近日,网络安全企业Check Point今日发布2023年网络安全趋势预测,指出今年第三季各产业遭遇的网络攻击增加28%,全球网络攻击事件将继续大幅增长。
Cybersecurity Ventures也最新发布的“2022年网络犯罪报告”中,预计未来三年全球网络犯罪损害成本将以每年15%的速度增长,到2025年达到每年10.5万亿美元,高于2015年的3万亿美元。
因此,对于频繁发生的网络攻击,需要企业和组织机构,要有有效对应攻击的解决方法,可以通过模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵,提前发现并可能带来风险漏洞,及时采取补救措施,这就是渗透测试。
一、渗透测试的服务方式
根据测试的位置不同可以分为内部测试和外部测试;根据测试的方法不同分为黑盒测试和白盒测试两类:
内部测试
内部测试是指经过用户授权后,测试人员到达用户工作现场,根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备的工作。一般用于检测内部威胁源和路径。
外部测试
与内部测试相反,测试人员无需到达客户现场,直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。这种测试往往是应用于那些关注门户站点的用户,主要用于检测外部威胁源和路径。
黑盒测试
黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作,这种方式可以较好的模拟黑客行为,了解外部恶意用户可能对系统带来的威胁。
白盒测试
白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测试,如:目标系统的帐号、配置甚至源代码。这种情况用户模拟并检测内部的恶意用户可能为系统带来的威胁。
二、渗透测试解决哪些问题
(1)保护用户数据:渗透测试可以检测出用户数据传输过程中是否存在问题和缺陷,以加强数据传输过程中的安全,从而保证用户数据的安全;
(2)查找应用程序中的安全漏洞:通过渗透测试可以发现被测试的应用程序内部存在哪些安全漏洞,通过找出这些漏洞并提出相应的解决办法来提高应用程序的安全性;
(3)发现系统中的漏洞:通过测试发现系统中存在的漏洞,对这些漏洞提出修改建议,并且协助修改这些漏洞;
(4)评估成功攻击对业务的影响:通过模拟黑客攻击来测试工具会对业务产生哪些影响,将这些影响以报告形式进行汇报;
(5)获得渗透测试报告,满足组织中的信息安全法规要求:通过测试让系统或者主机满足当前组织要求的规定。
三、渗透测试流程
渗透测试服务主要分为四个阶段,包括测试前期准备阶段、测试阶段实施、复测阶段实施以及成果汇报阶段:
前期准备阶段
在实施渗透测试工作前,技术人员会和客户对渗透测试服务相关的技术细节进行详细沟通。由此确认渗透测试的方案,方案内容主要包括确认的渗透测试范围、最终对象、测试方式、测试要求的时间等内容。同时,客户签署渗透测试授权书。
测试阶段实施
在测试实施过程中,天磊卫士测试人员首先使用自动化的安全扫描工具,完成初步的信息收集、服务判断、版本判断、补丁判断等工作。
然后由人工的方式对安全扫描的结果进行人工的确认和分析。并且根据收集的各类信息进行人工的进一步渗透测试深入。
结合自动化测试和人工测试两方的结果,测试人员需整理渗透测试服务的输出结果并编制渗透测试报告,最终提交客户和对报告内容进行沟通。
复测阶段实施
在经过第一次渗透测试报告提交和沟通后,等待客户针对渗透测试发现的问题整改或加固。经整改或加固后,测试人员进行回归测试,即二次复测。复测结束后提交给客户复测报告和对复测结果进行沟通。
成果汇报阶段
根据一次渗透测试和二次复测结果,整理渗透测试服务输出成果,最后汇报项目领导。
最后,渗透测试虽然可以有效提前发现漏洞,但是企业和组织一般1年组织一次,或者在遇到应用升级、新设施启用之后,但是网络犯罪分子并不会在用户完成渗透测试后再来攻击,因此渗透测试只是安全防御体系中的一部分,如果想要更好的做好网络安全防护,可以搭配其他手段,例如漏洞扫描等方法,更好的做好网络安全运维。
