【.com速译】听说过spearfishing吗?为此,类似电子邮件的欺骗攻击。根据一项新的研究,全球每年发生的针对各种公司的黑客攻击事件中,有95%都与鱼叉式网络钓鱼有关。上图为2020年第一季度全球钓鱼攻击最多的国家排名信息,其中委内瑞拉高居榜首,因为20.53%的网民受到钓鱼攻击。本表数据来自美国国家统计局(https://www.statista.com/statistics/266362/phishing-attacks-country/)。当然,近年来随着鱼叉式钓鱼等各类攻击的兴起,企业也开始更加关注手头应用和软件产品的安全态势。他们在开发安全可靠的软件应用程序的同时,希望避免因一些看不见和摸得着的错误而导致最终产品出现重大安全漏洞。因此,为了及时发现应用中的漏洞,减少易受攻击面,我们需要通过模拟黑客及其行为,进行频繁、深入的渗透测试,发现目标IT环境中潜在的安全漏洞,并进行整改。渗透测试的目标一般来说,渗透测试(或Pen测试)是发现风险和漏洞,通过深度检测和挖掘,目标在任何合法的攻击形式下可能受到的损害程度。通常,渗透测试涉及识别和发现服务器、网络、防火墙、主机和其他硬件以及各种软件的众所周知的漏洞,并评估其实际威胁的程度。除了识别目标之外,渗透测试方法还可以用于评估系统中可疑的后门机制,提高应对不同类型的意外或恶意攻击的能力。因此,企业可以通过以下方式从渗透测试中获益:通过检测各种漏洞可能造成的影响并汇总生成报告。审查最新控制的配置和实施,以确保其有效性。调动人员、硬件和软件资源,并制定控制措施以加强应用程序、基础设施和流程中的弱点。对用户输入执行全面的模糊测试,以衡量应用程序输入验证控件的有效性,并确保只接受“经过净化”的过滤输入值。可以发现不同团队的入侵响应不足,进而通过完善内部事件响应流程,提高安全事件的响应效率。渗透测试的频率渗透测试的频率取决于许多因素,包括:行业类型、网络技术和法规遵从性。通常,如果发生以下任何情况,我们应该安排立即执行渗透测试:网络或基础设施发生重大变化刚刚应用安全补丁新的应用程序或基础设施网络上制定了新的行业法律法规。媒体披露了新的威胁或漏洞。如何进行渗透测试?我们可以通过以下三种方式进行系统的渗透测试:自动渗透测试手动渗透测试自动+手动渗透测试渗透测试渗透测试的不同阶段可以分为不同的阶段,就像网络攻击已经建立的步骤一样。其中,每个阶段都有一个特定的目标,为下一阶段的攻击做准备:1.关键信息的收集在这个研究阶段,软件测试(QA)人员可以从外部了解目标公司及其员工。在黑客的情况下,在线工具或其他类似的网络资源用于扫描和测试目标网站。2.枚举和识别在这个阶段,软件测试人员深入目标网络,尽可能多地搜索可能受影响的服务、开放端口和应用程序。根据约定的渗透测试类型和范围,测试人员将收集和识别有关目标企业的关键信息,从而发现环境中的入口点和漏洞。3.漏洞扫描经过前期调研和准备,本阶段性能测试团队将采用人工和自动相结合的方式对目标网络进行风险和漏洞扫描。测试人员主要针对以下常见的方面和部分进行规划和测试:业务关键资产技术数据客户数据员工数据内部威胁和漏洞的具体分类外部威胁——网络协议、端口、网络流量、Web应用等内部威胁——漏洞供应商、员工、管理人员等QA工程师经常使用扫描器来检测漏洞并记录它们造成的安全威胁。之后,QA测试人员将验证发现的漏洞确实具有潜在可利用性。完整的漏洞列表将在渗透测试报告阶段结束时提交。4.确定最佳攻击方法。所有的前期准备都准备好了。在此阶段,QA专家将决定分析攻击面的最佳方法。通过评估风险和漏洞被利用的可能性,他们最终会协调整个渗透测试团队,制定出一套完整的攻击方案。5、渗透利用上一阶段制定的行动计划将针对本阶段发现的漏洞实施,进行获取敏感信息、发起DoS攻击、破坏目标系统网络资源等攻击操作。具体来说,我们在这个测试阶段可以采用以下受控的常见攻击策略:物理攻击网络攻击Web应用攻击Wi-Fi攻击社会工程学零日漏洞利用基于内存的攻击道德黑客也会根据被利用的情况进行记录和重新评估威胁或漏洞,深入研究哪些攻击可能成为重要业务单元的最大隐患和风险点。最后,在利用阶段,这些有道德的黑客应该并且应该清楚地分析如果这些重要单元被利用会产生什么后果。6.风险分析和建议上述五个阶段的主要目标是学习和记录可能被攻击的系统组件。为了保护其相应的有形、无形、实物和信息资产价值,QA测试人员应该进行深入的风险分析。在此基础上,他们尝试制定可行的建议,包括减少和修复目标环境中的安全漏洞和威胁。值得注意的是,一旦测试完成,QA专家应及时主动清理被测环境,重新建立和配置测试时获得的访问权限,并通过必要的手段防止日后的非授权访问。7.报告准备和目标报告的准备应该首先从整体性能测试过程开始,然后是风险和漏洞对分析。在报告中,我们需要对重要的风险和漏洞设置优先级,以便整改小组按照从高到低的顺序进行跟踪和解决。当然,报告中还需要体现以下几个方面:明确报告的要点,分门别类地展示测试结果每个阶段都应该列出渗透测试过程中收集的数据。漏洞提供完整的描述,充分阐述管理意图和修复建议,声明报告针对目标系统的现状,并提出持续的安全测试。渗透测试有很多优点,但渗透测试也有以下客观缺点。缺点及潜在影响:渗透测试可能导致系统陷入故障状态,甚至导致系统崩溃。测试时间有限,测试成本相对较高。被测数据容易出错、损坏,甚至“污染”。时间紧,任务紧,这可能会导致测试范围有限,而忽略了渗透测试开源(免费)工具的一些重要部分和领域:Wireshark-http://www.wireshark.org/Nessus-http://www.wireshark。org/OpenSSL-http://www.openssl.org/Nmap-http://nmap.org/Metasploit-http://www.metasploit.com/总结目前,云服务技术的发展为黑客和攻击者提供了凭借获取的各种工具和资源,可以轻易侵入各种系统和网络,给企业的商业信誉、资产和服务造成巨大损失。渗透测试不仅仅是一个基本的测试过程,它还可以看作是发现和检测各种安全漏洞和不同症状,进而降低系统潜在安全风险的一种预防方法。原标题:渗透测试阶段的完整指南,作者:NiranjanLimbachiya
