什么是渗透测试？

什么是渗透测试？

到目前为止，大多数人对互联网安全原则和概念都有基本的了解。例如，企业环境中的大多数用户可以告诉“网络钓鱼”、“合规”和“勒索软件”是什么；如果你问他们什么是渗透测试，答案往往会变得不那么清楚。商业世界中一小部分人熟悉渗透测试，了解渗透测试的真正含义以及它可以为任何组织带来的价值以及在市场上取得长期成功的人数要少得多。

许多组织会出于各种原因聘请第三方网络安全公司进行渗透测试，例如 PCI-DSS 合规性或客户要求。但是，这些组织中的许多组织对所涉及的技术、有效范围的含义以及如何区分强大的渗透测试协议与相对较弱的协议的理解非常薄弱。

消除混乱

简而言之，渗透测试是一种使用自动化工具、手动技术和程序的安全测试，如果他们的目标是攻击企业组织，现实世界的黑客会使用这些工具。渗透测试人员，也称为道德黑客，是技术娴熟的人，他们将寻求利用企业防御中任何级别的安全漏洞，以便在公司网络中站稳脚跟。

从那里，渗透测试人员将尝试利用该立足点在网络中横向移动，获得具有更大权限的凭据，直到他们能够完成他们的目标，这可能是控制网络和知识产权。这样做，他们实际上能够指出漏洞在哪里，这样就可以在真正的恶意方能够之前修复它们。

渗透测试本身实际上是一个总称，包括探测外部和内部网络、Web 应用程序，甚至是网络钓鱼、尾随和其他物理攻击等社会工程技术。

了解渗透测试不仅仅是运行自动化漏洞扫描程序并为客户提供包含误报和误报的未经验证结果的报告，这一点非常重要。如果漏洞扫描是由可能扫描端口、网络和应用程序的漏洞的自动化工具生成的，那么熟练的渗透测试人员将使用漏洞扫描作为工具；他们可以在目标中利用的工具，但他们的工作远远超出了自动扫描仪的深度和理解力。运行漏洞扫描后，为了突出潜在漏洞，渗透测试人员将遵循逻辑方法，努力利用真正的黑客可能用来侵入系统的所有攻击向量。

更深入的是被称为基于目标的渗透测试的红队过程。基于目标的渗透测试，俗称 OBPT 渗透测试，比漏洞扫描和渗透测试更进一步，可以包括社会工程技术，如网络钓鱼和欺骗性电话，以及物理安全攻击，如尾随、卡克隆和设备掉落。这种测试允许对组织的安全性进行更真实、更全面的了解。应该注意的是，虽然许多组织在内部使用网络钓鱼练习，但与基于目标的渗透测试所提供的综合价值相比，它们相形见绌。

网络安全定义：

基于目标的渗透测试：一种渗透测试，其中，在范围界定过程中，客户定义了一组他们希望评估的明确目标，而不是定义单个目标应用程序或网络。在这个模拟攻击过程中，组织将清楚地了解组织将如何公平地应对现实世界的网络攻击。此外，还将测试组织事件响应流程的有效性，这是一项本身就非常宝贵的服务。

为什么渗透测试很重要？

简而言之，渗透测试的目的是为了保护组织。通过有效利用渗透测试结果，参与组织可以识别和减轻其漏洞。合格的渗透测试人员是非常乐于助人的网络安全专业人员，他们不仅会识别安全问题，还会引导客户了解调查结果，并就如何修复这些问题提出准确的建议。

主动、定期的渗透测试是绝对必要的，因为标准的安全投资永远不会发现和缓解每一个安全漏洞；恶意方将不断地通过防御找到方法以实现其目标。渗透测试是当今企业准确复制、预测并阻止黑客可能攻击的最佳方式。

渗透前需要考虑的事项！

作为客户，了解合同对象和合同内容非常重要，以避免在测试过程中或之后出现意外。如前所述，首先需要清楚漏洞扫描、渗透测试和基于目标的渗透测试之间的区别。了解并非所有渗透测试都是平等的，在选择渗透测试公司之前，客户需要清楚渗透测试人员的资格、测试范围、方法和经验，这一点绝对至关重要。

除了决定渗透测试公司外，下一个重要的项目是全面了解要执行的渗透测试的深度；VA扫描，渗透测试？它是基于目标的吗？基于风险？等等。不要害怕提问；至关重要的是，客户积极参与范围界定过程，并清楚希望完成的任务、允许的方法以及任何遗漏的要求。同样，考虑到尽管某些测试方法在设计上可能含糊不清（即，如果客户或任何员工知道测试的某些方面，可能会干扰结果。），渗透测试公司应该提供以下描述：他们的方法论。如果没有，你最好质疑他们；

综述：

作为渗透测试人员，我们经常被要求在安全事件发生后进行调查。通常情况下，主动渗透测试可以很容易地识别出被恶意方利用的漏洞，并且补救措施可以为组织节省很多痛苦，更不用说可能的罚款、客户信心丧失和业务中断。Verizon的2019年数据泄露调查报告表明52%的违规行为涉及黑客攻击，21%涉及人为错误，15%涉及授权用户的滥用，33%涉及社会工程。在 Packetlabs，我们发现最常被利用的漏洞是那些很容易被自动扫描遗漏的漏洞，包括缺乏安全意识、不正确的安全策略和权限以及缺少补丁更新。

请记住，虽然安全工具做得不错，但应该理解熟练的黑客会找到绕过它们的方法。领先于恶意黑客的最佳方法是聘请一支技术精湛的道德黑客团队，在为时已晚之前发现并隔离组织漏洞。不要忘记确保比较测试的范围、深度以及测试人员的资格！

原文始发于微信公众号（河南等级保护测评）：什么是渗透测试？