渗透测试已经成为安全系统评估、运行和改进的基本常规工作,是现代组织加强网络安全态势、防止数据泄露的有效手段.但是,渗透测试根据不同的应用场景,有着不同的工作内容。只有了解了它们之间的区别,才能更好地界定渗透测试项目的实施范围,并使用与之相匹配的安全专家或服务,最终实现安全目标。1.网络渗透测试旨在识别网络基础设施中的薄弱环节。无论是在本地还是在云环境中,网络渗透测试都是保障业务系统安全最常见、最关键的测试之一。具体包括不安全的配置、漏洞发现和缺失补丁等,可以分为内部和外部两个不同的角度。外部渗透测试主要通过Internet访问发现可能被攻击者利用的漏洞,进而访问目标组织的关键业务系统或数据。这种类型的测试是从“局外人”的角度进行的。内部渗透测试是基于企业内部环境,假设进入了组织内部网络,从“内部人员”的角度寻找和窃取内部网络的敏感信息。一般来说,外部弱点被认为比内部弱点构成更严重的威胁。首先,攻击者必须克服外部障碍才能访问内部网络。如果您以前没有做过任何类型的渗透测试,外部或“边界”测试通常是最好的开始方式。边界是攻击者最容易到达的地方,任何可以通过Internet访问的地方都是最直接的威胁。2.Web渗透测试这类测试的目的是发现网站和Web应用程序之间的漏洞,例如电子商务平台、内容管理系统、客户关系管理系统等。Web渗透测试涉及对整个Web应用的安全评估,包括底层逻辑和一些自定义功能。Web渗透测试中的常见漏洞包括数据库注入、跨站点脚本和身份验证。如果您想了解更多关于Web应用程序漏洞及其相关信息,请参阅OWASP的Top10WebApplicationSecurityProjects。3.自动化渗透测试手动渗透测试最大的问题是成本。渗透团队的级别越高,费用越高。国内行业顶尖团队的客单价可达数百万元。因此,自动化渗透测试近年来开始受到广泛关注。当然,完全自动化的渗透测试是不现实的(而且可能永远不会,即使在人工智能时代)。鉴于受保护系统的重要性,需要根据必要性和可行性来平衡成本和收益。业界一个最佳实践是每日漏洞扫描+渗透测试服务,时间跨度大。4.社会工程学社会工程学的渗透媒介是人。主要有两种形式,一种是远程的,比如钓鱼或者打电话,篡改音视频等,骗取内部人员的信任。另一种是物理接触(简称近源渗透),如冒充上班族或业务/技术合作伙伴直接接触对方的网络设施。社会工程渗透测试的成功通常取决于在“侦察”阶段收集的信息,这涉及使用公开可用的开源情报(OSINT)对目标个人或组织进行研究。在建立更精确的目标画像后,渗透测试人员可以根据这些精确信息创建定制化的渗透策略。5.红队红蓝对抗起源于军事演习,将信息技术、人文和社会互动与现实世界相结合,实施更全面、更真实的攻击场景。近年来,国内监管机构主导的大规模实战攻防活动取得了很好的效果。从安全意识到安全水平,再到整个安全行业的发展,都起到了巨大的推动作用。传统渗透测试的目标是在给定时间范围内尽可能多地发现漏洞,但真正的攻击者没有时间限制,攻击手段层出不穷,无所不用其极。红蓝对抗可以从整体上评估组织的环境,以了解各个部分如何协同工作。以攻击者的视角和批判性思维去发现新的漏洞(也就是所谓的未知攻击,如何防范)。
