似乎每天早上都会有关于最新网络安全攻击的新标题. 黑客继续以惊人的频率窃取数百万条记录和数十亿美元. 对付他们的关键是全年进行彻底的渗透测试.
渗透测试 的设计是为了在攻击者之前评估您的安全性. 渗透测试工具模拟真实世界的攻击场景,以发现和利用可能导致记录被盗的安全漏洞, 妥协的凭证, 知识产权, 个人身份信息(PII), 持卡人数据, 个人, 受保护的健康信息, 数据赎金, 或其他有害的商业结果. 通过利用安全漏洞, 渗透测试可以帮助您确定如何最好地减轻和保护您的重要业务数据免受未来的网络安全攻击.
对于任何典型的渗透测试,必须完成五个关键阶段:
在渗透测试团队采取任何行动之前, 必须对潜在目标完成适当的信息收集. 这段时间对于制定攻击计划至关重要,并且是整个交战的集结地.
在侦察阶段之后, 对目标执行一系列扫描,以破译他们的安全系统将如何应对多次入侵企图. 漏洞的发现, 开放端口, 网络基础设施中的其他薄弱环节可以决定渗透测试人员将如何继续进行计划中的攻击.
一旦收集到数据,渗透测试人员就会利用常见的web应用程序攻击,例如 SQL注入 和 跨站点脚本编制 利用任何现有的漏洞. 现在已经获得了访问权限, 测试人员试图模拟恶意攻击可能产生的潜在损害的范围.
这个阶段的主要目标是在目标环境中实现一种持续存在的状态. 随着时间的推移, 在整个被利用的系统中收集了更多的数据,这使得测试人员可以模拟高级的持续威胁.
最后, 一旦交战结束, 必须消除攻击的任何痕迹,以确保匿名. 日志事件, 脚本, 而其他可以被目标发现的可执行文件应该是完全不可追踪的. 将与目标共享一份全面的报告,其中包含对整个参与过程的深入分析,以突出关键漏洞, 差距, 泄露的潜在影响, 以及其他各种必要的安全程序组件.
渗透测试可以在内部由您自己的专家使用 渗透测试工具,或者你也可以外包给 渗透测试服务提供商. 渗透测试首先由安全专业人员列举目标网络,以查找易受攻击的系统和/或帐户. 这意味着扫描网络上的每个系统,寻找正在运行服务的开放端口. 在整个网络中正确配置每个服务的情况极为罕见, 正确密码保护, 完全修补好了. 一旦渗透测试人员对网络和存在的漏洞有了很好的理解, 他/她将使用渗透测试工具来利用漏洞以获得不受欢迎的访问.
然而,安全专业人员并不仅仅针对系统. 经常, 渗透测试人员通过网络钓鱼邮件攻击网络上的用户, pre-text打电话, 或者现场社会工程.
您的用户也会带来额外的风险因素. 通过人为错误或泄露凭证攻击网络并不是什么新鲜事. 如果说持续不断的网络安全攻击和数据泄露教会了我们什么, 黑客进入网络并窃取数据或资金的最简单方法仍然是通过网络用户.
凭证泄露是年复一年报告的数据泄露的首要攻击媒介, Verizon数据泄露报告证实了这一趋势. 渗透测试的部分工作是解决上述由用户错误引起的安全威胁. 渗透测试人员将尝试对发现的帐户进行强力密码猜测,以获得对系统和应用程序的访问权. 而破坏一台机器可能会导致入侵, 在现实场景中,攻击者通常会使用横向移动来最终降落在关键资产上.
测试网络用户安全性的另一种常用方法是模拟网络钓鱼攻击. 钓鱼式攻击 使用个性化的沟通方法来说服目标做一些不符合他们最佳利益的事情. 例如, 网络钓鱼攻击可能会让用户相信是时候“强制重置密码”了,并点击嵌入的电子邮件链接. 无论是点击恶意链接删除恶意软件,还是简单地为攻击者提供了窃取凭据以备将来使用的机会, 网络钓鱼攻击是利用网络用户的最简单方法之一. 如果你想测试你的用户对网络钓鱼攻击的意识, 确保您使用的渗透测试工具具有这些功能.
渗透测试是一个至关重要的组成部分 网络安全. 通过这些测试,企业可以确定:
通过渗透测试, 安全专家可以有效地发现和测试多层网络架构的安全性, 自定义应用程序, web服务, 及其他资讯科技组件. 这些渗透测试工具和服务帮助您快速了解风险最高的领域,以便您可以有效地规划安全预算和项目. 全面测试企业的IT基础设施对于采取预防措施保护重要数据免受网络黑客攻击至关重要, 同时在发生攻击时提高IT部门的响应时间.