從攻擊者的角度思考可以更快速了解企業(yè)在網(wǎng)絡(luò)防御方面的不足��。網(wǎng)絡(luò)安全滲透測試工作的本質(zhì)就是扮演攻擊性黑客的角色�,梳理企業(yè)的IT資產(chǎn)�、尋找漏洞和攻擊路徑����,以便更好地修復(fù)或應(yīng)對風險。定期開展?jié)B透測試對企業(yè)來說很寶貴��,然而很多企業(yè)在準備制定滲透測試計劃時����,他們對滲透測試服務(wù)的理解和需求�����,往往與真實服務(wù)情況存在著很多偏差�。本文梳理總結(jié)了企業(yè)在開展?jié)B透測試工作時普遍存在的認知誤區(qū)��,并就如何避免這些錯誤給出了建議���。
(資料圖片)
誤區(qū)1滲透測試總是主動發(fā)起的
開展?jié)B透測試的主要目的是搶在攻擊者之前發(fā)現(xiàn)系統(tǒng)的安全隱患和漏洞,因此滲透測試屬于一種主動式的安全技術(shù)�����。但就具體的滲透測試工作而言�����,有時也會是被動發(fā)起的��,例如當組織在調(diào)查網(wǎng)絡(luò)攻擊的原因時����。在網(wǎng)絡(luò)安全事件調(diào)查中����,組織可以通過滲透測試以深入了解攻擊的性質(zhì)�����,并全面掌握該事件是如何發(fā)生的����,采用的技術(shù)的是什么�����,以及攻擊的動機是什么?因此�,盡管大多數(shù)情況下,組織會主動執(zhí)行測試以幫助防止違規(guī)行為��。但滲透測試工作并不都是主動發(fā)起的��,取證分析期間的滲透測試同樣可以幫助企業(yè)了解發(fā)生了什么�,從而幫助組織防止類似的事件再次發(fā)生。
誤區(qū)2滲透測試就是漏洞掃描
由于滲透測試和漏洞掃描都是為了識別潛在的威脅途徑��,因此很多人會將兩者混為一談��。但實際上�,漏洞掃描與管理主要包括識別和分類已知漏洞,生成需要注意的優(yōu)先漏洞列表���,并推薦修復(fù)它們的方法����。而安全威脅非常多樣�����,并不僅限于安全漏洞的利用����。滲透測試側(cè)重于模擬攻擊者的行為����,在服務(wù)完成后�����,測試人員需要生成一份詳細報告���,說明測試過程中是如何破壞安全性以達到先前商定的目標(例如破壞工資系統(tǒng))�����,并提供相應(yīng)的威脅緩解方案���。
誤區(qū)3滲透測試可以完全自動化
滲透測試自動化在理論上看起來不錯�����,但在具體實現(xiàn)中會存在很多問題。為了實現(xiàn)常態(tài)化����、持續(xù)性的安全能力測試,許多企業(yè)開始大量使用自動化技術(shù)驅(qū)動的安全測試方法���,但需要指出的是:目前的自動化測試模式大多屬于安全掃描�����,而非真正的滲透攻擊測試����。不可否認自動化測試的應(yīng)用價值��,但真正的攻擊行為是和機器模擬入侵有很大差異的�。經(jīng)驗、創(chuàng)造力和好奇心是滲透測試的核心�����,而這都是專業(yè)滲透人員獨有的。人工測試是大多數(shù)的滲透測試項目不可或缺的��,這樣才能更好地從攻擊者視角發(fā)現(xiàn)問題���。
誤區(qū)4滲透測試意味著高成本
企業(yè)開展?jié)B透測試工作需要一定的人力、技術(shù)和資金資源投入��。雖然這些資源可能不容易獲取�,但它們在預(yù)防威脅方面具有的價值卻值得組織投入心血��。因為與網(wǎng)絡(luò)攻擊造成的經(jīng)濟損失相比����,投入到滲透測試的成本可以說是微不足道的�。隨著數(shù)字化轉(zhuǎn)型的深入����,各種數(shù)據(jù)資產(chǎn)對企業(yè)而言是無價的,一旦數(shù)據(jù)被非法泄露�,組織的商譽會受到嚴重損害��。而如果攻擊者的目標是為了勒索錢財,他們索要的贖金數(shù)額通常也會遠高于滲透測試的成本預(yù)算��。
誤區(qū)5.滲透測試應(yīng)該由外部人員執(zhí)行
關(guān)于滲透測試有一個長期存在的誤區(qū)是����,外部人員執(zhí)行滲透測試會比內(nèi)部人員更有效�,其原因是外部人員對企業(yè)的數(shù)字化系統(tǒng)并不熟悉,因此會更加客觀�����。雖然客觀性是滲透測試有效性的關(guān)鍵��,但了解業(yè)務(wù)系統(tǒng)并不就意味著不客觀��。
因此,滲透測試可由企業(yè)內(nèi)部員工�、專業(yè)服務(wù)商或其他第三方機構(gòu)完成。滲透測試由標準程序和性能度量組成�����,只要測試者能夠嚴格遵循測試指導(dǎo)原則,測試結(jié)果就是有效的�����。對于企業(yè)而言��,選擇的重點不應(yīng)該放在聘請外部或內(nèi)部測試者上��,而是應(yīng)該放在尋找能夠出色完成工作的測試者上。
誤區(qū)6滲透測試是階段性的工作
很多企業(yè)認為�����,滲透測試只需要階段性開展就可以����,因為一次測試的報告結(jié)果將會長期有效。在網(wǎng)絡(luò)空間千變?nèi)f化的發(fā)展態(tài)勢下�����,這種認知將給企業(yè)帶來一定的安全風險�����。由于網(wǎng)絡(luò)犯罪分子會不停地尋找系統(tǒng)中的漏洞�,如果滲透測試間隔時間長,他們就有機會領(lǐng)先于企業(yè)發(fā)現(xiàn)可利用的新漏洞���。傳統(tǒng)的滲透測試是按照固定的時間表進行的,屬于定期評估的概念��。持續(xù)滲透測試則是一個不斷掃描系統(tǒng)以發(fā)現(xiàn)漏洞的過程�����,會變得越來越重要�。
誤區(qū)7滲透測試僅用于發(fā)現(xiàn)技術(shù)缺陷
滲透測試的目的是發(fā)現(xiàn)組織安全防護體系中的不足�。在測試中�,測試方可以應(yīng)用包括社會工程方式在內(nèi)的多種方法。因此�����,在滲透測試之前��,通常會確定是否需要專門評估某項技術(shù)的安全性��。在實際應(yīng)用中�,測試工程師可能會被授權(quán)做更多事情�,例如掃描社交媒體以獲取可利用的信息�����,或嘗試通過電子郵件從用戶那里獲取敏感數(shù)據(jù)�,甚至嘗試欺騙獲取用戶的賬號權(quán)限等����。
誤區(qū)8所有滲透測試都大同小異
從本質(zhì)上講����,滲透測試是一個主要依靠安全專家或團隊以人工方式模仿攻擊者的真實攻擊行為���,其目的是在數(shù)字化基礎(chǔ)設(shè)施的不同層級找到進入可以攻破目標網(wǎng)絡(luò)的最有效方法�。根據(jù)測試方法和目標的不同�,滲透測試通常分為外部測試�����、內(nèi)部測試、盲測�、針對性測試等�����。
很多企業(yè)為了節(jié)省成本��,往往會選擇收費更便宜的測試提供商和測試方式�����,并認為各種類型測試的結(jié)果會很相似���,但事實并非如此�。與大多數(shù)服務(wù)一樣,滲透測試的程度差異很大�,既有覆蓋網(wǎng)絡(luò)所有區(qū)域的廣泛測試���,也有針對網(wǎng)絡(luò)中少數(shù)區(qū)域的非廣泛測試���。企業(yè)應(yīng)該根據(jù)實際需求,專注于尋找從測試中獲得的價值����,而不是成本。
誤區(qū)9良好的測試結(jié)果意味著沒有問題
從測試中獲得一個好的結(jié)果只是一個良好的開始��,但組織不應(yīng)該沾沾自喜�����,這也不代表企業(yè)的網(wǎng)絡(luò)安全防護工作高枕無憂。只要組織的數(shù)字化系統(tǒng)還在運行����,它就時刻會面臨各種不斷出現(xiàn)的新威脅�����。良好的測試結(jié)果只是肯定了過去建設(shè)的成績���,并激勵組織繼續(xù)重視在安全方面的投入����。企業(yè)應(yīng)該持續(xù)性進行滲透測試����,以消除新出現(xiàn)的威脅,并確保系統(tǒng)沒有威脅���。
誤區(qū)10.滲透測試只適用于企業(yè)用戶
有一種觀念認為滲透測試是面向企業(yè)用戶的���,而不適用于個人用戶,這是一種廣泛的誤解�����。滲透測試的目的是保護數(shù)據(jù)�,而并非只有企業(yè)才擁有敏感數(shù)據(jù)����,現(xiàn)代社會的每個人都會有大量的隱私數(shù)據(jù),比如銀行信息��、信用卡詳細信息和醫(yī)療記錄等����。攻擊者同樣會利用個人信息化應(yīng)用的漏洞來訪問并濫用數(shù)據(jù)。因此��,我們每個人都應(yīng)該提高數(shù)據(jù)安全和隱私保護的防范意識���,在有條件的情況下,通過滲透測試來檢驗各種數(shù)據(jù)的安全性和可靠性��。
參考鏈接:https://www.makeuseof.com/common-myths-about-penetration-testing-debunked/
