網絡攻擊的復雜性、殺傷力、成本和數量的增加說明了滲透測試/滲透測試的必要性,它使組織能夠積極應對網絡安全。然而,滲透測試的有效性取決于組織所采用的滲透測試方法。存在不同的滲透測試方法,每種方法都有一些優點、局限性和范圍。?繼續閱讀以了解最流行的 5 種滲透測試方法。
最流行的滲透測試方法
1. OWASP 滲透測試方法論
OWASP(Open Web Application Security Project)的 Web 應用程序滲透測試方法是業界最受認可的標準。OWASP 是一個精通的社區,全面更新最新技術和威脅形勢。它提供了一套詳盡的指南來測試現代 API、Web 和移動應用程序。它不僅包括應用程序,還包括技術、人員和流程。
使用這種Web 應用滲透測試方法的顯著優勢之一是它可以無縫集成到軟件開發生命周期 (SDLC) 中并在其中使用。它為 SDLC 每個階段的測試提供了詳細的指南——從需求定義、設計、開發到部署和維護。不僅僅是滲透測試人員,任何尋求開發設計安全軟件的網絡開發人員或 IT 公司都可以使用這種詳細和更新的方法。
因此,OWASP 方法使滲透測試人員能夠識別應用程序中的各種漏洞。不安全的開發實踐導致的復雜邏輯缺陷、錯誤配置和編碼缺陷,僅舉幾個漏洞。此外,該方法還提供了切實可行的建議來評估風險、確定問題的優先級并加強安全性。鑒于龐大的用戶社區,不乏關于該方法的技術、文章、工具和指南。
2. OSSTMM
由安全和開放方法研究所 (ISECOM) 開發的開源安全測試方法或 OSSTMM 提供了一種科學的滲透測試方法。它還包括一個同行評審的框架,該框架提供了操作安全強度的準確描述。它的創建是為了支持網絡開發團隊。OSSTMM 被認為是一個通用標準。
OSSTMM 建議滲透測試人員將操作安全性分解為五個不同的渠道:
- 人類安全
- 人身安全
- 無線通訊
- 電信
- 數據網絡
因此,它使滲透測試人員能夠從不同角度查看安全操作及其許多組件,從而有效地識別安全漏洞。?這種滲透測試方法不提倡或規定要使用的任何特定協議或軟件。它通過定義一套全面的指南、最佳實踐、詳細的測試計劃、安全級別評估指標和最終報告建議,為?執行任何滲透測試提供了堅實的基礎。
因此,滲透測試人員可以依賴這些指南并根據特定客戶的上下文、需求、業務流程、行業細節、技術和挑戰定制安全評估。這種方法通過使其科學、詳細、可衡量和基于事實來提高滲透測試的有效性。它使組織能夠通過綜合建議加強其安全態勢。?這種滲透測試方法的成功依賴于滲透測試人員的智力、知識和經驗水平。
3. 美國國家標準與技術研究院
NIST(美國國家標準與技術研究院)在其滲透測試方法手冊中提供了一套具體而精確的指導方針,以加強組織的整體網絡安全態勢。本安全手冊的最新版本強調了關鍵基礎設施的網絡安全并降低了網絡攻擊的風險。
這種技術滲透測試方法包括:
- 檢查方法
- 對常規目標漏洞的評估
- 分析測試結果的建議
- 制定措施以盡量減少安全風險
遵守 NIST 滲透測試框架是一些美國企業和合作伙伴的合規標準。該框架旨在保障具有不同運營規模的行業和組織的信息安全。
4.國際安全援助部隊
信息系統安全評估框架或 ISSAF 由開放信息系統安全組 (OISSG) 開發,是一種復雜、結構化和專業的滲透測試方法。?眾所周知,它是一個全面的框架,涵蓋了 InfoSec 的多個方面。它仔細記錄了模擬攻擊的步驟順序,以及對每個步驟中使用的工具和預期結果的建議。它甚至推薦真實攻擊者使用的工具,以幫助在某些情況下模擬高級攻擊場景。這些指南非常細致,甚至包括在測試后報告和銷毀工件。?ISSAF 最適合面臨獨特安全挑戰且需要高級滲透測試方法的組織。
5. PTES框架
滲透測試方法和標準 (PTES) 框架強調了構建基本滲透測試的方法,以及具有高級要求的組織的高級變體。該框架詳細介紹了 從初始通信到威脅建模再到報告等各種滲透測試步驟(包括后續測試)。它使組織能夠識別最高級環境中的漏洞。它還會驗證已識別的漏洞是否已得到適當修復。
