滲透測試是指道德核客對公司的安全基礎結構進行有計劃的攻擊,以尋找需要修補的安全漏洞。滲透測試是整體安全策略的一部分。
閱讀本文後,您將能夠:
複製文章連結
滲透測試是一項安全演習,由網路安全專家嘗試找到並利用電腦系統中的漏洞。模擬攻擊的目的是識別系統防禦中攻擊者可以利用的薄弱環節。
這就像一家銀行僱用某人打扮成竊賊並試圖闖入他們的建築物並進入金庫。如果「竊賊」得逞並進入銀行或金庫,銀行將獲得有關他們需要如何加強安全措施的寶貴資訊。
滲透測試可協助組織發現系統中原本可能無法發現的漏洞和缺陷。這有助於在攻擊開始前加以阻止,因為組織可以在發現漏洞後進行修復。
滲透測試可以透過發現可能暴露敏感性資料的方式,來協助組織遵守資料安全和隱私法規。這有助於他們保持資料的安全和私密,確保沒有人看到不應看到的敏感性資料。
一些資料法規也要求進行滲透測試。例如,PCI DSS 4.0 版第 11.4 節要求組織使用滲透測試。
最好讓對系統的安全性知之甚少或一無所知的人進行滲透測試,因為他們可能會發現構建系統的開發人員遺漏的盲點。出於這個原因,通常會聘請外部承包商來執行測試。這些承包商通常被稱為「道德駭客」,因為他們受僱在獲得許可的情況下入侵系統,目的是提高安全性。
許多道德駭客都是經驗豐富的開發人員,擁有高級學位和滲透測試認證。另一方面,一些最優秀的道德駭客是自學成才的。事實上,有些駭客是改過自新的犯罪駭客,他們現在利用自己的專業知識來幫助修復安全漏洞,而不是利用它們。根據目標公司和他們想要啟動的滲透測試類型的不同,進行滲透測試的最佳人選可能會有很大差異。
滲透測試從偵察階段開始,在此期間,道德駭客會花時間收集他們將用於計劃模擬攻擊的資料和資訊。之後,重點變成獲得和維持對目標系統的存取權,這需要大量工具。
攻擊工具包括旨在進行暴力密碼破解嘗試或 SQL 資料隱碼攻擊的軟體。還有專門為滲透測試設計的硬體,例如不顯眼的小盒子,可以插入網路中的電腦,為駭客提供對該網路的遠端存取。此外,道德駭客可能會使用社交工程技術來查找漏洞。例如,向公司員工傳送網路釣魚電子郵件,甚至偽裝成送貨員以進入大樓。
駭客在測試結束時會掩蓋自己的足跡;這意味著移除嵌入式硬體,盡一切可能避免偵測,並將目標系統恢復原狀。
完成滲透測試後,道德駭客將與目標公司的安全團隊分享他們的發現結果。然後,安全團隊可以使用這些資訊來實施安全升級,以修補在測試期間發現的所有漏洞。
對於 Web 應用程式,這些升級可能包括限速、新的 WAF 規則和 DDoS 緩解,以及更嚴格的表單驗證和清理。對於內部網路,此類升級可能包括安全 Web 閘道,或轉向 Zero Trust 安全模型。如果道德駭客使用社交工程手段來攻破系統,公司可能會考慮更好地教育員工,或者檢查和升級他們的存取控制系統以防止橫向移動。
Cloudflare 結合使用 Web 應用程式安全性解決方案和 Zero Trust 安全平台來保護公司的應用程式、網路和人員。