渗透测试方法论

渗透测试(penetration testing,pentest)是实施安全评估(即审计)的具体手段,方法论是指,实施信息安全审计方案时需要遵循的规则,惯例和过程,人们在评估网络应用、系统或者三者组合的安全状况时,不断摸索务实的理念和成熟的做法,并总结了一套理论—渗透测试方法论。

渗透测试种类
黑盒测试(模拟黑客测试)
黑盒测试时,安全审计员在不清楚被测单位的内部技术构成的情况下,从外部评估网络基础设施的安全性。在渗透测试的各个阶段,黑盒测试借助真实世界的黑客技术,暴露出目标的安全问题,甚至可以揭露尚未被他人利用的安全弱点。渗透测试人员应能理解安全弱点,将之分类并按照风险等级(高、中、低)对其排序。通常情况来说,风险级别取决于相关可能形成危害的大小。老练的渗透测试专家应能够确定可引发安全事故的所有攻击模式,当测试人员完成黑盒测试的所有测试工作后,他们会把与测试对象安全状况有关的必要信息进行整理,并使用业务的语言描述这些被识别出来的风险,继而将之汇总为书面报告。黑盒测试的市场报价通常会高于白盒测试。

白盒测试(源代码审计)
白盒测试审计员可以获取被测单位单位的各种内部资源,甚至不公开资源,所以渗透测试人员的视野更为开阔。若以白盒测试的方法评估安全漏洞,测试人员可以以最小的工作量达到最高的评估精确度。白盒测试从被测系统环境自身出发,全面清除内部安全问题,从而增加了从单位外部渗透系统的难度,黑盒测试起不到这样的作用。白盒测试所需要的步骤不相上下,另外,若能将白盒测试与常规的研发生命周期相结合,就可以在入侵者发现甚至利用安全弱点之前,尽可能最早地消除相关安全隐患。使得白盒测试时间、成本以及发现,解决安全弱点的技术门槛低于黑盒

脆弱性评估(漏洞扫描(安全弱点))
脆弱性评估通过分析企业资产面临安全威胁的情况和程度,评估内部和外部的安全机制和安全性。这种技术上的信息系统评估不仅揭露现有防范措施里存在的风险,而且提出多重备选的补救策略,并将这些策略进行比较。内部的脆弱性评估可以保证内部系统的安全性,而外部的脆弱性评估则时验证边界防护(perimeter defenses)的有效性。无论进行内部脆弱性评估还是外部脆弱性,评估人员都会采用各种攻击模式来严格测试网络资产的安全性,从而验证信息系统处理安全威胁的能力,进而确定应对措施的有效性。不同类型的脆弱性评估需要的测试流程、测试工具和自动测试技术也不相同,这可以通过一体化的安全弱点管控平台来实现,现在的安全弱点管理平台可自动更新漏洞数据库,能测试不同类型的网络设备,而且不会影响配置和变更管理的完整性。

脆弱性评估与渗透测试的区别
两种最大的区别就是:渗透测试不仅要识别目标的弱点,它还涉及在目标系统上进行漏洞利用,权限提升和访问维护。换句话说,脆弱性评估虽然可以充分发现系统里的缺点,但是不会考虑去衡量这些缺点对系统造成的危害。另外相比脆弱性评估,渗透测试更倾向于入侵,会刻意利用各种技术手段利用安全漏洞。所有渗透测试可能会对生产环境带来实际的破坏性影响,而脆弱性评估以非入侵的方式,定性定量的识别已知安全弱点。

渗透测试执行标准
渗透测试执行标准(Penetration Testing Execution Standard,PTES)的先驱都是渗透测试行业的精英,这个标准由渗透测试7个阶段的标准组成,可以在任意环境中进行富有成果的渗透测试。

7个阶段包括:

  1. 事前互动
  2. 情报收集
  3. 威胁建模
  4. 漏洞分析
  5. 漏洞利用
  6. 深度利用
  7. 书面报告

主要特点与优势:

  1. 它是非常全面的渗透测试框架,涵盖了渗透测试的技术方面和其他重要方面,如范围蔓延(scopecreep)、报告以及渗透测试人员保护自身的方法。
  2. 它介绍了多种渗透测试任务的具体方案,可以指导你准确测试目标通信的安全状态。
  3. 它汇聚了多么日行一“渗”的渗透测试专家的丰富经验
  4. 它包含了最常用的以及很罕见的相关技术
  5. 浅显易懂,可根据测试工作的需求对相应的测试步骤进行调整。
Last modification:May 9th, 2020 at 07:59 pm