|
网络安全渗透测试的类型有很多,其中比较常见的类型大致分为以下7种:网络渗透测试、社会工程渗透测试、Web应用渗透测试、无线网络渗透测试、物理安全渗透测试、云计算渗透测试、红蓝对抗,接下来是具体的内容介绍。 1、网络渗透测试 如果攻击者能够成功闯入公司的网络,其引发的风险将会非常高。网络渗透测试主要指测试人员尝试绕过防火墙、测试路由器、规避入侵检测和防御系统(IPS/IDS)、扫描端口和代理服务,并寻找所有类型的网络漏洞。在实际应用中,网络渗透测试工作主要包括外部网络渗透测试与内部网络渗透测试。 2、社会工程渗透测试 社会工程是网络犯罪分子用来欺骗用户泄露凭据或敏感信息的一种技术。如今,大多数网络安全攻击会从社会工程、网络钓鱼或短信网络钓鱼开始。攻击者通常会联系员工,通过电子邮件、电话、社交媒体及其他方式瞄准那些拥有管理员或高级访问权限的人。通过社会工程渗透测试可以帮助安全团队预先了解组织的人员安全意识状态,并在社会工程攻击期间和之后测试组织安全团队的反应和支持能力。 3、web应用渗透测试 基于Web的应用程序对于几乎每家组织的运营都至关重要。Web应用程序渗透测试侧重于通过Web应用程序呈现给攻击者的攻击面。这些测试类型旨在评估Web应用程序的安全性,并寻找攻击性方法来访问敏感数据,或获得对Web应用程序的控制权限。在此评估期间,组织通常会向测试人员提供凭据访问权限,以审查整个应用程序。 4、无线网络渗透测试 现代企业会高度依赖无线网络来连接端点和物联网设备等,无线网络已成为网络犯罪分子的热门目标,但其应用安全性却常被企业所忽视。覆盖无线安全的渗透测试必须面面俱到,无线网络测试人员需要寻找无线加密中已知的缺陷,试图破解密钥,诱使用户向双面恶魔接入点或被攻击者控制的文件夹提供凭据,并暴力破解登录详细信息。恶意接入点扫描可以通过物理位置和经过身份验证的无线分段测试完成这些评估类型,以确定攻击者在成功连接到环境后可以访问的内容。 5、物理安全渗透测试 并非公司面临的所有威胁都是由外部网络应用所引起,特别是在边缘计算兴起后,很多企业会在接近业务运营的地方建立数据分中心,面向这些中心的物理环境安全测试已变得更加重要。 在物理环境安全测试中,测试人员将会模拟验证大门的安全系统、门禁卡、门锁、摄像头和传感器,并尝试冒充工作人员。他们还会验证当攻击者可以物理访问计算设备、数据中心网络和边缘计算网络时,企业数字化应用系统的安全系数会如何变化。这类测试通常会在安全团队大多数成员完全不知情的情况下执行。 6、云计算渗透测试 私有云和公共云的广泛应用为现代企业组织带来了诸多好处,但也给网络犯罪分子带来了机会。许多组织在云端都存放了大量关键业务数据资产,如果这些资产遭到破坏,会导致业务运营的瘫痪。 虽然云供应商会为企业提供功能强大的配套安全服务,但云渗透测试对企业组织已必不可少。云端渗透测试需要提前通知云提供商,因为系统的某些区域可能禁止白帽黑客访问。 云端的渗透测试必须遵守云服务商给出的统一渗透测试演练规则。而在开始进行测试前,组织也需要详细填写云计算安全渗透测试申请表。云渗透测试的内容主要包括检查云环境的安全性、应用程序及API、访问、存储、加密、虚拟机、操作系统及更新、安全外壳(SSH)、远程桌面协议(RDP)远程管理以及错误配置和密码。 7、红蓝对抗测试 受军事演习活动的启发,在网络安全领域也开始流行基于实战背景的攻防对抗测试演练活动,会组织专业的测试红队充当攻击者,而蓝队主要由企业现有的安全团队组成。这种整体式对抗性测试方法能够确保渗透测试的真实性和有效性,不仅可以评估安全缺陷、漏洞和威胁,还可以评估安全团队的反应能力。 |
|
|
