日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
應(yīng)對攻擊的分階段滲透測試完全手冊

您是否聽說過魚叉式捕魚(spearfishing)?它是一種針對特定公司或人群的,以竊取敏感信息或控制網(wǎng)絡(luò)為目的的,電子郵件類欺騙攻擊。根據(jù)一項最新的研究表面,每年發(fā)生在全球各處的,針對各類企業(yè)的黑客攻擊事件中,有95%都與魚叉式捕魚有關(guān)。

創(chuàng)新互聯(lián)長期為成百上千客戶提供的網(wǎng)站建設(shè)服務(wù),團隊從業(yè)經(jīng)驗10年,關(guān)注不同地域、不同群體,并針對不同對象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺,與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為延壽企業(yè)提供專業(yè)的成都網(wǎng)站設(shè)計、成都網(wǎng)站建設(shè),延壽網(wǎng)站改版等技術(shù)服務(wù)。擁有十多年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

上圖展示了2020年第一季度,全球范圍內(nèi)受到網(wǎng)絡(luò)釣魚攻擊次數(shù)最多的國家排名信息。其中,委內(nèi)瑞拉因有20.53%的網(wǎng)絡(luò)用戶受到了網(wǎng)絡(luò)釣魚攻擊,名列這張表單榜首。該表中的數(shù)據(jù)來自根據(jù)美國國家統(tǒng)計局(https://www.statista.com/statistics/266362/phishing-attacks-country/)。

當(dāng)然,近年來,隨著魚叉式網(wǎng)絡(luò)釣魚等各類攻擊的日益增多,企業(yè)開始更加關(guān)注手頭上應(yīng)用程序和軟件產(chǎn)品的安全態(tài)勢。他們在開發(fā)安全可靠的軟件應(yīng)用的同時,希望能夠避免由于某些無形和有形的錯誤,而導(dǎo)致最終產(chǎn)品出現(xiàn)重大的安全缺陷。因此,為了及時發(fā)現(xiàn)應(yīng)用程序中存在的漏洞,以及縮小易受攻擊面,我們需要通過模擬黑客、及其行為,來開展頻繁且徹底的滲透測試,發(fā)現(xiàn)目標(biāo)IT環(huán)境中的潛在安全漏洞,進(jìn)而予以整改。

滲透測試的目標(biāo)

總體而言,滲透測試(或稱Pen testing)是為了發(fā)現(xiàn)風(fēng)險和漏洞,通過深入檢測與挖掘目標(biāo)在任何合法攻擊形式下,可能受到的危害程度。通常,滲透測試會涉及到針對服務(wù)器、網(wǎng)絡(luò)、防火墻、主機等硬件,以及各種軟件,識別與發(fā)現(xiàn)知名漏洞,并評估其實際威脅的程度。

除了確定目標(biāo)之外,滲透測試方法還可以被用于評估系統(tǒng)中存在的可疑后門機制,提高應(yīng)對不同類型的意外、或惡意攻擊的能力。因此,企業(yè)可以從如下方面受益于滲透測試:

  • 通過檢測各類漏洞可能產(chǎn)生的影響,將其匯總產(chǎn)生報表。
  • 檢查最新控制措施的配置與執(zhí)行情況,確保其實施的有效性。
  • 調(diào)動人員、軟硬件資源,通過開發(fā)管控措施,來加固應(yīng)用程序、基礎(chǔ)設(shè)施、以及流程中的弱點。
  • 在用戶輸入端執(zhí)行全面的模糊測試,以衡量應(yīng)用程序輸入驗證控件的有效性,并確保只接受經(jīng)過“消毒”過濾的輸入值。
  • 可以發(fā)現(xiàn)不同團隊在入侵響應(yīng)上的不足,進(jìn)而通過改進(jìn)內(nèi)部事件響應(yīng)流程,提高安全事件的響應(yīng)效率。

滲透測試的頻率

滲透測試的頻率取決于許多因素,包括:行業(yè)類型、網(wǎng)絡(luò)技術(shù)、以及法規(guī)合規(guī)等方面。通常情況下,如果發(fā)生以下任一情況,我們都應(yīng)立即安排執(zhí)行滲透測試:

  • 網(wǎng)絡(luò)或基礎(chǔ)設(shè)施發(fā)生重大變化
  • 剛打上了安全修補程序
  • 增添了新的應(yīng)用程序或基礎(chǔ)設(shè)施
  • 更改了辦公室的位置,以及對應(yīng)的網(wǎng)絡(luò)
  • 新頒布了行業(yè)法律與法規(guī)
  • 新的威脅或漏洞被媒體披露

如何執(zhí)行滲透測試?

我們可以通過如下三種方法,開展系統(tǒng)性的滲透測試:

  • 自動滲透測試
  • 手動滲透測試
  • 自動+手動滲透測試

滲透測試的不同階段

就像網(wǎng)絡(luò)攻擊有著既定的先后步驟那樣,滲透測試也可以被分為不同的階段。其中,每個階段都有一個特定的目標(biāo),并為下一個階段的攻擊做好準(zhǔn)備:

1.關(guān)鍵信息的收集

在這個研究階段,軟件測試(QA)人員可以從外部了解目標(biāo)公司及其員工信息。如果是黑客的話,則會利用在線工具,或是其他類似的網(wǎng)絡(luò)資源,來掃描并測試目標(biāo)網(wǎng)站。

2.枚舉和識別

在這個階段,軟件測試人員會深入研究目標(biāo)網(wǎng)絡(luò),盡可能地搜索可能受到影響的服務(wù)、開放的端口、以及應(yīng)用程序。根據(jù)已征得同意的滲透測試類型與程度,測試人員會收集并識別出目標(biāo)企業(yè)的關(guān)鍵信息,進(jìn)而發(fā)現(xiàn)環(huán)境中的切入點和漏洞。

3.漏洞掃描

通過前期的研究與準(zhǔn)備,性能測試團隊將在這個階段采取手動與自動相結(jié)合的方式,掃描目標(biāo)網(wǎng)絡(luò)上的風(fēng)險和漏洞。測試人員可以主要針對如下常見方面與部分,開展計劃與測試:

  • 業(yè)務(wù)關(guān)鍵資產(chǎn)
  • 技術(shù)數(shù)據(jù)
  • 客戶數(shù)據(jù)
  • 員工數(shù)據(jù)
  • 對內(nèi)部威脅和脆弱性的特定分類
  • 外部威脅–網(wǎng)絡(luò)協(xié)議、端口、網(wǎng)絡(luò)流量、Web應(yīng)用程序等
  • 內(nèi)部威脅 - 供應(yīng)商、員工、管理層等

QA工程師通常會使用漏洞掃描器,來檢測漏洞,并對其所構(gòu)成的安全威脅進(jìn)行記錄。之后,QA測試人員將驗證發(fā)現(xiàn)到的漏洞是否確實可能會被利用。全部的漏洞列表將在滲透測試結(jié)束的報告階段被提交。

4.確定最佳攻擊方法

所有前期準(zhǔn)備工作都已準(zhǔn)備就緒,QA專家將在這一階段決定攻擊面分析的最佳方式,通過評估風(fēng)險和漏洞被利用的可能性,最終協(xié)同整個滲透測試團隊制定出一整套攻擊的完整方案。

5.滲透和利用

前一個階段制定好的行動計劃,會在這個階段被實施到已發(fā)現(xiàn)的漏洞上,以開展獲取敏感信息,發(fā)動DoS攻擊,破壞目標(biāo)系統(tǒng)的網(wǎng)絡(luò)資源等攻擊操作。具體而言,我們在這個測試階段可以采取如下受控制的常見攻擊策略:

  • 物理攻擊
  • 網(wǎng)絡(luò)攻擊
  • Web應(yīng)用攻擊
  • Wi-Fi攻擊
  • 社會工程學(xué)
  • 零日利用
  • 基于內(nèi)存的攻擊

道德黑客還將記錄和重新評估那些已被利用威脅或漏洞,在此基礎(chǔ)上深入研究哪些攻擊可能成為重要業(yè)務(wù)單元的最大隱患和風(fēng)險點。最后,在利用階段,這些道德黑客應(yīng)也該清楚地分析出一旦此類重要單元被利用后,會產(chǎn)生何種后果。

6.風(fēng)險分析和建議

上面五個階段的主要目標(biāo)是獲悉和記錄可能受到攻擊的系統(tǒng)組件。為了保護(hù)它們所對應(yīng)的有形、無形的,物理與信息的資產(chǎn)價值,QA測試人員要進(jìn)行深入的風(fēng)險分析。在此基礎(chǔ)上,他們試著擬定包含了減少和修復(fù)目標(biāo)環(huán)境安全漏洞和威脅的可行性建議。

值得注意的是,一旦測試完成,QA專家應(yīng)及時、主動地清理被測環(huán)境,重新恢復(fù)和配置他們在測試期間所獲取的準(zhǔn)入權(quán)限,并通過必要的手段,阻止將來未授權(quán)訪問的發(fā)生。

7.報告準(zhǔn)備與目標(biāo)

報告的編制應(yīng)首先從總體性能測試流程開始,然后才是風(fēng)險與漏洞對分析。報告中,我們需要對重要的風(fēng)險與漏洞設(shè)定優(yōu)先級,以便整改團隊能夠按照由高到低的順序,依次進(jìn)行跟蹤和解決。當(dāng)然,如下方面也需要被體現(xiàn)在報告中:

  • 清晰地羅列出報告的要點,分門別類地展示測試中的發(fā)現(xiàn)
  • 每個階段都應(yīng)列舉出在滲透測試期間所收集的數(shù)據(jù)
  • 對所有已識別的風(fēng)險和漏洞提供完整的描述
  • 完整地闡述管理意圖和修復(fù)建議
  • 聲明該報告針對的是目標(biāo)系統(tǒng)的當(dāng)前態(tài)勢,并提議持續(xù)進(jìn)行安全性測試

滲透測試的不足

雖然優(yōu)點居多,但是滲透測試也存在著如下客觀上的缺點和潛在影響:

  • 滲透測試可能會使系統(tǒng)陷入故障狀態(tài),甚至?xí)?dǎo)致系統(tǒng)的崩潰
  • 測試的時間有限,且測試費用比較高
  • 被測數(shù)據(jù)容易出現(xiàn)錯誤、損壞、甚至被“污染”
  • 時間緊、任務(wù)急,有可能導(dǎo)致測試的范圍受限,進(jìn)而忽略了某些重要的部分和區(qū)域

滲透測試開源(免費)工具:

  • Wireshark - http://www.wireshark.org/
  • Nessus - http://www.wireshark.org/
  • OpenSSL - http://www.openssl.org/
  • Nmap - http://nmap.org/
  • Metasploit - http://www.metasploit.com/

小結(jié)

目前,云服務(wù)技術(shù)的發(fā)展為黑客和攻擊者提供了各種各樣的工具和資源,使得他們能夠毫不費力地侵入各個系統(tǒng)和網(wǎng)絡(luò),給企業(yè)的商業(yè)信譽、資產(chǎn)和服務(wù)造成巨大的損失。滲透測試不僅僅是一個基本的測試過程,它也可以被視為一種預(yù)防性的方法,用來發(fā)現(xiàn)和檢測各種安全缺陷和不同癥狀,進(jìn)而將系統(tǒng)的潛在安全風(fēng)險消減在未然。


網(wǎng)頁題目:應(yīng)對攻擊的分階段滲透測試完全手冊
當(dāng)前網(wǎng)址:http://www.dlmjj.cn/article/cddgejo.html