滲透測試
幾乎每次滲透測試都揭示了重要的安全漏洞
敢說你不需要?
除非你沒有
web 應用
摘引至 2019 年 cncert 國家網際網路資訊保安響應中心報告
web 安全刻不容緩
在網路安全的背景下,並不意味著企業應該尋求破解威脅行為者的系統。相
反,它指的是組織需要將滲透測試或具有主動測試形式的自我安全攻擊納入其 網路安全計畫。滲透測試是包括由安全顧問執行的自動化+手動化的測試過 程,以識別和利用客戶端環境中的安全漏洞。但為什麼滲透測試如此重要?
簡短的回答是,滲透測試允許組織根據真實的攻擊場景評估其網路安全狀況, 這反過來使他們能夠解決如果他們採用完全防禦性的安全方法去面對被忽視的
問題。1:幾乎所有滲透測試都揭示了重要的安全漏洞
滲透測試非常有效。換句話說,測試者通常會成功地在客戶組織的網路防禦中找到漏
洞。事實上,positive technologies 最近的一項研究發現,在 2018
年,安全研究人員 冒充該組織之外的威脅行為者,客戶的內部網路在 92%的外部測試中被破壞。更為引人注 目的是內部測試結果,其重點是與本地網路連線的惡意內部人員可能造成的損害,因為測
試者能夠在 100%的情況下獲得對系統的完整的管理控制。
這些發現證明了兩件事。首先,滲透測試在暴露威脅參與者可能侵入和移動到您的網 絡以便訪問,操縱,破壞或破壞有價值的資料和系統的方式方面顯然是有效的。該研究還
指出,公司根本無法正確保護他們的系統。部分問題是許多組織沒有充分確定安全性的優 先級,因此沒有為其分配足夠的資源。然而,這裡的根本問題是,像許多公司一樣,單獨 關注防禦性安全是乙個根本上有缺陷的戰略。
2:滲透測試有助於防止補丁疲勞
除了上面討論的純粹防禦性安全計畫的基本問題之外,還存在妨礙組織優化其網路安 全的實際因素。乙個常見問題是組織越來越難以跟上新發現的軟體和硬體漏洞不斷發布的 大量安全補丁。補丁疲勞多年來一直是乙個問題,事情只會越來越嚴重,因為報告的漏洞 數量逐年增加,目前的記錄從 2018 年起超過 16,500 個安全漏洞,即每天 45 個(見下 圖 1))。即使這些補丁中只有 10%與您的系統相關,這意味著每週必須識別,測試大 約 32個補丁,通過定期滲透測試,公司可以識別其 it基礎架構中最易受攻擊的元素,因此他們可以 為這些系統確定安全補丁的優先順序。例如,上面引用的研究表明,在外部測試中,安全專 家通常可以通過利用 web應用程式中的漏洞來破壞網路外圍。每 4個發現的滲透向量中 有 3 個(即訪問本地網路的方式)源於安全性較差的 web 應用程式。在這些情況下,客 戶端可以通過安裝最新的安全更新,並在必要時改進安全配置來開始保護這些應用程式。
3:滲透測試揭示了超出漏洞評估範圍的問題
測試與漏洞評估是不一樣的。
組織了解其網路安全狀況中的薄弱環節的一種方法是讓安全專業人員進行漏洞評估, 這意味著技術人員將掃瞄其環境,以檢測影響其系統的已知缺陷。雖然漏洞評估對於希望 加強其安全性的公司非常有用,但滲透測試提供了許多額外的價值。前者只是告知公司在 **可以找到最明顯的安全漏洞,而後者也會暴露出低於表面的問題,並展示威脅行為者 可以通過利用某些缺陷造成的實際損害。
例如,上述關於滲透測試的研究發現,每兩個系統中就有乙個系統的安全性非常低, 以至於測試人員只能利用一種型別的漏洞來破壞網路邊界並訪問內部網路。換句話說,有
一半公司沒有遵循最佳做法通過確保需要多個步驟來打入有價值的系統,可以阻止或至少 減緩攻擊者的網路分段和其他解決方案。
這一發現強調了與漏洞評估相比,滲透測試的附加價值,因為漏洞掃瞄只能識別表面 漏洞,而不是影響(即,這使得測試人員如何立即訪問內部網路)。此外,滲透測試將揭 示攻擊者在獲得訪問許可權後可以在網路上實際執行的操作,例如他們將能夠檢視哪些敏感 資料。這是組織只能通過滲透測試獲得的非常有價值的資訊。
以下這些專案都是漏洞評估無法識別的結果,如果發生安全漏洞,這可能會對您的組織產生重大影響。使用滲透測試的結果,您的組織可以通過減少攻擊媒介的數量和敏感資 源和系統的可訪問路徑,來確定保護其最有價值資料的方法。
· 工作站和伺服器之間的共享本地管理員憑據
· 中間人攻擊,在傳輸過程中暴露敏感資料
· 基於密碼的攻擊導致的弱活動目錄域使用者帳戶憑據
· 在裝置(例如印表機)上披露員工使用者名稱和/或電子郵件位址
· 配置錯誤的一體式印表機包含特權域帳戶憑據
· web 服務中的密碼較弱,包括印表機,伺服器,遠端管理控制台等。
· 欺騙攻擊,欺騙終端使用者系統進行身份驗證,洩露敏感憑據
· 與檔案共享和服務關聯的配置錯誤,暴露敏感資料
我們為什麼要做滲透測試
企業在保護關鍵基礎設施的安全計畫中投入了數百萬美元,來找出防護盔甲的縫隙,防止敏感資料外洩。滲透測試是指能夠識別出這些安全計畫中的系統弱點與不足之處的一種最為有效的技術方式。通過嘗試挫敗安全控制實施並繞開安全防禦機制,滲透測試師能夠找出攻擊者可能攻陷企業安全計畫 並對企業帶來嚴重破壞後果的方法。是一...
為什麼要做介面測試
現在介面測試很多團隊和企業都在要求,其實介面測試一直都存在,為何現在會突然開始要求更高呢?自動化測試分層概念的提出 到目前為止 ui 自動化都很難達到預期的效果,而單元測試成本和難度依舊太高 移動應用興起,出現多種前端的情況,ui 測試成本變高 微服務架構的流行,模組與模組的互動變成了服務與服務之間...
為什麼要做介面測試
怎麼做介面測試由於我們的前後端介面主要是http協議的介面,因此我們需要通過 或工具,來模擬http請求的傳送和接收,可以用postman jemter python requests 什麼是介面測試介面測試是測試系統元件間介面的一種測試。介面測試主要用於檢測外部系統與系統之間以及內部各個子系統之間...