什么是網(wǎng)絡(luò)滲透測(cè)試?網(wǎng)絡(luò)滲透測(cè)試模擬威脅參與者可用于攻擊業(yè)務(wù)網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)站、網(wǎng)絡(luò)應(yīng)用程序和連接設(shè)備的過程。目標(biāo)是在威脅行為者發(fā)現(xiàn)并利用它們之前發(fā)現(xiàn)安全問題。
滲透測(cè)試可以幫助組織識(shí)別安全漏洞并確定哪些措施可以防止威脅行為者未經(jīng)授權(quán)訪問網(wǎng)絡(luò)并攻擊組織。滲透測(cè)試的結(jié)果可以深入了解組織現(xiàn)有安全防御的有效性及其對(duì)全面網(wǎng)絡(luò)攻擊的恢復(fù)能力。
常見的網(wǎng)絡(luò)安全威脅
以下是最常見的網(wǎng)絡(luò)安全威脅:
網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚是一種社會(huì)工程攻擊,它試圖通過模仿已知或信譽(yù)良好的實(shí)體(例如銀行機(jī)構(gòu)、個(gè)人聯(lián)系人或已知網(wǎng)站)來操縱目標(biāo)執(zhí)行特定操作。
攻擊者通過電子郵件或公司聊天等通信渠道發(fā)送消息,旨在提示目標(biāo)泄露敏感信息或財(cái)務(wù)信息、下載惡意軟件(malware)或點(diǎn)擊惡意鏈接。執(zhí)行這些操作會(huì)提示目標(biāo)輸入憑證或信用卡號(hào)等信息。
計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是一種軟件程序,可以感染計(jì)算機(jī)設(shè)備并繼續(xù)傳播到它接觸到的其他機(jī)器。用戶可以從各種位置下載計(jì)算機(jī)病毒,例如惡意網(wǎng)站或電子郵件附件。
攻擊者經(jīng)常向受害者發(fā)送計(jì)算機(jī)病毒,以感染他們的計(jì)算機(jī)和網(wǎng)絡(luò)上的其他機(jī)器。計(jì)算機(jī)病毒可以禁用安全設(shè)置、竊取和破壞數(shù)據(jù)、發(fā)送垃圾郵件以及刪除整個(gè)硬盤驅(qū)動(dòng)器。
惡意軟件/勒索軟件
攻擊者經(jīng)常使用惡意軟件(malware)進(jìn)行非法活動(dòng),例如竊取機(jī)密數(shù)據(jù)、在設(shè)備上秘密安裝破壞性程序以及鎖定系統(tǒng)。惡意軟件可以通過受感染的文件、彈出式廣告、電子郵件或虛假網(wǎng)站傳播特洛伊木馬、蠕蟲和間諜軟件。
勒索軟件是一種惡意軟件程序,可以通過各種方式鎖定設(shè)備,例如網(wǎng)絡(luò)釣魚電子郵件或惡意文件。設(shè)備鎖定后,程序會(huì)顯示一條提示,要求支付贖金才能解鎖設(shè)備。它可以防止受害者加密文件、運(yùn)行應(yīng)用程序或完全使用設(shè)備。
流氓安全軟件
這種惡意軟件試圖誘騙用戶相信他們的計(jì)算機(jī)感染了病毒,或者他們的安全措施不再是最新的。流氓安全軟件提供幫助受害者安裝或更新他們的安全設(shè)置,要求他們購買工具或下載程序來擺脫假冒病毒。實(shí)際上,受害者正在他們的設(shè)備上安裝惡意軟件。
拒絕服務(wù)(DoS)攻擊
DoS 攻擊試圖阻止真實(shí)用戶訪問網(wǎng)站的信息或服務(wù)。當(dāng)攻擊者使用連接到 Internet 的計(jì)算機(jī)通過虛假流量使網(wǎng)站過載時(shí),就會(huì)發(fā)生這種情況。分布式拒絕服務(wù) (DDoS) 攻擊的工作原理類似,但使用分布在世界各地的多臺(tái)不同計(jì)算機(jī)。它涉及使用受感染的計(jì)算機(jī)網(wǎng)絡(luò)(稱為僵尸網(wǎng)絡(luò))來提供虛假流量來淹沒網(wǎng)站。
內(nèi)部威脅
內(nèi)部違規(guī)源自組織內(nèi)部。它可能由于疏忽行為、人為錯(cuò)誤或承包商、雇員或前雇員采取的惡意行為而發(fā)生。組織可以通過采用安全意識(shí)文化將內(nèi)部威脅的潛在風(fēng)險(xiǎn)降至最低。它涉及實(shí)施網(wǎng)絡(luò)安全政策、員工安全意識(shí)培訓(xùn)和安全工具,以識(shí)別異常行為和網(wǎng)絡(luò)釣魚。
內(nèi)部與外部網(wǎng)絡(luò)滲透測(cè)試
以下是兩種網(wǎng)絡(luò)滲透測(cè)試之間的主要區(qū)別。
外部測(cè)試
網(wǎng)絡(luò)的外部威脅通常是最明顯的。大多數(shù)安全團(tuán)隊(duì)都同意,所有暴露在互聯(lián)網(wǎng)上的東西都必須進(jìn)行一些安全測(cè)試。外部滲透測(cè)試可以幫助識(shí)別受損的外部主機(jī),這些主機(jī)(如果無人看管)允許攻擊者進(jìn)一步滲透網(wǎng)絡(luò)。
必須保護(hù)可能成為攻擊目標(biāo)的外部設(shè)備——例如,黑客正在尋找存儲(chǔ)客戶端數(shù)據(jù)的面向 Internet 的 FTP 服務(wù)器。外部網(wǎng)絡(luò)滲透測(cè)試側(cè)重于網(wǎng)絡(luò)邊界,識(shí)別阻止遠(yuǎn)程攻擊的安全控制缺陷。該過程涉及滲透測(cè)試人員創(chuàng)建真實(shí)場(chǎng)景以識(shí)別所有潛在漏洞。
外部網(wǎng)絡(luò)滲透測(cè)試人員可以使用多種技術(shù),包括端口掃描、網(wǎng)絡(luò)嗅探、主機(jī)發(fā)現(xiàn)以及流量監(jiān)控和分析。滲透測(cè)試人員經(jīng)常嘗試使用 OSPF 和 RIP 等動(dòng)態(tài)路由更新來欺騙或欺騙服務(wù)器。他們可能會(huì)嘗試使用被盜帳戶憑據(jù)登錄系統(tǒng)或使用代碼來利用已知漏洞。更高級(jí)的外部滲透測(cè)試可能包括通過掃描身份驗(yàn)證數(shù)據(jù)庫、緩沖區(qū)溢出、更改運(yùn)行系統(tǒng)配置和添加新用戶帳戶來破解密碼。
內(nèi)部測(cè)試
內(nèi)部安全威脅通常比外部安全威脅更危險(xiǎn)、更難檢測(cè)。其中包括心懷不滿的員工、前員工和竊取商業(yè)機(jī)密的競(jìng)爭(zhēng)對(duì)手。許多內(nèi)部威脅的發(fā)生并沒有明顯的惡意——例如,安全配置問題和員工失誤。
大多數(shù)網(wǎng)絡(luò)攻擊都起源于網(wǎng)絡(luò)內(nèi)部,因此內(nèi)部網(wǎng)絡(luò)滲透測(cè)試側(cè)重于內(nèi)部環(huán)境,而不是面向公眾的設(shè)備。這些滲透測(cè)試試圖檢測(cè)和利用惡意內(nèi)部人員在獲得內(nèi)部網(wǎng)絡(luò)訪問權(quán)限后可能發(fā)現(xiàn)的問題。
基本的滲透測(cè)試技術(shù)是相同的(即試圖破壞系統(tǒng)),但測(cè)試的攻擊向量包括內(nèi)部子網(wǎng)、文件服務(wù)器、域服務(wù)器、打印機(jī)和交換機(jī)。滲透測(cè)試人員評(píng)估內(nèi)部網(wǎng)絡(luò),仔細(xì)檢查可能導(dǎo)致漏洞利用的路徑。
網(wǎng)絡(luò)滲透測(cè)試階段
滲透測(cè)試模仿網(wǎng)絡(luò)安全殺傷鏈。它通常涉及以下階段:
1.規(guī)劃偵察
在此階段,測(cè)試人員和公司官員討論滲透測(cè)試的目標(biāo)和范圍、目標(biāo)系統(tǒng)和測(cè)試方法。一些測(cè)試可以是開放式的,而其他測(cè)試可能會(huì)利用某些惡意策略、技術(shù)和程序 (TTP)。接下來,測(cè)試人員收集情報(bào)以更好地了解被測(cè)系統(tǒng)的架構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)和安全工具。
2.掃描
此階段涉及部署自動(dòng)化工具來分析測(cè)試系統(tǒng)。滲透測(cè)試人員經(jīng)常執(zhí)行靜態(tài)或動(dòng)態(tài)分析以檢查系統(tǒng)代碼是否存在安全漏洞或錯(cuò)誤。他們還可能會(huì)運(yùn)行漏洞掃描來定位可能易受攻擊的未修補(bǔ)或舊組件。
3. 獲得訪問權(quán)
先前階段收集的情報(bào)有助于滲透測(cè)試人員選擇一個(gè)薄弱點(diǎn)來破壞系統(tǒng)。它可能涉及各種技術(shù),例如發(fā)起暴力攻擊和密碼破解攻擊以繞過薄弱的身份驗(yàn)證過程。其他常見方法包括使用跨站點(diǎn)腳本 (XSS) 或 SQL 注入來執(zhí)行惡意代碼或?qū)阂廛浖魉偷桨踩秶鷥?nèi)的系統(tǒng)中。
4. 維護(hù)訪問
滲透測(cè)試人員通常表現(xiàn)得像高級(jí)持續(xù)威脅 (APT),試圖提升他們的特權(quán)并橫向移動(dòng)以訪問敏感資產(chǎn)。目標(biāo)是發(fā)現(xiàn)內(nèi)部系統(tǒng)中的漏洞,而不僅僅是那些部署在網(wǎng)絡(luò)邊緣或安全邊界上的漏洞。它有助于評(píng)估組織識(shí)別網(wǎng)絡(luò)中惡意活動(dòng)的能力。
5.分析
滲透測(cè)試以包含以下內(nèi)容的報(bào)告結(jié)束:
- 已發(fā)現(xiàn)的漏洞,包括測(cè)試人員未利用的漏洞。
- 測(cè)試人員用來破壞目標(biāo)系統(tǒng)的方法。
- 測(cè)試人員破壞的敏感數(shù)據(jù)或內(nèi)部系統(tǒng)。
- 組織如何應(yīng)對(duì)攻擊。
組織可以使用這些見解來修復(fù)漏洞、改進(jìn)安全流程和修改安全配置。
結(jié)論
總之,網(wǎng)絡(luò)滲透測(cè)試是評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)安全和識(shí)別潛在漏洞的重要工具。通過模擬網(wǎng)絡(luò)上的網(wǎng)絡(luò)攻擊,滲透測(cè)試人員可以幫助組織在被惡意攻擊者利用之前識(shí)別并修復(fù)防御中的弱點(diǎn)。滲透測(cè)試通常涉及幾個(gè)階段,包括計(jì)劃和偵察、掃描和枚舉、開發(fā)、開發(fā)后以及報(bào)告和補(bǔ)救。它是全面安全計(jì)劃的重要組成部分,應(yīng)由經(jīng)過培訓(xùn)的安全專業(yè)人員執(zhí)行。
