网络攻击的复杂性、杀伤力、成本和数量的增加说明了渗透测试/渗透测试的必要性,它使组织能够积极应对网络安全。然而,渗透测试的有效性取决于组织所采用的渗透测试方法。存在不同的渗透测试方法,每种方法都有一些优点、局限性和范围。?继续阅读以了解最流行的 5 种渗透测试方法。
最流行的渗透测试方法
1. OWASP 渗透测试方法论
OWASP(Open Web Application Security Project)的 Web 应用程序渗透测试方法是业界最受认可的标准。OWASP 是一个精通的社区,全面更新最新技术和威胁形势。它提供了一套详尽的指南来测试现代 API、Web 和移动应用程序。它不仅包括应用程序,还包括技术、人员和流程。
使用这种Web 应用渗透测试方法的显着优势之一是它可以无缝集成到软件开发生命周期 (SDLC) 中并在其中使用。它为 SDLC 每个阶段的测试提供了详细的指南——从需求定义、设计、开发到部署和维护。不仅仅是渗透测试人员,任何寻求开发设计安全软件的网络开发人员或 IT 公司都可以使用这种详细和更新的方法。
因此,OWASP 方法使渗透测试人员能够识别应用程序中的各种漏洞。不安全的开发实践导致的复杂逻辑缺陷、错误配置和编码缺陷,仅举几个漏洞。此外,该方法还提供了切实可行的建议来评估风险、确定问题的优先级并加强安全性。鉴于庞大的用户社区,不乏关于该方法的技术、文章、工具和指南。
2. OSSTMM
由安全和开放方法研究所 (ISECOM) 开发的开源安全测试方法或 OSSTMM 提供了一种科学的渗透测试方法。它还包括一个同行评审的框架,该框架提供了操作安全强度的准确描述。它的创建是为了支持网络开发团队。OSSTMM 被认为是一个通用标准。
OSSTMM 建议渗透测试人员将操作安全性分解为五个不同的渠道:
- 人类安全
- 人身安全
- 无线通讯
- 电信
- 数据网络
因此,它使渗透测试人员能够从不同角度查看安全操作及其许多组件,从而有效地识别安全漏洞。?这种渗透测试方法不提倡或规定要使用的任何特定协议或软件。它通过定义一套全面的指南、最佳实践、详细的测试计划、安全级别评估指标和最终报告建议,为?执行任何渗透测试提供了坚实的基础。
因此,渗透测试人员可以依赖这些指南并根据特定客户的上下文、需求、业务流程、行业细节、技术和挑战定制安全评估。这种方法通过使其科学、详细、可衡量和基于事实来提高渗透测试的有效性。它使组织能够通过综合建议加强其安全态势。?这种渗透测试方法的成功依赖于渗透测试人员的智力、知识和经验水平。
3. 美国国家标准与技术研究院
NIST(美国国家标准与技术研究院)在其渗透测试方法手册中提供了一套具体而精确的指导方针,以加强组织的整体网络安全态势。本安全手册的最新版本强调了关键基础设施的网络安全并降低了网络攻击的风险。
这种技术渗透测试方法包括:
- 检查方法
- 对常规目标漏洞的评估
- 分析测试结果的建议
- 制定措施以尽量减少安全风险
遵守 NIST 渗透测试框架是一些美国企业和合作伙伴的合规标准。该框架旨在保障具有不同运营规模的行业和组织的信息安全。
4.国际安全援助部队
信息系统安全评估框架或 ISSAF 由开放信息系统安全组 (OISSG) 开发,是一种复杂、结构化和专业的渗透测试方法。?众所周知,它是一个全面的框架,涵盖了 InfoSec 的多个方面。它仔细记录了模拟攻击的步骤顺序,以及对每个步骤中使用的工具和预期结果的建议。它甚至推荐真实攻击者使用的工具,以帮助在某些情况下模拟高级攻击场景。这些指南非常细致,甚至包括在测试后报告和销毁工件。?ISSAF 最适合面临独特安全挑战且需要高级渗透测试方法的组织。
5. PTES框架
渗透测试方法和标准 (PTES) 框架强调了构建基本渗透测试的方法,以及具有高级要求的组织的高级变体。该框架详细介绍了 从初始通信到威胁建模再到报告等各种渗透测试步骤(包括后续测试)。它使组织能够识别最高级环境中的漏洞。它还会验证已识别的漏洞是否已得到适当修复。
