滲透測(cè)試旨在證明,網(wǎng)絡(luò)防御機(jī)制的運(yùn)行與你認(rèn)為的一樣良好。往往系統(tǒng)和網(wǎng)絡(luò)管理員視審查人員或滲透人員為敵人,但實(shí)際上他們卻是朋友。到位的滲透測(cè)試可以證明你的防御確實(shí)有效,或者查出問題,幫助你阻擋未來攻擊。出錢請(qǐng)自己知道的人來發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞,總比讓自己不知道的人發(fā)現(xiàn)漏洞好得多。
滲透測(cè)試也許是你的網(wǎng)絡(luò)防御工具箱當(dāng)中的重要武器之一。應(yīng)該視之為各種安全審查的一部分,但要確保審查人員勝任這項(xiàng)工作。
專業(yè)服務(wù)
滲透測(cè)試有時(shí)是作為外部審查的一部分而進(jìn)行的。這種測(cè)試需要探查系統(tǒng),以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù),并檢查這些網(wǎng)絡(luò)服務(wù)有無漏洞。你可以用漏洞掃描器完成這些任務(wù),但往往專業(yè)人士用的是不同的工具,而且他們比較熟悉這類替代性工具。
滲透測(cè)試的作用一方面在于,解釋所用工具在探查過程中所得到的結(jié)果。只要手頭有漏洞掃描器,誰都可以利用這種工具探查防火墻或者是網(wǎng)絡(luò)的某些部分。但很少有人能全面地了解漏洞掃描器得到的結(jié)果,更別提另外進(jìn)行測(cè)試,并證實(shí)漏洞掃描器所得報(bào)告的準(zhǔn)確性了。
打一個(gè)比方來解釋滲透測(cè)試的必要性。假設(shè)你要修建一座金庫,并且你按照建設(shè)規(guī)范將金庫建好了。此時(shí)是否就可以將金庫立即投入使用呢?肯定不是!因?yàn)檫€不清楚整個(gè)金庫系統(tǒng)的安全性如何,是否能夠確保存放在金庫的貴重東西萬無一失。那么此時(shí)該如何做?可以請(qǐng)一些行業(yè)中安全方面的專家對(duì)這個(gè)金庫進(jìn)行全面檢測(cè)和評(píng)估,比如檢查金庫門是否容易被破壞,檢查金庫的報(bào)警系統(tǒng)是否在異常出現(xiàn)的時(shí)候及時(shí)報(bào)警,檢查所有的門、窗、通道等重點(diǎn)易突破的部位是否牢不可破,檢查金庫的管理安全制度、視頻安防監(jiān)控系統(tǒng)、出入口控制等等。甚至?xí)?qǐng)專人模擬入侵金庫,驗(yàn)證金庫的實(shí)際安全性,期望發(fā)現(xiàn)存在的問題。 這個(gè)過程就好比是對(duì)金庫的滲透測(cè)試。這里金庫就像是我們的信息系統(tǒng),各種測(cè)試、檢查、模擬入侵就是滲透測(cè)試。
滲透測(cè)試,是為了證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制。不妨假設(shè),你的公司定期更新安全策略和程序,時(shí)時(shí)給系統(tǒng)打補(bǔ)丁,并采用了漏洞掃描器等工具,以確保所有補(bǔ)丁都已打上。如果你早已做到了這些,為什么還要請(qǐng)外方進(jìn)行審查或滲透測(cè)試呢?因?yàn)椋瑵B透測(cè)試能夠獨(dú)立地檢查你的網(wǎng)絡(luò)策略,換句話說,就是給你的系統(tǒng)安了一雙眼睛。而且,進(jìn)行這類測(cè)試的,都是尋找網(wǎng)絡(luò)系統(tǒng)安全漏洞的專業(yè)人士。
滲透測(cè)試 (penetration test)并沒有一個(gè)標(biāo)準(zhǔn)的定義,國(guó)外一些安全組織達(dá)成共識(shí)的通用說法是:滲透測(cè)試是通過模擬惡意**的攻擊方法,來評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。這個(gè)過程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析,這個(gè)分析是從一個(gè)攻擊者可能存在的位置來進(jìn)行的,并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。
換句話來說,滲透測(cè)試是指滲透人員在不同的位置(比如從內(nèi)網(wǎng)、從外網(wǎng)等位置)利用各種手段對(duì)某個(gè)特定網(wǎng)絡(luò)進(jìn)行測(cè)試,以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞,然后輸出滲透測(cè)試報(bào)告,并提交給網(wǎng)絡(luò)所有者。網(wǎng)絡(luò)所有者根據(jù)滲透人員提供的滲透測(cè)試報(bào)告,可以清晰知曉系統(tǒng)中存在的安全隱患和問題。
我們認(rèn)為滲透測(cè)試還具有的兩個(gè)顯著特點(diǎn)是:滲透測(cè)試是一個(gè)漸進(jìn)的并且逐步深入的過程。滲透測(cè)試是選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測(cè)試。
作為網(wǎng)絡(luò)安全防范的一種新技術(shù),對(duì)于網(wǎng)絡(luò)安全組織具有實(shí)際應(yīng)用價(jià)值。但要找到一家合適的公司實(shí)施滲透測(cè)試并不容易。
為了從滲透測(cè)試上獲得*大價(jià)值,應(yīng)該向測(cè)試組織提供盡可能詳細(xì)的信息。這些組織同時(shí)會(huì)簽署保密協(xié)議,這樣,你就可以更放心地共享策略、程序及有關(guān)網(wǎng)絡(luò)的其它關(guān)鍵信息。
-/gbadeeb/-
http://4koz.com