什么是網(wǎng)絡(luò)滲透測試?網(wǎng)絡(luò)滲透測試模擬威脅參與者可用于攻擊業(yè)務(wù)網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)站、網(wǎng)絡(luò)應(yīng)用程序和連接設(shè)備的過程。目標(biāo)是在威脅行為者發(fā)現(xiàn)并利用它們之前發(fā)現(xiàn)安全問題。
滲透測試可以幫助組織識別安全漏洞并確定哪些措施可以防止威脅行為者未經(jīng)授權(quán)訪問網(wǎng)絡(luò)并攻擊組織。滲透測試的結(jié)果可以深入了解組織現(xiàn)有安全防御的有效性及其對全面網(wǎng)絡(luò)攻擊的恢復(fù)能力。
常見的網(wǎng)絡(luò)安全威脅
以下是最常見的網(wǎng)絡(luò)安全威脅:
網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚是一種社會工程攻擊,它試圖通過模仿已知或信譽良好的實體(例如銀行機構(gòu)、個人聯(lián)系人或已知網(wǎng)站)來操縱目標(biāo)執(zhí)行特定操作。
攻擊者通過電子郵件或公司聊天等通信渠道發(fā)送消息,旨在提示目標(biāo)泄露敏感信息或財務(wù)信息、下載惡意軟件(malware)或點擊惡意鏈接。執(zhí)行這些操作會提示目標(biāo)輸入憑證或信用卡號等信息。
計算機病毒
計算機病毒是一種軟件程序,可以感染計算機設(shè)備并繼續(xù)傳播到它接觸到的其他機器。用戶可以從各種位置下載計算機病毒,例如惡意網(wǎng)站或電子郵件附件。
攻擊者經(jīng)常向受害者發(fā)送計算機病毒,以感染他們的計算機和網(wǎng)絡(luò)上的其他機器。計算機病毒可以禁用安全設(shè)置、竊取和破壞數(shù)據(jù)、發(fā)送垃圾郵件以及刪除整個硬盤驅(qū)動器。
惡意軟件/勒索軟件
攻擊者經(jīng)常使用惡意軟件(malware)進行非法活動,例如竊取機密數(shù)據(jù)、在設(shè)備上秘密安裝破壞性程序以及鎖定系統(tǒng)。惡意軟件可以通過受感染的文件、彈出式廣告、電子郵件或虛假網(wǎng)站傳播特洛伊木馬、蠕蟲和間諜軟件。
勒索軟件是一種惡意軟件程序,可以通過各種方式鎖定設(shè)備,例如網(wǎng)絡(luò)釣魚電子郵件或惡意文件。設(shè)備鎖定后,程序會顯示一條提示,要求支付贖金才能解鎖設(shè)備。它可以防止受害者加密文件、運行應(yīng)用程序或完全使用設(shè)備。
流氓安全軟件
這種惡意軟件試圖誘騙用戶相信他們的計算機感染了病毒,或者他們的安全措施不再是最新的。流氓安全軟件提供幫助受害者安裝或更新他們的安全設(shè)置,要求他們購買工具或下載程序來擺脫假冒病毒。實際上,受害者正在他們的設(shè)備上安裝惡意軟件。
拒絕服務(wù)(DoS)攻擊
DoS 攻擊試圖阻止真實用戶訪問網(wǎng)站的信息或服務(wù)。當(dāng)攻擊者使用連接到 Internet 的計算機通過虛假流量使網(wǎng)站過載時,就會發(fā)生這種情況。分布式拒絕服務(wù) (DDoS) 攻擊的工作原理類似,但使用分布在世界各地的多臺不同計算機。它涉及使用受感染的計算機網(wǎng)絡(luò)(稱為僵尸網(wǎng)絡(luò))來提供虛假流量來淹沒網(wǎng)站。
內(nèi)部威脅
內(nèi)部違規(guī)源自組織內(nèi)部。它可能由于疏忽行為、人為錯誤或承包商、雇員或前雇員采取的惡意行為而發(fā)生。組織可以通過采用安全意識文化將內(nèi)部威脅的潛在風(fēng)險降至最低。它涉及實施網(wǎng)絡(luò)安全政策、員工安全意識培訓(xùn)和安全工具,以識別異常行為和網(wǎng)絡(luò)釣魚。
內(nèi)部與外部網(wǎng)絡(luò)滲透測試
以下是兩種網(wǎng)絡(luò)滲透測試之間的主要區(qū)別。
外部測試
網(wǎng)絡(luò)的外部威脅通常是最明顯的。大多數(shù)安全團隊都同意,所有暴露在互聯(lián)網(wǎng)上的東西都必須進行一些安全測試。外部滲透測試可以幫助識別受損的外部主機,這些主機(如果無人看管)允許攻擊者進一步滲透網(wǎng)絡(luò)。
必須保護可能成為攻擊目標(biāo)的外部設(shè)備——例如,黑客正在尋找存儲客戶端數(shù)據(jù)的面向 Internet 的 FTP 服務(wù)器。外部網(wǎng)絡(luò)滲透測試側(cè)重于網(wǎng)絡(luò)邊界,識別阻止遠程攻擊的安全控制缺陷。該過程涉及滲透測試人員創(chuàng)建真實場景以識別所有潛在漏洞。
外部網(wǎng)絡(luò)滲透測試人員可以使用多種技術(shù),包括端口掃描、網(wǎng)絡(luò)嗅探、主機發(fā)現(xiàn)以及流量監(jiān)控和分析。滲透測試人員經(jīng)常嘗試使用 OSPF 和 RIP 等動態(tài)路由更新來欺騙或欺騙服務(wù)器。他們可能會嘗試使用被盜帳戶憑據(jù)登錄系統(tǒng)或使用代碼來利用已知漏洞。更高級的外部滲透測試可能包括通過掃描身份驗證數(shù)據(jù)庫、緩沖區(qū)溢出、更改運行系統(tǒng)配置和添加新用戶帳戶來破解密碼。
內(nèi)部測試
內(nèi)部安全威脅通常比外部安全威脅更危險、更難檢測。其中包括心懷不滿的員工、前員工和竊取商業(yè)機密的競爭對手。許多內(nèi)部威脅的發(fā)生并沒有明顯的惡意——例如,安全配置問題和員工失誤。
大多數(shù)網(wǎng)絡(luò)攻擊都起源于網(wǎng)絡(luò)內(nèi)部,因此內(nèi)部網(wǎng)絡(luò)滲透測試側(cè)重于內(nèi)部環(huán)境,而不是面向公眾的設(shè)備。這些滲透測試試圖檢測和利用惡意內(nèi)部人員在獲得內(nèi)部網(wǎng)絡(luò)訪問權(quán)限后可能發(fā)現(xiàn)的問題。
基本的滲透測試技術(shù)是相同的(即試圖破壞系統(tǒng)),但測試的攻擊向量包括內(nèi)部子網(wǎng)、文件服務(wù)器、域服務(wù)器、打印機和交換機。滲透測試人員評估內(nèi)部網(wǎng)絡(luò),仔細檢查可能導(dǎo)致漏洞利用的路徑。
網(wǎng)絡(luò)滲透測試階段
滲透測試模仿網(wǎng)絡(luò)安全殺傷鏈。它通常涉及以下階段:
1.規(guī)劃偵察
在此階段,測試人員和公司官員討論滲透測試的目標(biāo)和范圍、目標(biāo)系統(tǒng)和測試方法。一些測試可以是開放式的,而其他測試可能會利用某些惡意策略、技術(shù)和程序 (TTP)。接下來,測試人員收集情報以更好地了解被測系統(tǒng)的架構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)和安全工具。
2.掃描
此階段涉及部署自動化工具來分析測試系統(tǒng)。滲透測試人員經(jīng)常執(zhí)行靜態(tài)或動態(tài)分析以檢查系統(tǒng)代碼是否存在安全漏洞或錯誤。他們還可能會運行漏洞掃描來定位可能易受攻擊的未修補或舊組件。
3. 獲得訪問權(quán)
先前階段收集的情報有助于滲透測試人員選擇一個薄弱點來破壞系統(tǒng)。它可能涉及各種技術(shù),例如發(fā)起暴力攻擊和密碼破解攻擊以繞過薄弱的身份驗證過程。其他常見方法包括使用跨站點腳本 (XSS) 或 SQL 注入來執(zhí)行惡意代碼或?qū)阂廛浖魉偷桨踩秶鷥?nèi)的系統(tǒng)中。
4. 維護訪問
滲透測試人員通常表現(xiàn)得像高級持續(xù)威脅 (APT),試圖提升他們的特權(quán)并橫向移動以訪問敏感資產(chǎn)。目標(biāo)是發(fā)現(xiàn)內(nèi)部系統(tǒng)中的漏洞,而不僅僅是那些部署在網(wǎng)絡(luò)邊緣或安全邊界上的漏洞。它有助于評估組織識別網(wǎng)絡(luò)中惡意活動的能力。
5.分析
滲透測試以包含以下內(nèi)容的報告結(jié)束:
- 已發(fā)現(xiàn)的漏洞,包括測試人員未利用的漏洞。
- 測試人員用來破壞目標(biāo)系統(tǒng)的方法。
- 測試人員破壞的敏感數(shù)據(jù)或內(nèi)部系統(tǒng)。
- 組織如何應(yīng)對攻擊。
組織可以使用這些見解來修復(fù)漏洞、改進安全流程和修改安全配置。
結(jié)論
總之,網(wǎng)絡(luò)滲透測試是評估計算機網(wǎng)絡(luò)安全和識別潛在漏洞的重要工具。通過模擬網(wǎng)絡(luò)上的網(wǎng)絡(luò)攻擊,滲透測試人員可以幫助組織在被惡意攻擊者利用之前識別并修復(fù)防御中的弱點。滲透測試通常涉及幾個階段,包括計劃和偵察、掃描和枚舉、開發(fā)、開發(fā)后以及報告和補救。它是全面安全計劃的重要組成部分,應(yīng)由經(jīng)過培訓(xùn)的安全專業(yè)人員執(zhí)行。
