不同类型的安全渗透测试(也称为渗透测试)是网络安全武器库中的关键武器,因为它们使安全主动性成为可能。鉴于威胁形势正在快速发展,即使是最好的应用程序和网络安全措施也可能存在漏洞,因此通过渗透测试来测试安全措施的有效性和强度。必须注意的是,各种类型的安全渗透测试并不相同,每种都有自己的优势和范围。在本文中,将详细探讨这些不同类型的渗透测试。
什么是安全渗透测试?
渗透测试是在安全条件下针对目标系统/应用程序/网络/基础设施模拟实时网络攻击的过程。渗透测试不能自动进行,必须由受信任的渗透测试人员进行。在渗透测试结束时,渗透测试人员会提供一份详细的报告,其中包含目标系统的安全状态和将安全风险降至最低的对策。
笔测试比漏洞扫描更严格、更深入。在漏洞扫描中,利用自动化来识别已知的漏洞签名和安全弱点。正是通过笔测试来评估此类漏洞的可利用性和致命性。此外,还会识别安全配置错误、业务逻辑缺陷和未知漏洞等,并使用不同类型的安全渗透测试评估它们的可利用性。
安全渗透测试有哪些类型?
1.网络渗透测试
网络基础设施(网络、系统、主机、网络设备(路由器、交换机等))中的漏洞、差距和漏洞可通过网络渗透测试识别。它是最常见的渗透测试类型。结合本地和远程测试,涵盖内部和外部访问点。识别内部和外部攻击者可利用的入口点,并通过这种渗透测试类型评估面向互联网的关键资产和网络基础设施面临的安全风险。
常见的目标领域:
- 防火墙配置
- 防火墙绕过
- 状态分析
- 数据库服务器
- IPS/IDS规避
- SMTP 邮件服务器
- 域名系统
- 打开端口
- 代理服务器等
2.应用渗透测试
应用笔测试是一种复杂、详细且有针对性的测试类型,其中需要进行战略规划以提高效率。在这里,全球接受的行业框架用于模拟针对应用程序的实时攻击,以暴露由不安全的编码、开发和设计实践引起的安全漏洞。
常见的目标领域:
- Web 应用程序和网站
- 软件
- 移动应用
- 内部/外部开发的程序
- 蜜蜂
- Applet 和 Scriptlet
- 插件
- 构架
- 浏览器
- 语言
- CRM、HR系统、SAP等系统。
3.物理渗透测试
物理渗透测试,也称为物理入侵测试,是指渗透测试人员试图破坏物理安全控制/障碍以访问关键资产/敏感区域的地方。这种形式的笔测试提供了对安全漏洞、安全未知数和物理资产面临的现实风险的深入洞察。
共同目标:
- 周边安全
- RFID 和门禁系统
- 入侵警报
- 物理位置上的锁
- 相机
- 传感器和运动检测器
- 陷阱
- 组织中的人际网络
4.社会工程渗透测试
通过社会工程渗透测试,测试人员通过操纵、欺骗、网络钓鱼、诈骗、威胁、尾随和垃圾箱挖掘来瞄准组织中的人际网络,以获取对专有/机密信息的访问权或对资产的物理访问权。人类是网络安全中最薄弱的环节,他们缺乏意识常常被恶意行为者利用。鉴于 90% 的网络攻击都是通过社会工程(尤其是网络钓鱼)发起的,因此社会工程渗透测试是必不可少的。
5.客户端渗透测试
客户端笔测试/内部测试是指测试人员识别组织内部出现并可从客户端利用的潜在安全威胁。
共同目标:
- 客户端软件
- 网页浏览器
- 内容创建软件(MS Office Suite、Photoshop、Adobe Page Maker)
- 媒体播放器等
6.无线网络渗透测试
测试人员通过无线网络渗透测试识别和分析客户端使用的无线设备中的漏洞,以检测流氓/弱设备和不安全的接入点。除了包括平板电脑、智能手机、笔记本电脑等无线设备外,还包括无线协议、无线接入点和管理员凭据。
结论
定期渗透测试可以为组织节省数百万美元,这对于强大和主动的网络安全策略以及强大的安全态势至关重要。然而,进行渗透测试没有万能的解决方案。鉴于各行业和个人业务需求在安全需求和环境方面存在巨大差异,安全渗透测试类型的选择必须高度定制和情境化。要根据您的业务需求和环境定制设计和实施渗透测试。