什么是网络渗透测试?网络渗透测试模拟威胁参与者可用于攻击业务网络、业务网站、网络应用程序和连接设备的过程。目标是在威胁行为者发现并利用它们之前发现安全问题。
渗透测试可以帮助组织识别安全漏洞并确定哪些措施可以防止威胁行为者未经授权访问网络并攻击组织。渗透测试的结果可以深入了解组织现有安全防御的有效性及其对全面网络攻击的恢复能力。
常见的网络安全威胁
以下是最常见的网络安全威胁:
网络钓鱼
网络钓鱼是一种社会工程攻击,它试图通过模仿已知或信誉良好的实体(例如银行机构、个人联系人或已知网站)来操纵目标执行特定操作。
攻击者通过电子邮件或公司聊天等通信渠道发送消息,旨在提示目标泄露敏感信息或财务信息、下载恶意软件(malware)或点击恶意链接。执行这些操作会提示目标输入凭证或信用卡号等信息。
计算机病毒
计算机病毒是一种软件程序,可以感染计算机设备并继续传播到它接触到的其他机器。用户可以从各种位置下载计算机病毒,例如恶意网站或电子邮件附件。
攻击者经常向受害者发送计算机病毒,以感染他们的计算机和网络上的其他机器。计算机病毒可以禁用安全设置、窃取和破坏数据、发送垃圾邮件以及删除整个硬盘驱动器。
恶意软件/勒索软件
攻击者经常使用恶意软件(malware)进行非法活动,例如窃取机密数据、在设备上秘密安装破坏性程序以及锁定系统。恶意软件可以通过受感染的文件、弹出式广告、电子邮件或虚假网站传播特洛伊木马、蠕虫和间谍软件。
勒索软件是一种恶意软件程序,可以通过各种方式锁定设备,例如网络钓鱼电子邮件或恶意文件。设备锁定后,程序会显示一条提示,要求支付赎金才能解锁设备。它可以防止受害者加密文件、运行应用程序或完全使用设备。
流氓安全软件
这种恶意软件试图诱骗用户相信他们的计算机感染了病毒,或者他们的安全措施不再是最新的。流氓安全软件提供帮助受害者安装或更新他们的安全设置,要求他们购买工具或下载程序来摆脱假冒病毒。实际上,受害者正在他们的设备上安装恶意软件。
拒绝服务(DoS)攻击
DoS 攻击试图阻止真实用户访问网站的信息或服务。当攻击者使用连接到 Internet 的计算机通过虚假流量使网站过载时,就会发生这种情况。分布式拒绝服务 (DDoS) 攻击的工作原理类似,但使用分布在世界各地的多台不同计算机。它涉及使用受感染的计算机网络(称为僵尸网络)来提供虚假流量来淹没网站。
内部威胁
内部违规源自组织内部。它可能由于疏忽行为、人为错误或承包商、雇员或前雇员采取的恶意行为而发生。组织可以通过采用安全意识文化将内部威胁的潜在风险降至最低。它涉及实施网络安全政策、员工安全意识培训和安全工具,以识别异常行为和网络钓鱼。
内部与外部网络渗透测试
以下是两种网络渗透测试之间的主要区别。
外部测试
网络的外部威胁通常是最明显的。大多数安全团队都同意,所有暴露在互联网上的东西都必须进行一些安全测试。外部渗透测试可以帮助识别受损的外部主机,这些主机(如果无人看管)允许攻击者进一步渗透网络。
必须保护可能成为攻击目标的外部设备——例如,黑客正在寻找存储客户端数据的面向 Internet 的 FTP 服务器。外部网络渗透测试侧重于网络边界,识别阻止远程攻击的安全控制缺陷。该过程涉及渗透测试人员创建真实场景以识别所有潜在漏洞。
外部网络渗透测试人员可以使用多种技术,包括端口扫描、网络嗅探、主机发现以及流量监控和分析。渗透测试人员经常尝试使用 OSPF 和 RIP 等动态路由更新来欺骗或欺骗服务器。他们可能会尝试使用被盗帐户凭据登录系统或使用代码来利用已知漏洞。更高级的外部渗透测试可能包括通过扫描身份验证数据库、缓冲区溢出、更改运行系统配置和添加新用户帐户来破解密码。
内部测试
内部安全威胁通常比外部安全威胁更危险、更难检测。其中包括心怀不满的员工、前员工和窃取商业机密的竞争对手。许多内部威胁的发生并没有明显的恶意——例如,安全配置问题和员工失误。
大多数网络攻击都起源于网络内部,因此内部网络渗透测试侧重于内部环境,而不是面向公众的设备。这些渗透测试试图检测和利用恶意内部人员在获得内部网络访问权限后可能发现的问题。
基本的渗透测试技术是相同的(即试图破坏系统),但测试的攻击向量包括内部子网、文件服务器、域服务器、打印机和交换机。渗透测试人员评估内部网络,仔细检查可能导致漏洞利用的路径。
网络渗透测试阶段
渗透测试模仿网络安全杀伤链。它通常涉及以下阶段:
1.规划侦察
在此阶段,测试人员和公司官员讨论渗透测试的目标和范围、目标系统和测试方法。一些测试可以是开放式的,而其他测试可能会利用某些恶意策略、技术和程序 (TTP)。接下来,测试人员收集情报以更好地了解被测系统的架构、网络结构和安全工具。
2.扫描
此阶段涉及部署自动化工具来分析测试系统。渗透测试人员经常执行静态或动态分析以检查系统代码是否存在安全漏洞或错误。他们还可能会运行漏洞扫描来定位可能易受攻击的未修补或旧组件。
3. 获得访问权
先前阶段收集的情报有助于渗透测试人员选择一个薄弱点来破坏系统。它可能涉及各种技术,例如发起暴力攻击和密码破解攻击以绕过薄弱的身份验证过程。其他常见方法包括使用跨站点脚本 (XSS) 或 SQL 注入来执行恶意代码或将恶意软件传送到安全范围内的系统中。
4. 维护访问
渗透测试人员通常表现得像高级持续威胁 (APT),试图提升他们的特权并横向移动以访问敏感资产。目标是发现内部系统中的漏洞,而不仅仅是那些部署在网络边缘或安全边界上的漏洞。它有助于评估组织识别网络中恶意活动的能力。
5.分析
渗透测试以包含以下内容的报告结束:
- 已发现的漏洞,包括测试人员未利用的漏洞。
- 测试人员用来破坏目标系统的方法。
- 测试人员破坏的敏感数据或内部系统。
- 组织如何应对攻击。
组织可以使用这些见解来修复漏洞、改进安全流程和修改安全配置。
结论
总之,网络渗透测试是评估计算机网络安全和识别潜在漏洞的重要工具。通过模拟网络上的网络攻击,渗透测试人员可以帮助组织在被恶意攻击者利用之前识别并修复防御中的弱点。渗透测试通常涉及几个阶段,包括计划和侦察、扫描和枚举、开发、开发后以及报告和补救。它是全面安全计划的重要组成部分,应由经过培训的安全专业人员执行。
