风险评估是网络安全总体方法的一部分,并且是许多IT(互联网技术)标准的要求。渗透测试是评估网络安全风险的最常见(并且经常需要)的方法之一。渗透测试在风险评估中起着重要作用:综合测试可帮助您识别、评估风险并确定风险的优先级。在本文中,我们讨论了用于风险评估的三种常见安全测试类型,并分析了它们的优缺点。我们还将调查渗透测试的类型和阶段,并分享最佳实践,使网络安全风险评估更加有效。网络安全风险评估风险评估是一个过程,包括:识别可能对组织造成任何伤害的漏洞、威胁和风险评估风险发生的可能性根据风险的严重性和发生的可能性确定缓解的优先级在风险管理中,在评估在应对和监控这些风险之前将风险背景化。NIST特别出版物800-39定义的风险管理评估风险和威胁是提高网络安全的最重要步骤之一。这是一个持续的过程,可帮助您评估安全控制、检测问题并评估其影响。进行评估有几个主要原因:防止黑客攻击、数据泄露和数据丢失。定期审查网络安全控制可让您在黑客利用漏洞之前检测并关闭漏洞。检查网络安全。独立的风险评估提供了对网络安全控制的审查。它可以帮助您更新有关受保护环境的知识,尤其是在部署新软件、安装新硬件或移动到新位置等重大变化之后。提高决策能力。确定风险的影响是风险评估的重要组成部分。此信息有助于做出与网络安全相关的进一步决策,例如预算编制、计划改进、优先修复等。减少网络安全支出。评估是一个耗时且成本高昂的过程。但从长远来看,它可以防止数据泄露、黑客攻击和合规性违规,从而避免您遭受更严重的损失。确保合规。风险管理是许多法律、法规和标准的一部分,包括NIST特别出版物、HIPAA、PCIDSS和GDPR。不遵守与您的业务有关的法规可能会导致巨额罚款。有效风险评估的三个阶段风险评估的程序和工具对于每个组织和项目都是独一无二的。然而,无论如何,必须实施三个阶段。风险评估的三个基本阶段第一步是确定您需要保护的内容。这是一个可以由安全团队执行的管理程序。此活动的结果是需要保护的所有数据和资源的列表。通常,此列表包括:客户/客户和员工的个人身份信息财务数据贸易和工业机密关键基础设施其他...风险评估的第二阶段是检测漏洞。在网络安全中,这可以通过漏洞扫描来实现,漏洞扫描是一种自动化过程,可以根据已知的软件和硬件缺陷识别安全系统中的问题。通过此分析,您将获得环境中的漏洞列表。风险评估的第三个也是最后一个阶段是定义威胁和评估风险。在这个阶段,你需要:分析发现的漏洞,识别可能存在的漏洞估计风险发生的可能性评估风险发生后对业务的潜在后果风险评估的结果是根据严重程度和影响进行优先排序的风险在企业名单上。此列表是风险缓解活动、安全修复程序优先级排序和新安全控制实施的基础。但在编制这份清单之前,我们需要选择一种评估风险的方法。进行第3阶段风险评估的三种流行方法。在下一节中,我们将分析功能、工作流程以及选择每种方法的原因。更常见的风险评估方法有许多安全实践和方法可用于风险评估。三种最流行的方法是:渗透测试红队测试基于风险的测试让我们来看看这些测试方法的优缺点,以及它们之间的区别。风险评估的安全测试方法渗透测试使用各种手动技术和自动化工具来模拟对组织的网络安全系统和应用程序的攻击。在此过程中,测试人员识别可能的漏洞利用并估计它们可能造成的潜在损害。渗透测试还可能包括漏洞扫描。渗透测试的主要目标是识别和评估组织面临的所有网络安全威胁和风险。红队测试与渗透测试有很多共同点。这种方法还模拟了对受保护环境的攻击,但以更有针对性、可控性和直观的方式进行。测试团队不是利用每个漏洞,而是选择他们想要获取的数据类型、要利用的安全问题以及如何模拟高级威胁攻击者的行为。红队只能由第三方测试团队完成,因为重点是从外部捕获安全控制。红队测试最流行的用例之一是评估渗透测试后的安全改进。但是用这种测试来检查整个受保护环境是不合理的。基于风险的测试是一种安全测试方法,它根据发现的威胁和风险对活动进行优先级排序。通过这种方法,测试人员和安全专家可以就潜在风险达成一致,并根据其影响对其进行排序。当项目有严格的时间限制或当您需要紧急风险评估和安全改进时,基于风险的测试是最好的。让我们从风险评估的角度比较这些测试方法的有效性。在这三种方法中,用于网络风险评估的渗透测试在时间消耗、成本、风险覆盖范围和结果方面最为平衡。此外,定期渗透测试是NIST、HIPAA、PCIDSS、GDPR和其他法规的要求。在进行渗透测试之前,了解渗透测试的类型和该过程的基本工作流程非常重要。渗透测试不仅仅是模拟黑客攻击。根据您的要求、期望的结果和目标,您需要选择合适的渗透测试类型,然后考虑将使用的方法和可能遇到的问题。渗透测试分为三种类型:白盒测试——测试团队对目标环境有完整的了解,包括软件架构和源代码的知识。它们不需要额外的研究或漏洞扫描,从而节省了更多测试活动的时间。而且,他们只需要证明利用的可能性,而不是如何利用它。白盒测试可以由内部安全专家或第三方供应商执行。当您想要测试针对内部攻击的安全控制时,这种类型的测试很有用。白盒测试方法包括DoS攻击、内存取证、物理入侵、逆向工程、模糊测试等。黑盒测试——测试团队对环境知之甚少。因此,他们必须使用任何可公开访问的信息进行渗透。换句话说,这种类型的渗透测试模拟了外部黑客攻击。黑盒测试需要花费大量时间,但可以提供最客观的安全漏洞和风险评估。你需要一个外部组织来做这种渗透测试。而且,您的IT专家一定不知道他们正在接受测试。黑盒测试人员使用与白盒测试人员相同的方法,但增加了物理攻击。他们还利用漏洞扫描、社会工程、暴力破解和特权升级,并创建或使用现有的恶意软件来渗透受保护的环境。灰盒测试——它是白盒测试和黑盒测试的结合,测试团队在渗透环境中获取有限的数据。例如,您可以向测试人员提供他们使用的应用程序的文档,但没有访问凭证或源代码。与黑盒测试相比,此类测试花费的时间相对较少;与白盒测试相比,仅提供部分代码覆盖率。灰盒测试也必须由第三方进行。进行此类安全评估的测试人员结合使用白盒和黑盒测试。三种渗透测试这些测试类型中的每一种都有自己的工作流程。然而,与风险评估程序类似,任何持久性测试都分为三个阶段。首先,攻击前有一个准备阶段:映射网络和边界、扫描端口、研究漏洞和已知漏洞、选择工具等。在白盒测试中,这个阶段还包括收集目标组织及其员工的信息。准备是渗透测试最耗时的阶段,但也是最重要的。在攻击阶段,测试人员试图破坏目标网络:破坏受保护的外围设备、获得或提升权限、访问数据和擦除痕迹。最后,攻击后阶段包括评估潜在损害和报告渗透测试过程的结果。此类报告总结了风险评估过程,通常包括:发现的漏洞(如果扫描它们属于渗透测试的范围)测试期间使用的方法和工具的描述漏洞列表(使用的和可能的)风险识别的风险可能对业务造成的影响评估使用此报告,您可以进入下一阶段的风险管理:风险缓解和控制。例如,使用渗透测试结果,您可以:评估安全控制的当前状态观察安全团队对黑客攻击的反应证明增加网络安全预算的合理性定义安全改进并确定优先级创建补丁并采取长期缓解措施正如我们已经看到,渗透测试是评估网络安全控制和风险的好方法。但是,重要的是要牢记渗透测试的风险。让我们在下一节中了解它们。本文翻译自:https://www.apriorit.com/dev-blog/676-cybersecurity-risk-assessment-with-pentesting继续下一篇文章《渗透测试评估风险的简要指南Part 2》
