什麼是滲透測試？它如何提高網路安全性？

想辦法測試你的安全系統嗎？以下是您需要了解的有關網路滲透測試的資訊。...

在設定新的安全系統時，您需要確保它能夠正常工作，並儘可能減少漏洞。如果涉及價值數千美元的數字資產，你就不能從錯誤中吸取教訓，只能填補駭客先前利用的安全漏洞。

改善和保證網路安全的最佳方法是不斷測試網路，尋找需要修復的缺陷。

什麼是滲透測試(penetration testing)？

那麼什麼是筆試呢？

滲透測試，也稱為pen測試，是一種模擬實際安全事件的分階段網路安全攻擊。模擬攻擊可以針對安全系統的一個或多個部分，尋找惡意駭客可以利用的弱點。

與實際的網路攻擊不同的是，實施攻擊的人是你**的白帽或道德駭客。他們有技能穿透你的防禦，而不是他們的黑帽對手的惡意意圖。

五旬節的型別

根據道德駭客發起的攻擊型別、事先獲得的資訊以及員工設定的限制，pentests的例子多種多樣。

單個pentest可以是主要pentest型別的一個或組合，包括：

內幕訊息

內部人員或內部pentest模擬內部網路攻擊，惡意駭客冒充合法員工，進入公司內部網路。

這依賴於發現內部安全缺陷，如訪問許可權和網路監控，而不是外部安全缺陷，如防火牆、防病毒和端點保護。

外人pentest

顧名思義，這種型別的pentest不允許駭客訪問公司內部網路或員工。這使得他們可以選擇透過公司的外部技術，如公共網站和開放的通訊埠進行駭客攻擊。

外部pentest可以與社會工程pentest重疊，駭客欺騙和操縱員工，允許他們透過外部保護訪問公司的內部網路。

資料驅動的pentest

透過資料驅動的pentest，駭客可以獲得安全資訊和有關目標的資料。這模擬了前僱員或獲得洩露的安全資料的人的攻擊。

盲五分測驗

與資料驅動的測試相反，盲測試意味著駭客除了他們的名字和公開的資訊外，沒有任何關於他們目標的資訊。

雙盲測試

除了測試公司的數字安全措施（硬體和軟體）外，這項測試還包括其安全和IT人員。在這個階段性的攻擊中，公司裡沒有人知道pentest，迫使他們做出反應，好像遇到了惡意的網路攻擊。

這提供了有關公司整體安全和員工準備情況以及兩者如何相互作用的寶貴資料。

滲透測試的工作原理

與惡意攻擊類似，道德駭客也需要精心策劃。有多個步驟道德駭客需要遵循，以確保成功的pentest產生寶貴的見解。下面是對pentest方法的一個見解。

1收集資訊和規劃

無論是盲測試還是資料驅動的pentest，駭客首先需要在一個位置收集目標的資訊，並在目標周圍規劃攻擊點。

2脆弱性評估

第二步是掃描他們的攻擊途徑，尋找漏洞和漏洞加以利用。駭客尋找接入點，然後執行多個小規模的測試，看看安全系統的反應。

三。利用漏洞

在找到正確的入口點後，駭客將試圖滲透其安全性並訪問網路。

這是真正的“駭客”步驟，他們利用一切可能的方式繞過安全協議、防火牆和監控系統。他們可以使用SQL注入、社會工程攻擊或跨站點指令碼等方法。

4保持祕密訪問

大多數現代網路安全防禦系統依賴於探測和保護。為了使攻擊成功，駭客需要在網路中停留足夠長的時間而不被發現，以實現他們的目標，無論是洩漏資料，破壞系統或檔案，或安裝惡意軟體。

5報告、分析和修復

在攻擊成功與否結束後，駭客將向他們的僱主報告他們的發現。然後，安全專業人員分析攻擊資料，將其與監控系統報告的資料進行比較，並實施適當的修改以提高安全性。

6沖洗並重復

通常還有第六步，公司透過進行另一次滲透測試來測試他們對安全系統所做的改進。如果他們想測試資料驅動的攻擊或者另一個用於盲目測試的攻擊，他們可能會**相同的道德駭客。

道德駭客工具包

道德駭客不僅僅是一種技能職業。大多數有道德的駭客使用專門的作業系統和軟體，使他們的工作更容易，避免手動錯誤，使每個pentest的所有。

那麼筆測試駭客用什麼呢？這裡有幾個例子。

鸚鵡安全作業系統

Parrot Security是一個基於Linux的作業系統，設計用於滲透測試和漏洞評估。它對雲友好，易於使用，並支援各種開源pentest軟體。

實時駭客作業系統

同樣是一個Linux作業系統，Live-Hacking也是一個熱門話題，因為它輕量級，對硬體要求不高。它還預裝了滲透測試和道德駭客攻擊的工具和軟體。

掃描器

Nmap是一個開源智慧（OSINT）工具，它可以監視網路，收集和分析有關裝置主機和伺服器的資料，對黑、灰、白帽駭客都很有價值。

它也是跨平臺的，適用於Linux、Windows和macOS，因此是初學者的理想選擇。

韋伯沙格

WebShag也是一個OSIT工具。它是一個系統審計工具，它掃描HTTPS和HTTP協議，並收集相關資料和資訊。它被道德駭客透過公共網站表演外人的閣樓使用。

去哪裡做滲透測試

鋼筆測試你自己的網路不是最好的選擇，因為你可能有廣泛的知識，使它更難跳出框框思考和發現隱藏的漏洞。你要麼**一個獨立的道德駭客，要麼**一家提供筆試服務的公司。

儘管如此，**一個局外人入侵你的網路還是非常危險的，尤其是當你向他們提供安全資訊或內部訪問許可權時。這就是為什麼你應該堅持信任的第三方提供商。這裡有一個小樣本。

哈克龍

HackerOne是一家總部位於舊金山的公司，提供滲透測試、漏洞評估和協議符合性測試服務。

科學軟體

ScienceSoft位於德克薩斯州，提供漏洞評估、pen測試、合規性測試和基礎設施審計服務。

拉克西斯

總部設在佐治亞州亞特蘭大的Raxis提供了從pen測試和安全程式碼審查到事件響應培訓、脆弱性評估和社會工程預防培訓的寶貴服務。

充分利用滲透測試

雖然筆試還相對較新，但它提供了駭客攻擊時大腦運作的獨特見解。這是即使是最熟練的網路安全專業人員也無法提供的寶貴資訊。

筆試是避免成為黑帽駭客攻擊目標並遭受後果的唯一方法。

圖片來源：Unsplash。

發表於 2021-03-28 16:16
閱讀 ( 51 )
分類：安全

你可能感興趣的文章

滲出液(exudate)和滲出液(transudate)的區別

...液和滲出液之間的關鍵區別。目錄 1.概述和主要區別 2. 什麼是滲出液 3. 什麼是滲出液 4. 滲出液和滲出液的相似性 5.並列比較-滲出液與滲出液的表格形式 6. 摘要什麼是滲出物(exudate)？滲出液是一種富含蛋白質和其他細胞成分...

發佈於 2020-09-30 22:07
閲讀 ( 74 )

滲透(osmosis)和反滲透(reverse osmosis)的區別

...細說明滲透和反滲透的區別。目錄 1. 概述和主要區別 2. 什麼是滲透 3. 什麼是反滲透 4. 滲透與反滲透的相似性 5. 並列比較-表格式的滲透與反滲透 6. 摘要什麼是滲透(o**osis)？滲透是一種自然現象，經常發生在所有生物身上。...

發佈於 2020-10-18 01:57
閲讀 ( 51 )

滲透調節器(osmoregulators)和奧斯莫康公式(osmoconformers)的區別

...這種環境中的生物體的命運。目錄 1. 概述和主要區別 2. 什麼是滲透調節器 3. 什麼是O**oconformers 4. 滲透調節器和滲透調節器的相似性 5. 並列比較——O**oregulators與O**oconformers的表格形式 6. 摘要什麼是滲透調節器(o**oregulators)？ ...

發佈於 2020-10-18 20:21
閲讀 ( 73 )