安全研究 >> 安全研究详情

渗透测试为什么是企业的必做安全项目?

作者: 美创科技安全实验室发布日期: 12月18日

Q1 为什么要做渗透测试 ?

随着国家层面对信息安全领域的重视以及勒索病毒的肆虐,很多企业也开始重视安全体系的建设。但国内安全领域人才的短缺,往往很多企业接手安全建设的人员是由原来信息部或者运维部门转岗而来,刚刚接手这个工作,可能会一头雾水!


安全设备那么多,安全预算又有限,不能一下子全部上齐,那我应该首先从哪一块入手呢? 

短板效应我们都听说过,其实在安全领域也有这个说法。一个企业的信息系统涉及方方面面,存在问题的地方也会很多。在安全建设初期,我们首先应该对我们的信息系统有一个全方位的安全认识,到底哪些方面是存在问题,重要且紧急的?哪些问题是重要但可以放一放的?在对信息系统有一个全局的安全认识之后,再根据安全问题去针对性的解决,以有限的预算尽可能的解决多而紧急的问题!


渗透测试就是这样一种可以对整体信息系统有一个具体的安全认识的服务。

 

Q2 什么是渗透测试?

渗透测试是指由专业的安全专家(渗透测试人员),完全模拟黑客的攻击方法,来评估信息系统安全的一种方法。在这个过程中,安全专家会对信息系统的任何弱点进行测试,如操作系统、Web服务、服务器的各种应用漏洞等,从而发现系统的脆弱点。这些脆弱点往往都是黑客或者勒索病毒经常利用的点,如肆虐全球的WannaCry,就利用了windows本身的漏洞(MS17-010),通过这个漏洞,勒索病毒在内网大范围的传播。

WannaCry勒索


通过渗透测试,就可以及时发现这类相关问题,在源头上堵住勒索病毒。Web应用的渗透测试的一个流程图:

web测试图


像在Web层,我们可能经常听到SQL注入漏洞,这个漏洞危害性之高就不必说了。但这种漏洞在Web测试中仅仅只是一个点而已。通过安全专家的渗透测试,最终可以得到一份完整的有关于信息系统的漏洞点以及相关修复方案的报告!有所依,才有所防,安全建设才不会找不到方向! 


Q3 渗透测试流程 


信息收集

在确定了渗透测试目标以及范围之后,渗透测试人员需要使用各种公开的资源尽可能的获取与测试目标相关的信息。可以借助互联网进行信息收集,比如说:官方网站、论坛、博客等渠道。也可以借助各大搜索引擎来获取相关信息,比如说:Google、Baidu等。同时还可以借助Kali Linux中的一些工具来对DNS信息、注册人信息、服务信息、WAF信息等进行收集。在这个阶段收集到的信息越充分对之后的渗透测试越有利,渗透测试的成功率也大大提高。 


漏洞分析

在这一个阶段,渗透测试人员需要综合分析之前信息收集阶段所获取到的信息,特别是系统类型、系统开启的服务、漏洞扫描的结果等信息,通过可以获取的渗透代码资源找出可以实施渗透攻击的攻击点,并在测试过程中进行验证。在这一阶段渗透测试人员不仅需要验证系统是否存在已知的漏洞,同时也需要去挖掘系统一些潜在的漏洞,并且开发出相应的漏洞利用代码。 


渗透攻击

在仔细检查和发现目标系统中的漏洞之后,就可以使用已有的漏洞利用程序对目标系统进行渗透了。但是在一般情况下渗透测试人员都需要考虑到目标系统的环境对漏洞利用程序(exploit)进行修改和额外的研究,否则它就无法正常工作。同时在该阶段也要考虑到对目标系统的安全机制的逃逸,从而避免让目标系统发觉。 


后渗透攻击

在这个环节中,需要渗透测试团队根据目标组织的业务经营模式、资产保护模式和安全防御规划的不同特点,资助设计出攻击目标,识别关键基础设施,并寻找客户组织组织最具价值和尝试安全保护的信息和资产,最终达到能够对客户组织造成最重要业务影响的攻击途径。


书面报告

整个渗透测试的过程最终需要以书面文档的形式向客户提交,这份报告也就是我们常说的渗透测试报告。这份报告涵盖了之前所有阶段中渗透测试团队所获取的到各种有价值信息以及探测和挖掘出来的相关安全漏洞、成功攻击的过程,以及对业务造成的影响后果分析。同时在这个阶段也要对系统中存在的脆弱环节、存在的安全问题给出修复建议。 


Q4 谁需要渗透测试?

1、安全建设刚起步阶段的企业:通过渗透测试认识到信息系统的薄弱点,及时性地修复一些勒索病毒经常利用的漏洞,并以渗透测试报告为依据做信息系统的整体安全规划。


2、安全建设基本完成的企业:很多企业,买了很多安全设备,但是不是安全设备上了就安全了呢?安全设备是不是真的能起到作用呢?安全设备是不是覆盖到每一个可能存在风险的业务了呢?通过第三方安全专家的渗透测试,查漏补缺,从而看到建设方可能忽视掉的地方。这一块,目前大的互联网公司做的比较好,都会有自己的应急响应中心(SRC),去鼓励民间的安全人员对自己的业务进行安全测试,如腾讯安全应急中心(TSRC)。


服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1