在企业经过内部自我资产梳理统计和合规性检查后,邀请渗透测试人员对公司的主要互联网资产进行全面性的渗透测试,查找互联网资产的风险。其测试步骤可以分为三个阶段: 第一阶段:渗透测试与公网资产暴露面排查、第二阶段:模拟真实网络对抗,培养蓝队防御能力、夯实基本技能、第三阶段:风险复测、建立健全安全管理制度。第一阶段主要是进行渗透测试与公网资产暴露面排查。 渗透测试人员在对已经梳理好的资产进行渗透测试时应全面覆盖漏洞类型,在关注公网服务器开放危险端口的同时,重点关注能获取权限及敏感数据的漏洞类型。 可重点关注以下漏洞类型:
第二阶段主要进行模拟真实网络对抗,培养蓝队防御能力、夯实基本技能。 在完成第一阶段的渗透测试并对发现的风险点进行修补之后,企业的互联网风险点已经减少,加大了正面攻击的难度。企业可以根据自身条件邀请多支经验丰富的红队人员一同参与红蓝攻防演练,模拟高度仿真的网络攻击行为,以此检测企业内部安全部门的安全事件应急能力。 本阶段的攻防演练突破传统渗透测试的限制,在攻击设备及流量全面审计的前提下,不限攻击路径,不限攻击手段(加入社工钓鱼,近源攻击等手段),进行高仿真模拟演练。 红队人员进行全范围、多层次、多重混合的模拟攻击,以攻击者的角度出发,采用攻击者的思维方式对企业真实线上环境进行攻击测试,并尝试发现不同角度存在的安全漏洞和防护体系缺陷。 企业安全部门的人员与系统运维人员开启主动防御与检测手段,检验企业整体网络“从外到内”、“从内到内”、“从内到外”的安全检测与应急能力。 利用搜集到的企业资产信息,有针对性地对企业外部的Web及其他开放应用服务、网络设备、防火墙规则等进行安全性测试。一旦外部资产存在高危风险缺陷,则可直接从外部攻击企业内部的应用服务器然后获取内部重要数据。利用社会工程学和无线安全测试对企业内部人员和企业无线设备进行安全测试获取企业内部敏感数据。与第一阶段不同的是加入了社工钓鱼、无线等攻击手段。
在内部网络对主机、应用系统、网络设备等进行横向的攻击测试,找出内网存在的安全风险。
在内部网络对主机、应用系统、网络设备等进行控制,尝试反弹shell权限、收集大量重要情报信息等传输到外部网络。
第三阶段主要是进行风险复测、建立健全安全管理制度。1. 本阶段以总结反思为主。通过前两个阶段发现的问题,及时组织红蓝双方进行线上、线下讨论、复盘总结。以多方面的角度了解攻击者的攻击思路、总结日常运营维护的薄弱点、审视安全管理制度的不足之处。对于安全部门和运维部门,应常态化地进行应急演练; 2. 应当在演练结束后及时修复、验证前面演练过程中发现的风险点,举一反三地进行内部其他资产自我排查,避免相同风险点重复出现; 3. 向全体员工开展网络安全意识培训,就本次演练暴露的问题与日常办公实际相结合; 4. 针对演练全流程所暴露的问题,及时制定、完善企业内部的信息安全信管理条令条例。 |
|
来自: kaller_cui > 《网络防御》