企業(yè)越依賴網(wǎng)絡(luò)通信和基于云的數(shù)據(jù)系統(tǒng)，就越容易遭受外部攻擊者的攻擊和破壞。在考慮Web應(yīng)用程序的數(shù)據(jù)安全問(wèn)題時(shí)，確立滲透測(cè)試方法變得日益重要。

在設(shè)計(jì)和捍衛(wèi)安全系統(tǒng)時(shí)，如何確保這些系統(tǒng)正常運(yùn)行?答案就在于構(gòu)建一種滲透測(cè)試方法來(lái)保護(hù)信息資產(chǎn)。

什么是滲透測(cè)試

簡(jiǎn)言之，滲透測(cè)試就是為了確定Web應(yīng)用中的漏洞程度而對(duì)企業(yè)的最佳防御系統(tǒng)進(jìn)行測(cè)試并利用其漏洞的一種可控的網(wǎng)絡(luò)攻擊。

從實(shí)質(zhì)上說(shuō)，設(shè)計(jì)和實(shí)施滲透測(cè)試方法可以使企業(yè)：

1. 在獲得授權(quán)的環(huán)境中主動(dòng)地測(cè)試和攻擊自己的系統(tǒng)，其重點(diǎn)是IT基礎(chǔ)架構(gòu)、操作系統(tǒng)漏洞、應(yīng)用程序問(wèn)題及用戶和配置錯(cuò)誤等。

2. 分析和查驗(yàn)系統(tǒng)防御以及用戶是否遵循系統(tǒng)協(xié)議。

3. 評(píng)估可能的攻擊源，如Web應(yīng)用程序、無(wú)線網(wǎng)絡(luò)、設(shè)備、服務(wù)器等。

任何數(shù)據(jù)都不可能完全安全。但有效的滲透測(cè)試方法可以極大地清除一些不必要的漏洞。

滲透測(cè)試的好處

有效的滲透測(cè)試方法可以確認(rèn)掃描軟件無(wú)法發(fā)現(xiàn)的漏洞，而且可以確定已有的網(wǎng)絡(luò)防御系統(tǒng)如何適時(shí)地檢測(cè)和響應(yīng)攻擊，確定一次成功攻擊的危害程度，還可以確保遵循所有的數(shù)據(jù)安全合規(guī)協(xié)議。

認(rèn)真對(duì)待滲透測(cè)試方法的另一個(gè)好處在于其對(duì)公司內(nèi)部文化的潛在影響。企業(yè)的領(lǐng)導(dǎo)層展示出對(duì)數(shù)據(jù)安全的重視和要求，就會(huì)增強(qiáng)雇員對(duì)其重視的程度，后者也會(huì)盡最大努力遵循終端用戶協(xié)議。

多長(zhǎng)時(shí)間進(jìn)行一次滲透測(cè)試?

企業(yè)應(yīng)經(jīng)常執(zhí)行有效的滲透測(cè)試。為避免將來(lái)遭受攻擊而丟失重要數(shù)據(jù)，安全管理者應(yīng)積極地強(qiáng)化Web應(yīng)用程序的防御。在計(jì)劃滲透測(cè)試方法時(shí)，不妨考慮一下企業(yè)所屬行業(yè)。并非每一家企業(yè)都有相同的安全需要，但公司有責(zé)任確保機(jī)密信息的安全性。

企業(yè)應(yīng)經(jīng)常部署滲透測(cè)試方法，尤其要注意：

1.有些行業(yè)的特定規(guī)范要求經(jīng)常進(jìn)行滲透測(cè)試。

2.對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)或Web應(yīng)用程序進(jìn)行的任何修改，其中可能涉及升級(jí)、更改、安全補(bǔ)丁、安裝新軟件或硬件、大修等。

3.策略變更。對(duì)于終端用戶來(lái)說(shuō)，問(wèn)題尤其如此。策略的變更會(huì)影響到用戶與Web應(yīng)用交互的性質(zhì)，從而帶來(lái)新挑戰(zhàn)。

4.企業(yè)遷移或增加新的辦公場(chǎng)所。其中涉及通過(guò)ISP而不是通過(guò)企業(yè)的安全網(wǎng)絡(luò)訪問(wèn)Web應(yīng)用程序的遠(yuǎn)程雇員。

最后，在設(shè)計(jì)滲透測(cè)試方法時(shí)，保持謹(jǐn)慎很有必要。滲透測(cè)試的花費(fèi)要遠(yuǎn)遠(yuǎn)小于數(shù)據(jù)泄露所造成的成本。

構(gòu)建有效的滲透測(cè)試過(guò)程

在構(gòu)建滲透測(cè)試方法時(shí)，必須記住滲透測(cè)試要求很多的信任。企業(yè)要找到一家既有經(jīng)驗(yàn)又熟悉企業(yè)特定需要的供應(yīng)商。

滲透測(cè)試實(shí)際上是要求供應(yīng)商攻擊企業(yè)的系統(tǒng)，所以應(yīng)當(dāng)建立一些基本要求：

范圍：滲透測(cè)試針對(duì)的是企業(yè)的特定范圍還是總體?哪些人和哪些不屬于此范圍?

時(shí)間表：在測(cè)試期間，企業(yè)仍要正常運(yùn)行，所以確定在什么時(shí)間執(zhí)行滲透測(cè)試非常重要。應(yīng)將滲透測(cè)試的總體時(shí)間安排作為滲透測(cè)試方法的一個(gè)關(guān)鍵要素。

黑盒測(cè)試與白盒測(cè)試：在白盒測(cè)試中，滲透測(cè)試者可得到基本的實(shí)施測(cè)試的訪問(wèn)和信息，然后由此開(kāi)始查找并利用漏洞的過(guò)程。在黑盒測(cè)試中，測(cè)試者就像是外部的攻擊者一樣實(shí)施攻擊。

溝通：在測(cè)試涉及到的各方中建立溝通渠道是很重要的，因?yàn)闇贤ㄖ谐霈F(xiàn)的任何差錯(cuò)都可能導(dǎo)致各種不可預(yù)料的后果。

上述問(wèn)題是滲透測(cè)試方法的基礎(chǔ)，所以我們應(yīng)謹(jǐn)慎考慮。

收集情報(bào)

在這個(gè)階段，供應(yīng)商開(kāi)始實(shí)施初步攻擊。如果計(jì)劃得當(dāng)，供應(yīng)商就可以明確攻擊什么和無(wú)法攻擊什么。

如果供應(yīng)商沒(méi)有詳細(xì)地調(diào)查關(guān)于企業(yè)、員工、資產(chǎn)、負(fù)債的信息，其工作就做得不夠�；ㄙM(fèi)在這個(gè)階段的時(shí)間很重要也會(huì)很多。

威脅建模

在收集了相關(guān)資料后，下一步就是使用這些信息構(gòu)建公司及資產(chǎn)的完整模型。然后，確定主要和次要的目標(biāo)資產(chǎn)，并做進(jìn)一步調(diào)查。

資產(chǎn)牽涉到很多要素，其中包括企業(yè)數(shù)據(jù)(例如，策略、過(guò)程、商業(yè)秘密)、雇員和客戶數(shù)據(jù)、人員資產(chǎn)(可通過(guò)某種方式利用其弱點(diǎn)的高級(jí)雇員)等。在健全的滲透測(cè)試方法中，供應(yīng)商不應(yīng)偏向于其找到的某些資產(chǎn)，除非被要求這樣做。供應(yīng)商應(yīng)努力確認(rèn)價(jià)值最高的資產(chǎn)。

漏洞分析

在確立了目標(biāo)資產(chǎn)后，供應(yīng)商就會(huì)確定利用這些資產(chǎn)漏洞的最佳入口。良好的滲透測(cè)試方法可以對(duì)項(xiàng)目范圍提供嚴(yán)格的指南，以確保滿足客戶所期望的結(jié)果。

有時(shí)，這種分析可以揭示所有的潛在漏洞。另外，供應(yīng)商還會(huì)被要求針對(duì)特定的潛在問(wèn)題進(jìn)行滲透測(cè)試。徹底的滲透測(cè)試方法可以評(píng)估漏洞程度，其中包括漏洞水平及其可能暴露信息的敏感性。

漏洞利用及后續(xù)工作

滲透測(cè)試的下一步就是攻擊了。正如真實(shí)的數(shù)據(jù)泄露一樣，漏洞利用可以很快地實(shí)施和執(zhí)行。

在供應(yīng)商獲得了系統(tǒng)的訪問(wèn)權(quán)之后，就會(huì)設(shè)法避免被檢測(cè)，同時(shí)還要嘗試“特權(quán)提升”策略，以獲得更多的系統(tǒng)訪問(wèn)和其它的潛在資源。

在實(shí)現(xiàn)目標(biāo)之后，滲透測(cè)試進(jìn)行到漏洞利用的后期階段，供應(yīng)商會(huì)評(píng)估被攻擊系統(tǒng)或入口點(diǎn)的價(jià)值，并決定是否可以進(jìn)一步利用其漏洞。

報(bào)告

很明顯，徹底的滲透測(cè)試在數(shù)據(jù)收集、數(shù)據(jù)分析、漏洞利用等方面需要花費(fèi)大量的工作。但是，供應(yīng)商該如何報(bào)告信息才能使企業(yè)將其轉(zhuǎn)換為可行動(dòng)的解決方案呢?

要求具體建議：高級(jí)的建議可能會(huì)提供企業(yè)Web應(yīng)用的基本環(huán)境配置情況，但對(duì)于具體實(shí)施的人來(lái)說(shuō)卻沒(méi)有太大用處。

風(fēng)險(xiǎn)等級(jí)：很明顯，攻擊越難實(shí)施和完成，真正的攻擊者在實(shí)施時(shí)面臨的困難就會(huì)越多。供應(yīng)商應(yīng)提供一份詳細(xì)報(bào)告，指明其發(fā)現(xiàn)漏洞的風(fēng)險(xiǎn)等級(jí)，還要評(píng)估這些漏洞被利用后對(duì)企業(yè)產(chǎn)生的潛在影響。

天下數(shù)據(jù)高級(jí)滲透測(cè)試服務(wù)，針對(duì)安卓應(yīng)用,iOS應(yīng)用,網(wǎng)頁(yè)應(yīng)用,微信服務(wù)號(hào),小程序等提供專門的檢測(cè)方案,層層滲透；天下數(shù)據(jù)高級(jí)滲透測(cè)試,Web應(yīng)用全面檢測(cè),蛛絲馬跡絕不遺漏。如果您需要高級(jí)滲透測(cè)試服務(wù)，可以聯(lián)系天下數(shù)據(jù)客服！電話：400-6388-808

本文鏈接：http://m.51huadong.com/cloundnews/11003136.html