如何執(zhí)行一個網(wǎng)絡(luò)滲透測試

第第頁如何執(zhí)行一個網(wǎng)絡(luò)滲透測試如何執(zhí)行一個網(wǎng)絡(luò)滲透測試

發(fā)表于：2023-01-24來源：：點(diǎn)擊數(shù)：標(biāo)簽：

如何執(zhí)行一個網(wǎng)絡(luò)滲透測試一個良好的滲透測試是什么組成的?雖然執(zhí)行一個滲透測試有許多明顯的優(yōu)點(diǎn)——執(zhí)行滲透測試的價值在于它的結(jié)果。這些結(jié)果必須是有價值的，而且對于客戶來說必須是很容易理解的。有一個常見的誤解是認(rèn)為滲透測試只是使用一些時髦的

如何執(zhí)行一個網(wǎng)絡(luò)滲透測試

一個良好的滲透測試是什么組成的?

雖然執(zhí)行一個滲透測試有許多明顯的優(yōu)點(diǎn)——執(zhí)行滲透測試的價值在于它的結(jié)果。這些結(jié)果必須是有價值的，而且對于客戶來說必須是很容易理解的。有一個常見的誤解是認(rèn)為滲透測試只是使用一些時髦的自動化安全工具，并處理所生成的報告。但是，成功執(zhí)行一個浸透測試并不僅僅是需要安全工具。雖然這些自動化安全測試工具在實(shí)踐中扮演了重要的角色，但是它們也是有缺點(diǎn)的。事實(shí)上，這些工具一直無法真正模擬一個高深攻擊者的行為。不管安全工具完成的報告有多么全面，其中總是有一些需要解釋的問題。

讓我們看看構(gòu)成一個良好滲透測試的一些關(guān)鍵因素：

建立參數(shù)：定義工作范圍是執(zhí)行一個成功滲透測試的第一步，也是最重要的一步。這包括定義邊界、目標(biāo)和過程驗(yàn)證(成功條件)。

專業(yè)人員：配備技術(shù)熟練和經(jīng)驗(yàn)豐富的咨詢?nèi)藛T執(zhí)行測試——他們了解自己要做什么。換句話說，專業(yè)人員與一般人員是不同的。要保證他們是：

o能勝任的

o經(jīng)驗(yàn)豐富的

o遵守保密協(xié)議

選擇足夠的測試集：手工的和自動的都會影響成功/效益之間的最佳平衡。

遵循正確的方法：這并不是猜謎游戲。所有方面都需要規(guī)劃、文檔化和符合要求。

結(jié)果值：結(jié)果應(yīng)該詳細(xì)地寫入文檔，并且要盡力使它們能被客戶所理解。不管是技術(shù)報告還是執(zhí)行總結(jié)，都需要一些解釋。應(yīng)用安排一些安全咨詢?nèi)藛T/測試人員來回復(fù)問題或解釋結(jié)果。

測試結(jié)果與建議：這是滲透測試的一個非常重要的部分。最終的報告必須清晰地說明成果，必須將成果與潛在的風(fēng)險對應(yīng)。這應(yīng)該會附帶產(chǎn)生一個基于最佳安全實(shí)踐方法的修正路線圖。

在我們討論浸透測試中所使用的測試策略和技術(shù)之前，讓我們先看一些可能很有用的場景：

建立新的辦公室

不管是建立新的公司或增加新的辦公點(diǎn)，浸透測試都有助于確定網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的潛在漏洞。例如，在增加新辦公點(diǎn)時執(zhí)行內(nèi)部測試是非常重要的，因?yàn)樗鼤z查網(wǎng)絡(luò)資源的可用性，并檢查這些辦公點(diǎn)之間傳輸?shù)牧髁款愋汀?/p>

部署新的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

每一個新的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)都應(yīng)該能模擬黑客行為進(jìn)行全面的測試。當(dāng)執(zhí)行外部測試(預(yù)先不太了解基礎(chǔ)架構(gòu))來保證邊界安全性時，我們也應(yīng)該執(zhí)行內(nèi)部測試來保證網(wǎng)絡(luò)資源，如：服務(wù)器、存儲、路由和訪問設(shè)備，在邊界受到攻擊時仍然是足夠安全的，而且基礎(chǔ)架構(gòu)是能夠抗拒任何攻擊的。

修改/升級現(xiàn)有的基礎(chǔ)架構(gòu)

修改是不可避免的——可能是軟件、硬件或網(wǎng)絡(luò)設(shè)計(jì)，由于需要功能改進(jìn);修復(fù)重大缺陷和/或應(yīng)用新的需求，都可能引起修改/升級。不管現(xiàn)有的基礎(chǔ)架構(gòu)在什么時候發(fā)生變化，它都應(yīng)該再次測試，以保證不會出現(xiàn)新的漏洞。必要測試的數(shù)量取決于基礎(chǔ)架構(gòu)修改的特征和程度。細(xì)小的變化，如配置變更為特定規(guī)則，將只需要進(jìn)行端口掃描來保證預(yù)期的防火墻行為，而重大的變化，如關(guān)鍵設(shè)備/OS版本升級，可能就需要徹底重新測試。

部署新應(yīng)用

當(dāng)基礎(chǔ)架構(gòu)進(jìn)行徹底測試之后，新的應(yīng)用(不管是連接Internet的或是在Intranet中)在部署到生產(chǎn)環(huán)境之前也都必須進(jìn)行安全性測試。這個測試需要在“實(shí)際的”平臺上進(jìn)行，以保證這個應(yīng)用只使用預(yù)定義的端口，而且代碼本身也是安全的。

修改/升級一個現(xiàn)有應(yīng)用

隨著基本架構(gòu)發(fā)生變化，本質(zhì)上應(yīng)用也會發(fā)生變化。細(xì)小的變化，如用戶帳號修改，都不需要測試。但是，重大的變化，包括應(yīng)用功能變化，都應(yīng)該徹底重新測試。

定期重復(fù)測試

管理安全性并非易事，而公司不應(yīng)該認(rèn)為滲透測試就