似乎每天早上都会有关于最新网络安全攻击的新标题. 黑客继续以惊人的频率窃取数百万条记录和数十亿美元. 对付他们的关键是全年进行彻底的渗透测试.
Penetration testing is designed to assess your security before an attacker does. 渗透测试工具模拟真实世界的攻击场景,以发现和利用可能导致记录被盗的安全漏洞, compromised credentials, intellectual property, personally identifiable information (PII), cardholder data, personal, protected health information, data ransom, or other harmful business outcomes. By exploiting security vulnerabilities, 渗透测试可以帮助您确定如何最好地减轻和保护您的重要业务数据免受未来的网络安全攻击.
对于任何典型的渗透测试,必须完成五个关键阶段:
Before any action can be taken by a penetration testing team, 必须对潜在目标完成适当的信息收集. 这段时间对于制定攻击计划至关重要,并且是整个交战的集结地.
Following the reconnaissance stage, 对目标执行一系列扫描,以破译他们的安全系统将如何应对多次入侵企图. The discovery of vulnerabilities, open ports, 网络基础设施中的其他薄弱环节可以决定渗透测试人员将如何继续进行计划中的攻击.
一旦收集到数据,渗透测试人员就会利用常见的web应用程序攻击,例如 SQL Injection and Cross-Site Scripting to exploit any present vulnerabilities. Now that access has been obtained, 测试人员试图模拟恶意攻击可能产生的潜在损害的范围.
这个阶段的主要目标是在目标环境中实现一种持续存在的状态. As time progresses, 在整个被利用的系统中收集了更多的数据,这使得测试人员可以模拟高级的持续威胁.
Finally, once the engagement is complete, any trace of the attack must be eliminated to ensure anonymity. Log events, scripts, 而其他可以被目标发现的可执行文件应该是完全不可追踪的. 将与目标共享一份全面的报告,其中包含对整个参与过程的深入分析,以突出关键漏洞, gaps, the potential impact of a breach, and a variety of other essential security program components.
渗透测试可以在内部由您自己的专家使用 pen testing tools, or you can outsource to a penetration testing services provider. 渗透测试首先由安全专业人员列举目标网络,以查找易受攻击的系统和/或帐户. 这意味着扫描网络上的每个系统,寻找正在运行服务的开放端口. 在整个网络中正确配置每个服务的情况极为罕见, properly password-protected, and fully patched. 一旦渗透测试人员对网络和存在的漏洞有了很好的理解, 他/她将使用渗透测试工具来利用漏洞以获得不受欢迎的访问.
Security professionals do not just target systems, however. Often, a pen tester targets users on a network through phishing emails, pre-text calling, or onsite social engineering.
Your users present an additional risk factor as well. 通过人为错误或泄露凭证攻击网络并不是什么新鲜事. 如果说持续不断的网络安全攻击和数据泄露教会了我们什么, 黑客进入网络并窃取数据或资金的最简单方法仍然是通过网络用户.
凭证泄露是年复一年报告的数据泄露的首要攻击媒介, a trend proven by the Verizon Data Breach Report. 渗透测试的部分工作是解决上述由用户错误引起的安全威胁. 渗透测试人员将尝试对发现的帐户进行强力密码猜测,以获得对系统和应用程序的访问权. While compromising one machine can lead to a breach, 在现实场景中,攻击者通常会使用横向移动来最终降落在关键资产上.
测试网络用户安全性的另一种常用方法是模拟网络钓鱼攻击. Phishing attacks 使用个性化的沟通方法来说服目标做一些不符合他们最佳利益的事情. For example, 网络钓鱼攻击可能会让用户相信是时候“强制重置密码”了,并点击嵌入的电子邮件链接. 无论是点击恶意链接删除恶意软件,还是简单地为攻击者提供了窃取凭据以备将来使用的机会, a phishing attack is one of the easiest ways to exploit network users. 如果你想测试你的用户对网络钓鱼攻击的意识, 确保您使用的渗透测试工具具有这些功能.
A penetration test is a crucial component to network security. Through these tests a business can identify:
Through penetration testing, 安全专家可以有效地发现和测试多层网络架构的安全性, custom applications, web services, and other IT components. 这些渗透测试工具和服务帮助您快速了解风险最高的领域,以便您可以有效地规划安全预算和项目. 全面测试企业的IT基础设施对于采取预防措施保护重要数据免受网络黑客攻击至关重要, 同时在发生攻击时提高IT部门的响应时间.