渗透测试是什么?

 

渗透测试(Penetration Test)是委任受信任的第三方进行一种评估网路安全的活动,它透过对企业网路进行各种手段的攻击来找出系统存在的漏洞,进而验证出网路系统存在安全风险的一种实践活动。渗透测试透过模拟的真实攻击行为,可证实恶意攻击者有可能窃取或破坏企业的数位设备、资产、资讯与资料。

 

渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客攻击方法来评估计算机网络系统安全的一种评估方法。这个过程包括对系统任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

 

渗透测试大多数情况下是一种秘密测试,大多数由技术顾问人员或者内部技术人员扮演恶意攻击者,攻击系统等层面安全性。因为最终目的是渗透来验证安全性,所以这种测试除了参与人员外通常不会全面发出事前的警告(如果会那就不要渗透而叫做演习了)。

 

理论上,如果企业外包了渗透测试,客户应该让技术顾问知道具体的目的是什么,而不是漫无目标地在提供的范围内乱逛。当然这牵涉到测试的类型:黑箱、白箱、灰箱。但不管是怎样的测试类型还是必须制定停止检测的具体目标,毕竟渗透测试并无法包山包海包到好。

 

 

而目前,为什么渗透测试不如它说明的那么有用?

因为它具体目标是从攻击来验证安全性。为了这么做,这个团队要鉴别可能的漏洞,重点是那些从骇客的角度认为会产生攻击结果,而不太可能会被开发者察觉到的。在这一点上,客户可以看到结果对这些漏洞的攻击可以产生什么样的破坏。但是,在运行测试时候,测试人员并不会发现所有漏洞,甚至不能确定测试可能检测到所有漏洞的存在 (因为这并不是在进行弱点扫描),渗透测试所能够证明的是系统可以被攻击。它并非是针对每一个漏洞进行记录,顶多纪录那些在测试中被利用的漏洞。虽然渗透测试可以推断出整体进行的安全防护问题,但是任何渗透测试人员都无法保证已经鉴别了客户所有的安全问题甚至是大部分的问题尤其是跟人员管控相关的。

 

既然如此,那么渗透测试有什么作用呢?

执行及管控良好的渗透测试可以证明各种内部原因所产生的不安全设定与系统配置,没有安全专责单位的企业需要有说服力的第三方观点来说明不充分安全配置可能导致重大损失。而渗透测试就是要将可能的损失以强而有力并生动的证明出来,要显现出企业电脑被攻击的事实。渗透测试仍然是发现网络安全薄弱环节重要方法,这需要花费大量的时间与努力,如果没有指定出如何使用测试结果策略,那么进行测试是没有意义的。只有通过确认测试范围、验证结果、运用指标对它们的严重性进行分类、清楚简明地报告发现结果,才能真正反映出公司当前的网络安全风险状况。

 

 

更多讨论在点我进入,面子书群组点我进入