什么是網絡滲透測試?網絡滲透測試模擬威脅參與者可用于攻擊業務網絡、業務網站、網絡應用程序和連接設備的過程。目標是在威脅行為者發現并利用它們之前發現安全問題。
滲透測試可以幫助組織識別安全漏洞并確定哪些措施可以防止威脅行為者未經授權訪問網絡并攻擊組織。滲透測試的結果可以深入了解組織現有安全防御的有效性及其對全面網絡攻擊的恢復能力。
常見的網絡安全威脅
以下是最常見的網絡安全威脅:
網絡釣魚
網絡釣魚是一種社會工程攻擊,它試圖通過模仿已知或信譽良好的實體(例如銀行機構、個人聯系人或已知網站)來操縱目標執行特定操作。
攻擊者通過電子郵件或公司聊天等通信渠道發送消息,旨在提示目標泄露敏感信息或財務信息、下載惡意軟件(malware)或點擊惡意鏈接。執行這些操作會提示目標輸入憑證或信用卡號等信息。
計算機病毒
計算機病毒是一種軟件程序,可以感染計算機設備并繼續傳播到它接觸到的其他機器。用戶可以從各種位置下載計算機病毒,例如惡意網站或電子郵件附件。
攻擊者經常向受害者發送計算機病毒,以感染他們的計算機和網絡上的其他機器。計算機病毒可以禁用安全設置、竊取和破壞數據、發送垃圾郵件以及刪除整個硬盤驅動器。
惡意軟件/勒索軟件
攻擊者經常使用惡意軟件(malware)進行非法活動,例如竊取機密數據、在設備上秘密安裝破壞性程序以及鎖定系統。惡意軟件可以通過受感染的文件、彈出式廣告、電子郵件或虛假網站傳播特洛伊木馬、蠕蟲和間諜軟件。
勒索軟件是一種惡意軟件程序,可以通過各種方式鎖定設備,例如網絡釣魚電子郵件或惡意文件。設備鎖定后,程序會顯示一條提示,要求支付贖金才能解鎖設備。它可以防止受害者加密文件、運行應用程序或完全使用設備。
流氓安全軟件
這種惡意軟件試圖誘騙用戶相信他們的計算機感染了病毒,或者他們的安全措施不再是最新的。流氓安全軟件提供幫助受害者安裝或更新他們的安全設置,要求他們購買工具或下載程序來擺脫假冒病毒。實際上,受害者正在他們的設備上安裝惡意軟件。
拒絕服務(DoS)攻擊
DoS 攻擊試圖阻止真實用戶訪問網站的信息或服務。當攻擊者使用連接到 Internet 的計算機通過虛假流量使網站過載時,就會發生這種情況。分布式拒絕服務 (DDoS) 攻擊的工作原理類似,但使用分布在世界各地的多臺不同計算機。它涉及使用受感染的計算機網絡(稱為僵尸網絡)來提供虛假流量來淹沒網站。
內部威脅
內部違規源自組織內部。它可能由于疏忽行為、人為錯誤或承包商、雇員或前雇員采取的惡意行為而發生。組織可以通過采用安全意識文化將內部威脅的潛在風險降至最低。它涉及實施網絡安全政策、員工安全意識培訓和安全工具,以識別異常行為和網絡釣魚。
內部與外部網絡滲透測試
以下是兩種網絡滲透測試之間的主要區別。
外部測試
網絡的外部威脅通常是最明顯的。大多數安全團隊都同意,所有暴露在互聯網上的東西都必須進行一些安全測試。外部滲透測試可以幫助識別受損的外部主機,這些主機(如果無人看管)允許攻擊者進一步滲透網絡。
必須保護可能成為攻擊目標的外部設備——例如,黑客正在尋找存儲客戶端數據的面向 Internet 的 FTP 服務器。外部網絡滲透測試側重于網絡邊界,識別阻止遠程攻擊的安全控制缺陷。該過程涉及滲透測試人員創建真實場景以識別所有潛在漏洞。
外部網絡滲透測試人員可以使用多種技術,包括端口掃描、網絡嗅探、主機發現以及流量監控和分析。滲透測試人員經常嘗試使用 OSPF 和 RIP 等動態路由更新來欺騙或欺騙服務器。他們可能會嘗試使用被盜帳戶憑據登錄系統或使用代碼來利用已知漏洞。更高級的外部滲透測試可能包括通過掃描身份驗證數據庫、緩沖區溢出、更改運行系統配置和添加新用戶帳戶來破解密碼。
內部測試
內部安全威脅通常比外部安全威脅更危險、更難檢測。其中包括心懷不滿的員工、前員工和竊取商業機密的競爭對手。許多內部威脅的發生并沒有明顯的惡意——例如,安全配置問題和員工失誤。
大多數網絡攻擊都起源于網絡內部,因此內部網絡滲透測試側重于內部環境,而不是面向公眾的設備。這些滲透測試試圖檢測和利用惡意內部人員在獲得內部網絡訪問權限后可能發現的問題。
基本的滲透測試技術是相同的(即試圖破壞系統),但測試的攻擊向量包括內部子網、文件服務器、域服務器、打印機和交換機。滲透測試人員評估內部網絡,仔細檢查可能導致漏洞利用的路徑。
網絡滲透測試階段
滲透測試模仿網絡安全殺傷鏈。它通常涉及以下階段:
1.規劃偵察
在此階段,測試人員和公司官員討論滲透測試的目標和范圍、目標系統和測試方法。一些測試可以是開放式的,而其他測試可能會利用某些惡意策略、技術和程序 (TTP)。接下來,測試人員收集情報以更好地了解被測系統的架構、網絡結構和安全工具。
2.掃描
此階段涉及部署自動化工具來分析測試系統。滲透測試人員經常執行靜態或動態分析以檢查系統代碼是否存在安全漏洞或錯誤。他們還可能會運行漏洞掃描來定位可能易受攻擊的未修補或舊組件。
3. 獲得訪問權
先前階段收集的情報有助于滲透測試人員選擇一個薄弱點來破壞系統。它可能涉及各種技術,例如發起暴力攻擊和密碼破解攻擊以繞過薄弱的身份驗證過程。其他常見方法包括使用跨站點腳本 (XSS) 或 SQL 注入來執行惡意代碼或將惡意軟件傳送到安全范圍內的系統中。
4. 維護訪問
滲透測試人員通常表現得像高級持續威脅 (APT),試圖提升他們的特權并橫向移動以訪問敏感資產。目標是發現內部系統中的漏洞,而不僅僅是那些部署在網絡邊緣或安全邊界上的漏洞。它有助于評估組織識別網絡中惡意活動的能力。
5.分析
滲透測試以包含以下內容的報告結束:
- 已發現的漏洞,包括測試人員未利用的漏洞。
- 測試人員用來破壞目標系統的方法。
- 測試人員破壞的敏感數據或內部系統。
- 組織如何應對攻擊。
組織可以使用這些見解來修復漏洞、改進安全流程和修改安全配置。
結論
總之,網絡滲透測試是評估計算機網絡安全和識別潛在漏洞的重要工具。通過模擬網絡上的網絡攻擊,滲透測試人員可以幫助組織在被惡意攻擊者利用之前識別并修復防御中的弱點。滲透測試通常涉及幾個階段,包括計劃和偵察、掃描和枚舉、開發、開發后以及報告和補救。它是全面安全計劃的重要組成部分,應由經過培訓的安全專業人員執行。
