文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

应对攻击的分阶段渗透测试完全手册

2024-12-03 16:33

关注

【51CTO.com快译】您是否听说过鱼叉式捕鱼(spearfishing)?它是一种针对特定公司或人群的,以窃取敏感信息或控制网络为目的的,电子邮件类欺骗攻击。根据一项最新的研究表面,每年发生在全球各处的,针对各类企业的黑客攻击事件中,有95%都与鱼叉式捕鱼有关。

上图展示了2020年第一季度,全球范围内受到网络钓鱼攻击次数最多的国家排名信息。其中,委内瑞拉因有20.53%的网络用户受到了网络钓鱼攻击,名列这张表单榜首。该表中的数据来自根据美国国家统计局(https://www.statista.com/statistics/266362/phishing-attacks-country/)。

当然,近年来,随着鱼叉式网络钓鱼等各类攻击的日益增多,企业开始更加关注手头上应用程序和软件产品的安全态势。他们在开发安全可靠的软件应用的同时,希望能够避免由于某些无形和有形的错误,而导致最终产品出现重大的安全缺陷。因此,为了及时发现应用程序中存在的漏洞,以及缩小易受攻击面,我们需要通过模拟黑客、及其行为,来开展频繁且彻底的渗透测试,发现目标IT环境中的潜在安全漏洞,进而予以整改。

渗透测试的目标

总体而言,渗透测试(或称Pen testing)是为了发现风险和漏洞,通过深入检测与挖掘目标在任何合法攻击形式下,可能受到的危害程度。通常,渗透测试会涉及到针对服务器、网络、防火墙、主机等硬件,以及各种软件,识别与发现知名漏洞,并评估其实际威胁的程度。

除了确定目标之外,渗透测试方法还可以被用于评估系统中存在的可疑后门机制,提高应对不同类型的意外、或恶意攻击的能力。因此,企业可以从如下方面受益于渗透测试:

渗透测试的频率

渗透测试的频率取决于许多因素,包括:行业类型、网络技术、以及法规合规等方面。通常情况下,如果发生以下任一情况,我们都应立即安排执行渗透测试:

如何执行渗透测试?

我们可以通过如下三种方法,开展系统性的渗透测试:

渗透测试的不同阶段

就像网络攻击有着既定的先后步骤那样,渗透测试也可以被分为不同的阶段。其中,每个阶段都有一个特定的目标,并为下一个阶段的攻击做好准备:

1.关键信息的收集

在这个研究阶段,软件测试(QA)人员可以从外部了解目标公司及其员工信息。如果是黑客的话,则会利用在线工具,或是其他类似的网络资源,来扫描并测试目标网站。

2.枚举和识别

在这个阶段,软件测试人员会深入研究目标网络,尽可能地搜索可能受到影响的服务、开放的端口、以及应用程序。根据已征得同意的渗透测试类型与程度,测试人员会收集并识别出目标企业的关键信息,进而发现环境中的切入点和漏洞。

3.漏洞扫描

通过前期的研究与准备,性能测试团队将在这个阶段采取手动与自动相结合的方式,扫描目标网络上的风险和漏洞。测试人员可以主要针对如下常见方面与部分,开展计划与测试:

QA工程师通常会使用漏洞扫描器,来检测漏洞,并对其所构成的安全威胁进行记录。之后,QA测试人员将验证发现到的漏洞是否确实可能会被利用。全部的漏洞列表将在渗透测试结束的报告阶段被提交。

4.确定最佳攻击方法

所有前期准备工作都已准备就绪,QA专家将在这一阶段决定攻击面分析的最佳方式,通过评估风险和漏洞被利用的可能性,最终协同整个渗透测试团队制定出一整套攻击的完整方案。

5.渗透和利用

前一个阶段制定好的行动计划,会在这个阶段被实施到已发现的漏洞上,以开展获取敏感信息,发动DoS攻击,破坏目标系统的网络资源等攻击操作。具体而言,我们在这个测试阶段可以采取如下受控制的常见攻击策略:

道德黑客还将记录和重新评估那些已被利用威胁或漏洞,在此基础上深入研究哪些攻击可能成为重要业务单元的最大隐患和风险点。最后,在利用阶段,这些道德黑客应也该清楚地分析出一旦此类重要单元被利用后,会产生何种后果。

6.风险分析和建议

上面五个阶段的主要目标是获悉和记录可能受到攻击的系统组件。为了保护它们所对应的有形、无形的,物理与信息的资产价值,QA测试人员要进行深入的风险分析。在此基础上,他们试着拟定包含了减少和修复目标环境安全漏洞和威胁的可行性建议。

值得注意的是,一旦测试完成,QA专家应及时、主动地清理被测环境,重新恢复和配置他们在测试期间所获取的准入权限,并通过必要的手段,阻止将来未授权访问的发生。

7.报告准备与目标

报告的编制应首先从总体性能测试流程开始,然后才是风险与漏洞对分析。报告中,我们需要对重要的风险与漏洞设定优先级,以便整改团队能够按照由高到低的顺序,依次进行跟踪和解决。当然,如下方面也需要被体现在报告中:

渗透测试的不足

虽然优点居多,但是渗透测试也存在着如下客观上的缺点和潜在影响:

渗透测试开源(免费)工具:

小结

目前,云服务技术的发展为黑客和攻击者提供了各种各样的工具和资源,使得他们能够毫不费力地侵入各个系统和网络,给企业的商业信誉、资产和服务造成巨大的损失。渗透测试不仅仅是一个基本的测试过程,它也可以被视为一种预防性的方法,用来发现和检测各种安全缺陷和不同症状,进而将系统的潜在安全风险消减在未然。

原文A Complete Guide to the Stages of Penetration Testing,作者: Niranjan Limbachiya

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

 

来源:51CTO内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯