信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法，包括了對系統(tǒng)各類弱點、技術(shù)缺陷或漏洞的主動分析。由于滲透測試需要通過模擬黑客攻擊來評估目標系統(tǒng)的安全性和漏洞，因此可能會帶來一些風險，比如影響目標系統(tǒng)的正常運行、泄露敏感數(shù)據(jù)、引起法律糾紛等。為了確保測試工作的安全性和有效性，企業(yè)組織在開展?jié)B透測試工作前，需要全面了解測試的類型、方法和原則。本文將對其中的7種最常見類型進行介紹：

01

網(wǎng)絡(luò)滲透測試

如果攻擊者能夠成功闖入公司的網(wǎng)絡(luò)，其引發(fā)的風險將會非常高。網(wǎng)絡(luò)滲透測試主要指測試人員嘗試繞過防火墻、測試路由器、規(guī)避入侵檢測和防御系統(tǒng)（IPS/IDS）、掃描端口和代理服務(wù)，并尋找所有類型的網(wǎng)絡(luò)漏洞。在實際應(yīng)用中，網(wǎng)絡(luò)滲透測試工作主要包括外部網(wǎng)絡(luò)滲透測試與內(nèi)部網(wǎng)絡(luò)滲透測試。

在外部網(wǎng)絡(luò)滲透測試中，面向互聯(lián)網(wǎng)的資產(chǎn)是模擬攻擊的主要目標。通常，目標資產(chǎn)會由客戶提供，但也可以在客戶確認的情況下執(zhí)行“無范圍”（no-scope）測試。測試人員將嘗試在掃描期間發(fā)現(xiàn)的任何可利用漏洞。此外，允許登錄的暴露服務(wù)將受到密碼猜測攻擊的影響，例如暴力破解或密碼噴射。對外開放的企業(yè)網(wǎng)站通常會接受額外的審查，以尋找攻擊者容易利用的常見Web漏洞。

內(nèi)部網(wǎng)絡(luò)滲透測試則是從已獲得組織內(nèi)部網(wǎng)絡(luò)訪問權(quán)限的角度進行，可以在測試人員和客戶員工之間提供有益的互動，測試人員可以使用客戶提供的基礎(chǔ)設(shè)施，或是他們自己的物理或虛擬遠程測試系統(tǒng)來進行遠程訪問。

02

社會工程滲透測試

社會工程是網(wǎng)絡(luò)犯罪分子用來欺騙用戶泄露憑據(jù)或敏感信息的一種技術(shù)。如今，大多數(shù)網(wǎng)絡(luò)安全攻擊會從社會工程、網(wǎng)絡(luò)釣魚或短信網(wǎng)絡(luò)釣魚開始。攻擊者通常會聯(lián)系員工，通過電子郵件、電話、社交媒體及其他方式瞄準那些擁有管理員或高級訪問權(quán)限的人。通過社會工程滲透測試可以幫助安全團隊預(yù)先了解組織的人員安全意識狀態(tài)，并在社會工程攻擊期間和之后測試組織安全團隊的反應(yīng)和支持能力。

社會工程測試主要包括：

網(wǎng)絡(luò)釣魚測試。旨在確定組織的用戶群對魚叉式網(wǎng)絡(luò)釣魚攻擊的敏感性。該測試的目標不是評估組織電子郵件保護的有效性，而是確定當郵件避開這些過濾器時用戶將如何反應(yīng)。這些評估的結(jié)果可以用于增強組織的反社會工程意識計劃。

電話語音釣魚。測試人員會使用來電顯示欺騙技術(shù)冒充用戶、支持人員或客戶。該評估旨在說服用戶執(zhí)行一些可能會披露信息或提供對組織系統(tǒng)的訪問權(quán)限的操作。許多用戶會根據(jù)來電號碼選擇信任來電者。部分用戶會察覺出攻擊并以各種方式做出響應(yīng)，例如咨詢安全顧問或在通話后聯(lián)系信息安全團隊。

USB令牌注入。用戶可能會無意中嘗試將USB設(shè)備連接到環(huán)境中。在此評估類型中，測試人員會將部署看似普通的USB驅(qū)動器，并誘使用戶將該設(shè)備插入公司系統(tǒng)。這些USB設(shè)備可以是包含建立遠程連接的惡意文件的典型驅(qū)動器，也可以是在連接時執(zhí)行某些鍵盤操作。

收集短信釣魚。這種評估類型類似于網(wǎng)絡(luò)釣魚，但利用的媒介變?yōu)镾MS或短消息服務(wù)向用戶發(fā)送欺詐性的消息。與網(wǎng)絡(luò)釣魚一樣，這些活動將嘗試讓用戶訪問冒充組織的站點或嘗試傳遞惡意木馬病毒。

03

Web應(yīng)用滲透測試

基于Web的應(yīng)用程序?qū)τ趲缀趺考医M織的運營都至關(guān)重要。Web應(yīng)用程序滲透測試側(cè)重于通過Web應(yīng)用程序呈現(xiàn)給攻擊者的攻擊面。這些測試類型旨在評估Web應(yīng)用程序的安全性，并尋找攻擊性方法來訪問敏感數(shù)據(jù)，或獲得對Web應(yīng)用程序的控制權(quán)限。在此評估期間，組織通常會向測試人員提供憑據(jù)訪問權(quán)限，以審查整個應(yīng)用程序。

Web應(yīng)用程序測試的對象包括Web應(yīng)用程序、瀏覽器、ActiveX、插件、Silverlight、小腳本和小應(yīng)用程序，測試中所用的語言包括Java、PHP、和.NET等。應(yīng)用編程接口（API）與XML、MySQL、Oracle及其連接和系統(tǒng)一樣也是測試的一部分。如果Web應(yīng)用程序是移動的，它們還需要在其環(huán)境中進行測試。由于端點在運行時和Web應(yīng)用程序在線時具有交互性，針對Web應(yīng)用的滲透測試會很復(fù)雜，滲透測試人員必須兼顧所有方面。

04

無線網(wǎng)絡(luò)滲透測試

現(xiàn)代企業(yè)會高度依賴無線網(wǎng)絡(luò)來連接端點和物聯(lián)網(wǎng)設(shè)備等，無線網(wǎng)絡(luò)已成為網(wǎng)絡(luò)犯罪分子的熱門目標，但其應(yīng)用安全性卻常被企業(yè)所忽視。覆蓋無線安全的滲透測試必須面面俱到，無線網(wǎng)絡(luò)測試人員需要尋找無線加密中已知的缺陷，試圖破解密鑰，誘使用戶向“雙面惡魔”（evil twin）接入點或被攻擊者控制的文件夾提供憑據(jù)，并暴力破解登錄詳細信息。惡意接入點掃描可以通過物理位置和經(jīng)過身份驗證的無線分段測試完成這些評估類型，以確定攻擊者在成功連接到環(huán)境后可以訪問的內(nèi)容。

隨著企業(yè)開始走上數(shù)字化轉(zhuǎn)型和現(xiàn)代化之路，物聯(lián)網(wǎng)、傳感器、攝像頭、移動設(shè)備及和其他端點面臨的威脅也在加大。黑客會試圖通過這些新的入口點訪問關(guān)鍵資產(chǎn)，數(shù)字攻擊面擴大無疑對他們有利。因此，滲透測試人員需要全面驗證無線加密協(xié)議、檢查信標、確認流量以及搜索接入點、熱點和MAC地址欺騙。

05

物理安全滲透測試

并非公司面臨的所有威脅都是由外部網(wǎng)絡(luò)應(yīng)用所引起，特別是在邊緣計算興起后，很多企業(yè)會在接近業(yè)務(wù)運營的地方建立數(shù)據(jù)分中心，面向這些中心的物理環(huán)境安全測試已變得更加重要。

在物理環(huán)境安全測試中，測試人員將會模擬驗證大門的安全系統(tǒng)、門禁卡、門鎖、攝像頭和傳感器，并嘗試冒充工作人員。他們還會驗證當攻擊者可以物理訪問計算設(shè)備、數(shù)據(jù)中心網(wǎng)絡(luò)和邊緣計算網(wǎng)絡(luò)時，企業(yè)數(shù)字化應(yīng)用系統(tǒng)的安全系數(shù)會如何變化。這類測試通常會在安全團隊大多數(shù)成員完全不知情的情況下執(zhí)行。

06

云計算滲透測試

私有云和公共云的廣泛應(yīng)用為現(xiàn)代企業(yè)組織帶來了諸多好處，但也給網(wǎng)絡(luò)犯罪分子帶來了機會。許多組織在云端都存放了大量關(guān)鍵業(yè)務(wù)數(shù)據(jù)資產(chǎn)，如果這些資產(chǎn)遭到破壞，會導致業(yè)務(wù)運營的癱瘓。

雖然云供應(yīng)商會為企業(yè)提供功能強大的配套安全服務(wù)，但云滲透測試對企業(yè)組織已必不可少。云端滲透測試需要提前通知云提供商，因為系統(tǒng)的某些區(qū)域可能禁止白帽黑客訪問。

云端的滲透測試必須遵守云服務(wù)商給出的統(tǒng)一滲透測試演練規(guī)則。而在開始進行測試前，組織也需要詳細填寫云計算安全滲透測試申請表。云滲透測試的內(nèi)容主要包括檢查云環(huán)境的安全性、應(yīng)用程序及API、訪問、存儲、加密、虛擬機、操作系統(tǒng)及更新、安全外殼（SSH）、遠程桌面協(xié)議（RDP）遠程管理以及錯誤配置和密碼。

07

紅藍對抗測試

受軍事演習活動的啟發(fā)，在網(wǎng)絡(luò)安全領(lǐng)域也開始流行基于實戰(zhàn)背景的攻防對抗測試演練活動，會組織專業(yè)的測試紅隊充當攻擊者，而藍隊主要由企業(yè)現(xiàn)有的安全團隊組成。這種整體式對抗性測試方法能夠確保滲透測試的真實性和有效性，不僅可以評估安全缺陷、漏洞和威脅，還可以評估安全團隊的反應(yīng)能力。

通過聘請行業(yè)專家充當藍隊，企業(yè)組織不僅可以發(fā)現(xiàn)目前的安全防護薄弱環(huán)節(jié)，還可以趁此機會提升員工的專業(yè)安全技能。安全團隊可以學習如何更快速地了解和響應(yīng)攻擊。紅藍對抗測試有多種形式。有時藍隊被告知模擬或滲透測試的時間，有時則完全不知情。紅隊滲透測試人員可以深入了解內(nèi)部安全團隊在如何響應(yīng)，并提供優(yōu)化的建議。