本文来自微信公众号“安全牛”。
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,包括了对系统各类弱点、技术缺陷或漏洞的主动分析。由于渗透测试需要通过模拟黑客攻击来评估目标系统的安全性和漏洞,因此可能会带来一些风险,比如影响目标系统的正常运行、泄露敏感数据、引起法律纠纷等。为了确保测试工作的安全性和有效性,企业组织在开展渗透测试工作前,需要全面了解测试的类型、方法和原则。本文将对其中的7种最常见类型进行介绍:
01
网络渗透测试
如果攻击者能够成功闯入公司的网络,其引发的风险将会非常高。网络渗透测试主要指测试人员尝试绕过防火墙、测试路由器、规避入侵检测和防御系统(IPS/IDS)、扫描端口和代理服务,并寻找所有类型的网络漏洞。在实际应用中,网络渗透测试工作主要包括外部网络渗透测试与内部网络渗透测试。
在外部网络渗透测试中,面向互联网的资产是模拟攻击的主要目标。通常,目标资产会由客户提供,但也可以在客户确认的情况下执行“无范围”(no-scope)测试。测试人员将尝试在扫描期间发现的任何可利用漏洞。此外,允许登录的暴露服务将受到密码猜测攻击的影响,例如暴力破解或密码喷射。对外开放的企业网站通常会接受额外的审查,以寻找攻击者容易利用的常见Web漏洞。
内部网络渗透测试则是从已获得组织内部网络访问权限的角度进行,可以在测试人员和客户员工之间提供有益的互动,测试人员可以使用客户提供的基础设施,或是他们自己的物理或虚拟远程测试系统来进行远程访问。
02
社会工程渗透测试
社会工程是网络犯罪分子用来欺骗用户泄露凭据或敏感信息的一种技术。如今,大多数网络安全攻击会从社会工程、网络钓鱼或短信网络钓鱼开始。攻击者通常会联系员工,通过电子邮件、电话、社交媒体及其他方式瞄准那些拥有管理员或高级访问权限的人。通过社会工程渗透测试可以帮助安全团队预先了解组织的人员安全意识状态,并在社会工程攻击期间和之后测试组织安全团队的反应和支持能力。
社会工程测试主要包括:
网络钓鱼测试。旨在确定组织的用户群对鱼叉式网络钓鱼攻击的敏感性。该测试的目标不是评估组织电子邮件保护的有效性,而是确定当邮件避开这些过滤器时用户将如何反应。这些评估的结果可以用于增强组织的反社会工程意识计划。
电话语音钓鱼。测试人员会使用来电显示欺骗技术冒充用户、支持人员或客户。该评估旨在说服用户执行一些可能会披露信息或提供对组织系统的访问权限的操作。许多用户会根据来电号码选择信任来电者。部分用户会察觉出攻击并以各种方式做出响应,例如咨询安全顾问或在通话后联系信息安全团队。
USB令牌注入。用户可能会无意中尝试将USB设备连接到环境中。在此评估类型中,测试人员会将部署看似普通的USB驱动器,并诱使用户将该设备插入公司系统。这些USB设备可以是包含建立远程连接的恶意文件的典型驱动器,也可以是在连接时执行某些键盘操作。
收集短信钓鱼。这种评估类型类似于网络钓鱼,但利用的媒介变为SMS或短消息服务向用户发送欺诈性的消息。与网络钓鱼一样,这些活动将尝试让用户访问冒充组织的站点或尝试传递恶意木马病毒。
03
Web应用渗透测试
基于Web的应用程序对于几乎每家组织的运营都至关重要。Web应用程序渗透测试侧重于通过Web应用程序呈现给攻击者的攻击面。这些测试类型旨在评估Web应用程序的安全性,并寻找攻击性方法来访问敏感数据,或获得对Web应用程序的控制权限。在此评估期间,组织通常会向测试人员提供凭据访问权限,以审查整个应用程序。
Web应用程序测试的对象包括Web应用程序、浏览器、ActiveX、插件、Silverlight、小脚本和小应用程序,测试中所用的语言包括Java、PHP、和.NET等。应用编程接口(API)与XML、MySQL、Oracle及其连接和系统一样也是测试的一部分。如果Web应用程序是移动的,它们还需要在其环境中进行测试。由于端点在运行时和Web应用程序在线时具有交互性,针对Web应用的渗透测试会很复杂,渗透测试人员必须兼顾所有方面。
04
无线网络渗透测试
现代企业会高度依赖无线网络来连接端点和物联网设备等,无线网络已成为网络犯罪分子的热门目标,但其应用安全性却常被企业所忽视。覆盖无线安全的渗透测试必须面面俱到,无线网络测试人员需要寻找无线加密中已知的缺陷,试图破解密钥,诱使用户向“双面恶魔”(evil twin)接入点或被攻击者控制的文件夹提供凭据,并暴力破解登录详细信息。恶意接入点扫描可以通过物理位置和经过身份验证的无线分段测试完成这些评估类型,以确定攻击者在成功连接到环境后可以访问的内容。
随着企业开始走上数字化转型和现代化之路,物联网、传感器、摄像头、移动设备及和其他端点面临的威胁也在加大。黑客会试图通过这些新的入口点访问关键资产,数字攻击面扩大无疑对他们有利。因此,渗透测试人员需要全面验证无线加密协议、检查信标、确认流量以及搜索接入点、热点和MAC地址欺骗。
05
物理安全渗透测试
并非公司面临的所有威胁都是由外部网络应用所引起,特别是在边缘计算兴起后,很多企业会在接近业务运营的地方建立数据分中心,面向这些中心的物理环境安全测试已变得更加重要。
在物理环境安全测试中,测试人员将会模拟验证大门的安全系统、门禁卡、门锁、摄像头和传感器,并尝试冒充工作人员。他们还会验证当攻击者可以物理访问计算设备、数据中心网络和边缘计算网络时,企业数字化应用系统的安全系数会如何变化。这类测试通常会在安全团队大多数成员完全不知情的情况下执行。
06
云计算渗透测试
私有云和公共云的广泛应用为现代企业组织带来了诸多好处,但也给网络犯罪分子带来了机会。许多组织在云端都存放了大量关键业务数据资产,如果这些资产遭到破坏,会导致业务运营的瘫痪。
虽然云供应商会为企业提供功能强大的配套安全服务,但云渗透测试对企业组织已必不可少。云端渗透测试需要提前通知云提供商,因为系统的某些区域可能禁止白帽黑客访问。
云端的渗透测试必须遵守云服务商给出的统一渗透测试演练规则。而在开始进行测试前,组织也需要详细填写云计算安全渗透测试申请表。云渗透测试的内容主要包括检查云环境的安全性、应用程序及API、访问、存储、加密、虚拟机、操作系统及更新、安全外壳(SSH)、远程桌面协议(RDP)远程管理以及错误配置和密码。
07
红蓝对抗测试
受军事演习活动的启发,在网络安全领域也开始流行基于实战背景的攻防对抗测试演练活动,会组织专业的测试红队充当攻击者,而蓝队主要由企业现有的安全团队组成。这种整体式对抗性测试方法能够确保渗透测试的真实性和有效性,不仅可以评估安全缺陷、漏洞和威胁,还可以评估安全团队的反应能力。
通过聘请行业专家充当蓝队,企业组织不仅可以发现目前的安全防护薄弱环节,还可以趁此机会提升员工的专业安全技能。安全团队可以学习如何更快速地了解和响应攻击。红蓝对抗测试有多种形式。有时蓝队被告知模拟或渗透测试的时间,有时则完全不知情。红队渗透测试人员可以深入了解内部安全团队在如何响应,并提供优化的建议。