也许你已经在安全研究和文章中看到了“渗透测试”这个词,但你知道它的真正含义吗?
简而言之,渗透测试就是对应用程序或网络进行安全评估、分析,并通过一系列的模拟攻击来检查它们的安全状况。
其目的是通过积极地发现漏洞,渗透到组织的安全防御系统中,网络罪犯通常会利用这些漏洞来破坏数据的完整性、机密性或可用性。
找到的漏洞可以被用来调整组织的安全策略,修补应用或网络,以及确定不同应用之间的共同弱点。渗入测试能增强组织的整体安全态势,是组织主动采取措施以防止安全漏洞的关键。
对于渗透测试的角色,以及它最适合哪些公司和安全项目,存在着误解。我将会通过阐明渗透测试中没有的内容,让我们深入了解渗透测试的内容:
误区一:渗透测试就像威胁狩猎。
许多人把渗透测试和威胁狩猎混为一谈。尽管他们想要解决类似的问题,但是这些术语是不能互换的。渗入测试的目的是主动发现尽可能多的漏洞,而威胁搜索的一般目标是主动发现那些已经通过组织的安全防御系统的攻击者,以便能够在任何实际破坏发生之前阻止他们。
很多机构在预防和检测技术上进行了投资,例如网络和基于主机的入侵检测,这是因为并非所有潜在的恶意事件都能被完全阻止。这类系统可以记录看似无害但可能与攻击相关的活动。利用这一信息,威胁搜索人员可以把整个企业的数据拼凑起来,为可能受影响的数据构建图像。
误区二:渗透测试就像Red team。
很多人还把渗透测试和红队混为一谈。这两个项目也不是同一项目。渗入测试更多地关注于系统、应用程序和支持它们的环境,而红色小组则更多关注于人。
研究小组的目标更加明确,他们的目标是找出漏洞,让罪犯们进一步接触环境,最终让他们完全了解某一点。
实际上,在真正的redteam项目中,安全专家只是欺骗组织中的个人,让他们访问目前所没有的内容。Redteam是一个庞大而复杂的项目,它包含了很多开源的社会智能来发现组织的缺陷。
误区三:渗透测试和bug奖励是一样的。
这些条件也是不可互换的。渗入测试不同于bug奖励。bug奖励程序是最近推出的一个日益流行的程序,很多人把它作为渗透测试的一个补充,以进一步提高在已经非常安全的平台上的安全测试范围,从而防止网络攻击。
不像更全面的渗透测试那样,漏洞奖励只限于测试公开访问的网站和网络应用程序。结果是,该奖励程序不能在网站和应用程序上线前发现网络内部的漏洞。
误区四:渗透测试和漏洞评估一样。
尽管渗透测试和漏洞评估的目的都是为了发现环境或应用程序中存在的缺陷,但是它们的执行方式不同。
弱点评估是通过扫描程序实现的自动化方法。虽然渗透测试员使用工具来完成他们的任务,但是渗透测试的核心却是手工过程。高技术、高技能的人员在渗透测试过程中,通过使用试验和漏洞链接来手工检查结果。
攻击扫描和渗透测试是综合安全策略中必不可少的两个部分。一方无法取代另一方
大流行引发了对渗透解决方案的指数级需求,因为组织急需优化和简化偏远地区的安全程序和技术。目前,为了增强自身的安全态势,抵御网络安全威胁,企业越来越倾向于采用渗透式的解决方案。
