滲透測試旨在證明,網(wǎng)絡防御機制的運行與你認為的一樣良好。往往系統(tǒng)和網(wǎng)絡管理員視審查人員或滲透人員為敵人,但實際上他們卻是朋友。到位的滲透測試可以證明你的防御確實有效,或者查出問題,幫助你阻擋未來攻擊。出錢請自己知道的人來發(fā)現(xiàn)網(wǎng)絡中的漏洞,總比讓自己不知道的人發(fā)現(xiàn)漏洞好得多。
滲透測試也許是你的網(wǎng)絡防御工具箱當中的重要武器之一。應該視之為各種安全審查的一部分,但要確保審查人員勝任這項工作。
專業(yè)服務
滲透測試有時是作為外部審查的一部分而進行的。這種測試需要探查系統(tǒng),以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡服務,并檢查這些網(wǎng)絡服務有無漏洞。你可以用漏洞掃描器完成這些任務,但往往專業(yè)人士用的是不同的工具,而且他們比較熟悉這類替代性工具。
滲透測試的作用一方面在于,解釋所用工具在探查過程中所得到的結果。只要手頭有漏洞掃描器,誰都可以利用這種工具探查防火墻或者是網(wǎng)絡的某些部分。但很少有人能全面地了解漏洞掃描器得到的結果,更別提另外進行測試,并證實漏洞掃描器所得報告的準確性了。
打一個比方來解釋滲透測試的必要性。假設你要修建一座金庫,并且你按照建設規(guī)范將金庫建好了。此時是否就可以將金庫立即投入使用呢?肯定不是!因為還不清楚整個金庫系統(tǒng)的安全性如何,是否能夠確保存放在金庫的貴重東西萬無一失。那么此時該如何做?可以請一些行業(yè)中安全方面的專家對這個金庫進行全面檢測和評估,比如檢查金庫門是否容易被破壞,檢查金庫的報警系統(tǒng)是否在異常出現(xiàn)的時候及時報警,檢查所有的門、窗、通道等重點易突破的部位是否牢不可破,檢查金庫的管理安全制度、視頻安防監(jiān)控系統(tǒng)、出入口控制等等。甚至會請專人模擬入侵金庫,驗證金庫的實際安全性,期望發(fā)現(xiàn)存在的問題。 這個過程就好比是對金庫的滲透測試。這里金庫就像是我們的信息系統(tǒng),各種測試、檢查、模擬入侵就是滲透測試。
滲透測試,是為了證明網(wǎng)絡防御按照預期計劃正常運行而提供的一種機制。不妨假設,你的公司定期更新安全策略和程序,時時給系統(tǒng)打補丁,并采用了漏洞掃描器等工具,以確保所有補丁都已打上。如果你早已做到了這些,為什么還要請外方進行審查或滲透測試呢?因為,滲透測試能夠獨立地檢查你的網(wǎng)絡策略,換句話說,就是給你的系統(tǒng)安了一雙眼睛。而且,進行這類測試的,都是尋找網(wǎng)絡系統(tǒng)安全漏洞的專業(yè)人士。
滲透測試 (penetration test)并沒有一個標準的定義,國外一些安全組織達成共識的通用說法是:滲透測試是通過模擬惡意**的攻擊方法,來評估計算機網(wǎng)絡系統(tǒng)安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。
換句話來說,滲透測試是指滲透人員在不同的位置(比如從內網(wǎng)、從外網(wǎng)等位置)利用各種手段對某個特定網(wǎng)絡進行測試,以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞,然后輸出滲透測試報告,并提交給網(wǎng)絡所有者。網(wǎng)絡所有者根據(jù)滲透人員提供的滲透測試報告,可以清晰知曉系統(tǒng)中存在的安全隱患和問題。
我們認為滲透測試還具有的兩個顯著特點是:滲透測試是一個漸進的并且逐步深入的過程。滲透測試是選擇不影響業(yè)務系統(tǒng)正常運行的攻擊方法進行的測試。
作為網(wǎng)絡安全防范的一種新技術,對于網(wǎng)絡安全組織具有實際應用價值。但要找到一家合適的公司實施滲透測試并不容易。
為了從滲透測試上獲得*大價值,應該向測試組織提供盡可能詳細的信息。這些組織同時會簽署保密協(xié)議,這樣,你就可以更放心地共享策略、程序及有關網(wǎng)絡的其它關鍵信息。
-/gbadeeb/-
http://m.mmsped.com