什麼是滲透測試?| 什麼是滲透測試?

滲透測試是指道德核客對公司的安全基礎結構進行有計劃的攻擊,以尋找需要修補的安全漏洞。滲透測試是整體安全策略的一部分。

學習目標

閱讀本文後,您將能夠:

  • 定義滲透測試
  • 概述滲透測試的過程
  • 說明如何使用滲透測試來建議新的安全功能

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是滲透測試?

滲透測試是一項安全演習,由網路安全專家嘗試找到並利用電腦系統中的漏洞。模擬攻擊的目的是識別系統防禦中攻擊者可以利用的薄弱環節。

這就像一家銀行僱用某人打扮成竊賊並試圖闖入他們的建築物並進入金庫。如果「竊賊」得逞並進入銀行或金庫,銀行將獲得有關他們需要如何加強安全措施的寶貴資訊。

為什麼滲透測試很重要?

滲透測試可協助組織發現系統中原本可能無法發現的漏洞和缺陷。這有助於在攻擊開始前加以阻止,因為組織可以在發現漏洞後進行修復。

滲透測試與合規性

滲透測試可以透過發現可能暴露敏感性資料的方式,來協助組織遵守資料安全和隱私法規。這有助於他們保持資料的安全和私密,確保沒有人看到不應看到的敏感性資料。

一些資料法規也要求進行滲透測試。例如,PCI DSS 4.0 版第 11.4 節要求組織使用滲透測試。

提高安全性
抵禦「十大」攻擊技術

由誰來進行滲透測試?

最好讓對系統的安全性知之甚少或一無所知的人進行滲透測試,因為他們可能會發現構建系統的開發人員遺漏的盲點。出於這個原因,通常會聘請外部承包商來執行測試。這些承包商通常被稱為「道德駭客」,因為他們受僱在獲得許可的情況下入侵系統,目的是提高安全性。

許多道德駭客都是經驗豐富的開發人員,擁有高級學位和滲透測試認證。另一方面,一些最優秀的道德駭客是自學成才的。事實上,有些駭客是改過自新的犯罪駭客,他們現在利用自己的專業知識來幫助修復安全漏洞,而不是利用它們。根據目標公司和他們想要啟動的滲透測試類型的不同,進行滲透測試的最佳人選可能會有很大差異。

白皮書
PCI DSS 4.0 的策略方法

滲透測試有哪些類型?

  • 開放滲透測試:在開放測試中,駭客將提前獲得有關目標公司安全資訊的一些資訊。
  • 封閉滲透測試:也稱為「單盲」測,在這種測試中,除了目標公司的名稱之外,駭客不會得到任何背景資訊。
  • 隱蔽式滲透測試:也稱為「雙盲」滲透測試,在這種情況下,公司中幾乎沒人意識到正在進行滲透測試,包括將回應攻擊的 IT 和安全專業人員。在隱蔽式測試中,駭客有必要事先以書面形式確定測試的範圍和其他細節,這樣才能避免執法方面的問題。
  • 外部滲透測試:在外部測試中,道德駭客需要破壞公司的外部技術,例如其網站和外部網路伺服器。在某些情況下,駭客甚至不能進入公司建築物。這可能意味著他們要從遠端位置進行攻擊,或者從停在附近的卡車或貨車中進行測試。
  • 內部滲透測試:在內部測試中,道德駭客從公司的內部網路執行測試。這種測試可用於確定心懷不滿的員工可能會從公司防火牆之後造成多大的損害。

典型的滲透測試是如何進行的?

滲透測試從偵察階段開始,在此期間,道德駭客會花時間收集他們將用於計劃模擬攻擊的資料和資訊。之後,重點變成獲得和維持對目標系統的存取權,這需要大量工具。

攻擊工具包括旨在進行暴力密碼破解嘗試SQL 資料隱碼攻擊的軟體。還有專門為滲透測試設計的硬體,例如不顯眼的小盒子,可以插入網路中的電腦,為駭客提供對該網路的遠端存取。此外,道德駭客可能會使用社交工程技術來查找漏洞。例如,向公司員工傳送網路釣魚電子郵件,甚至偽裝成送貨員以進入大樓。

駭客在測試結束時會掩蓋自己的足跡;這意味著移除嵌入式硬體,盡一切可能避免偵測,並將目標系統恢復原狀。

滲透測試之後會發生什麼?

完成滲透測試後,道德駭客將與目標公司的安全團隊分享他們的發現結果。然後,安全團隊可以使用這些資訊來實施安全升級,以修補在測試期間發現的所有漏洞。

對於 Web 應用程式,這些升級可能包括限速、新的 WAF 規則和 DDoS 緩解,以及更嚴格的表單驗證和清理。對於內部網路,此類升級可能包括安全 Web 閘道,或轉向 Zero Trust 安全模型。如果道德駭客使用社交工程手段來攻破系統,公司可能會考慮更好地教育員工,或者檢查和升級他們的存取控制系統以防止橫向移動

Cloudflare 結合使用 Web 應用程式安全性解決方案Zero Trust 安全平台來保護公司的應用程式、網路和人員。