菜单

打电话给我们 03450 21 21 51

渗透测试– a test of faith?
SRM.博客

渗透测试– a test of faith?

SRM.

写道 SRM.

2016年2月26日

分享这篇文章

由Kane Cudler,PCI QSA,Tiger QSTM,CEH

虽然统计数据显示,跳伞是一个相对安全的消遣,事情有时会出错。自2004年以来,653人失去了生命,尽管有改善的安全指导,但世界上跳伞运动员遭受的四个死亡人数中的两个是降落伞故障的结果。这对渗透测试的相关性可能看起来吞噬,但考虑到这一点:失去生活的每个人几乎肯定肯定有信心。以同样的方式,管理组织的人们可能有信心他们的网络安全是安全的,但证据证明,在未经测试的环境中的信仰并不总是放置。

因此,在考虑风险问题时,负责网络安全的人应确保任何保护申请和基础设施计划的有效性超出了简单的信仰。这 渗透试验 是在此保障过程中的一个重要工具。但在考虑到渗透测试的情况下,值得看看它不是什么。它不是漏洞扫描,合规审计或安全评估;通过几种批判方式,渗透测试脱离这些努力。

渗透测试在简单地发现漏洞时不会停止:它通过积极利用这些漏洞来证明(或反驳)针对组织的IT资产,数据,人类和/或物理安全性的现实世界攻击向量来实现下一步。简单兼容并不能确保真实的保护。

渗透测试旨在回答这个问题:'什么是 真实世界 我现有的安全控制对活跃,人类熟练的攻击者的有效性?“自动化工具和流程框架可能会提供一定程度的保证,但它们不允许武装有动机和决心的人类心灵的无限灵活性。所以这是人类的思想,也是最有效的防守。测试人员的个人或团队能够横向思考;他们都可以分析和综合。即使是高度自动化,资源良好的和高级网络,采用复杂的反措施技术,而作为测试过程的一部分,也不适用于人类智能。

一些自动渗透测试通过一个向量限制其范围仅为一个目标。完全渗透测试允许对同一目标进行探索的多个攻击向量。通常它是不同系统中的信息或漏洞的组合,这将导致成功的妥协。虽然自动化测试可能已经提供了一些有价值的结果,但这些结果仅在对测试进行的同一上下文中有用。

正确执行的渗透测试将确定特定一组攻击向量的可行性。它将确定由特定序列中利用的低风险漏洞组合产生的更高风险漏洞。它将识别可能困难或无法使用自动网络或应用程序漏洞扫描软件检测漏洞,并将评估任何成功攻击的潜在业务和操作影响的幅度。但是为了真正有效,建立了一开始的渗透试验的范围是关键。

范围将取决于该组织的驱动程序,这些都将确定所规定的目标。这些驱动程序还可能影响参与的其他方面,例如目标选择范围,假设,甚至限制测试团队必须探索和妥协组织资产的时间的资金天花板。

确定组织合适渗透测试的重要性及其范围不能夸大。最终,如果我们关心人们和数据的安全,那就是真正的世界威胁,而不是任何箱子滴答锻炼。