以確定攻擊者在成功連接到環(huán)境后可以訪問(wèn)的內(nèi)容。
隨著企業(yè)開(kāi)始走上數(shù)字化轉(zhuǎn)型和現(xiàn)代化之路,物聯(lián)網(wǎng)、傳感器、攝像頭、移動(dòng)設(shè)備及和其他端點(diǎn)面臨的威脅也在加大。黑客會(huì)試圖通過(guò)這些新的入口點(diǎn)訪問(wèn)關(guān)鍵資產(chǎn),數(shù)字攻擊面擴(kuò)大無(wú)疑對(duì)他們有利。因此,滲透測(cè)試人員需要全面驗(yàn)證無(wú)線加密協(xié)議、檢查信標(biāo)、確認(rèn)流量以及搜索接入點(diǎn)、熱點(diǎn)和MAC地址欺騙。
05、物理安全滲透測(cè)試
并非公司面臨的所有威脅都是由外部網(wǎng)絡(luò)應(yīng)用所引起,特別是在邊緣計(jì)算興起后,很多企業(yè)會(huì)在接近業(yè)務(wù)運(yùn)營(yíng)的地方建立數(shù)據(jù)分中心,面向這些中心的物理環(huán)境安全測(cè)試已變得更加重要。
在物理環(huán)境安全測(cè)試中,測(cè)試人員將會(huì)模擬驗(yàn)證大門(mén)的安全系統(tǒng)、門(mén)禁卡、門(mén)鎖、攝像頭和傳感器,并嘗試冒充工作人員。他們還會(huì)驗(yàn)證當(dāng)攻擊者可以物理訪問(wèn)計(jì)算設(shè)備、數(shù)據(jù)中心網(wǎng)絡(luò)和邊緣計(jì)算網(wǎng)絡(luò)時(shí),企業(yè)數(shù)字化應(yīng)用系統(tǒng)的安全系數(shù)會(huì)如何變化。這類(lèi)測(cè)試通常會(huì)在安全團(tuán)隊(duì)大多數(shù)成員完全不知情的情況下執(zhí)行。
06、云計(jì)算滲透測(cè)試
私有云和公共云的廣泛應(yīng)用為現(xiàn)代企業(yè)組織帶來(lái)了諸多好處,但也給網(wǎng)絡(luò)犯罪分子帶來(lái)了機(jī)會(huì)。許多組織在云端都存放了大量關(guān)鍵業(yè)務(wù)數(shù)據(jù)資產(chǎn),如果這些資產(chǎn)遭到破壞,會(huì)導(dǎo)致業(yè)務(wù)運(yùn)營(yíng)的癱瘓。
雖然云供應(yīng)商會(huì)為企業(yè)提供功能強(qiáng)大的配套安全服務(wù),但云滲透測(cè)試對(duì)企業(yè)組織已必不可少。云端滲透測(cè)試需要提前通知云提供商,因?yàn)橄到y(tǒng)的某些區(qū)域可能禁止白帽黑客訪問(wèn)。
云端的滲透測(cè)試必須遵守云服務(wù)商給出的統(tǒng)一滲透測(cè)試演練規(guī)則。而在開(kāi)始進(jìn)行測(cè)試前,組織也需要詳細(xì)填寫(xiě)云計(jì)算安全滲透測(cè)試申請(qǐng)表。云滲透測(cè)試的內(nèi)容主要包括檢查云環(huán)境的安全性、應(yīng)用程序及API、訪問(wèn)、存儲(chǔ)、加密、虛擬機(jī)、操作系統(tǒng)及更新、安全外殼(SSH)、遠(yuǎn)程桌面協(xié)議(RDP)遠(yuǎn)程管理以及錯(cuò)誤配置和密碼。
07、紅藍(lán)對(duì)抗測(cè)試
受軍事演習(xí)活動(dòng)的啟發(fā),在網(wǎng)絡(luò)安全領(lǐng)域也開(kāi)始流行基于實(shí)戰(zhàn)背景的攻防對(duì)抗測(cè)試演練活動(dòng),會(huì)組織專(zhuān)業(yè)的測(cè)試紅隊(duì)充當(dāng)攻擊者,而藍(lán)隊(duì)主要由企業(yè)現(xiàn)有的安全團(tuán)隊(duì)組成。這種整體式對(duì)抗性測(cè)試方法能夠確保滲透測(cè)試的真實(shí)性和有效性,不僅可以評(píng)估安全缺陷、漏洞和威脅,還可以評(píng)估安全團(tuán)隊(duì)的反應(yīng)能力。
通過(guò)聘請(qǐng)行業(yè)專(zhuān)家充當(dāng)藍(lán)隊(duì),企業(yè)組織不僅可以發(fā)現(xiàn)目前的安全防護(hù)薄弱環(huán)節(jié),還可以趁此機(jī)會(huì)提升員工的專(zhuān)業(yè)安全技能。安全團(tuán)隊(duì)可以學(xué)習(xí)如何更快速地了解和響應(yīng)攻擊。紅藍(lán)對(duì)抗測(cè)試有多種形式。有時(shí)藍(lán)隊(duì)被告知模擬或滲透測(cè)試的時(shí)間,有時(shí)則完全不知情。紅隊(duì)滲透測(cè)試人員可以深入了解內(nèi)部安全團(tuán)隊(duì)在如何響應(yīng),并提供優(yōu)化的建議。
參考鏈接:https://www.esecurityplanet.com/networks/types-of-penetration-testing/
