执行例行渗透测试已成为防止现代网络安全攻击的重要防御层。
虽然渗透测试的目标和类型可能有所不同,但渗透测试方法有 4 个主要步骤,包括规划和准备、扫描/评估、利用和数据泄露以及工件的报告、清理和销毁。
在本文中,我们将深入研究用于执行成功渗透测试的框架。
最后,您将从操作角度了解渗透测试的工作原理,以及潜在客户在与供应商合作时应该期望什么。
渗透测试的类型 |
||
|---|---|---|
 |
 |
 |
无线 |
网络 |
社会工程学 |
 |
 |
 |
近源 |
防火墙 |
Web应用程序 |
渗透测试方法
渗透测试方法包括对各种众所周知的以及较不为人所知的漏洞的深入测试。安全人员需使用定制的、经过验证的方法执行手动测试。
这种方法产生的结果是通过自动漏洞扫描无法获得的,并且包括基于OWASP Top 10以及 OWASP 应用程序安全验证标准 (ASVS) 3.0 项目的测试。
凭借现实世界的经验,在了解攻击者如何思考、操作和绕过最新防御技术方面保持着竞争优势。
凭借这种宝贵的洞察力,不仅能够提供独特的方法来测试范围内的应用程序,而且还能够提供最佳实践建议。
-
通过映射站点交互来创建 Web 应用程序的威胁模型。
-
收集有关网站的信息并确定用户输入点。
-
分析 Web 应用程序的基础架构和配置管理。
-
执行手动和自动测试。
-
评价调查结果。
-
确定适当的对策。
第 1 步:规划和准备
在此步骤中,双方交换初始信息、计划并准备IT 安全评估。
测试前,双方签署正式的评估协议。
该协议为所有项目工作和相互法律保护提供了基础。它还将指定具体的参与团队、测试的确切日期、时间、升级路径和其他安排。
规划和准备步骤的主要成果是:
-
双方联系人的识别。
-
开幕会议确认范围、途径和方法。
-
同意特定的测试用例和权限升级路径。
第 2 步:执行扫描/评估
漏洞评估是一种分层方法,包括实际渗透测试。在此步骤中,将制定测试计划,构建工具包,进行评估本身,并对评估进行分析。
制定测试计划
根据规划和准备期间收集的信息,创建了详细的测试计划,该计划概述了生成最终漏洞评估报告所需的步骤。
测试计划还包括用于评估和利用目标网络上的漏洞的资源和方法。
构建工具包
一旦制定了测试计划,就会起草一份测试工具(商业、公开可用、手动)、方法和公开可用漏洞的列表。
这样做的目的是为渗透测试人员提供明确定义的路径,以识别和利用目标系统中的漏洞以获得未经授权的访问。
在最终报告中包含用于测试的工具和方法列表被认为是最佳实践。
但是,如果供应商不提供此信息,请询问,他们将提供该列表。
进行评估
通过运行所选工具并应用所选方法,可以收集有关目标网络系统和相关漏洞的大量信息。
这些信息对于穿透公司防御或用于外部评估的其他部分至关重要。
分析
评估阶段通常会产生大量原始数据。
分析阶段使安全工程师有机会审查调查结果并针对可能的弱点和可能的利用手段制定策略。工程师将尝试识别网络上存在的所有活动系统并确定安装的软件和硬件版本。
如果特定主机使用身份验证服务(例如邮件或 FTP 服务器),则会检查是否存在默认或标准登录帐户。最后,此阶段将确定所有漏洞的优先级和风险状况。
第 3 步:利用和数据泄露
一旦在前一阶段识别出漏洞,工程师将尝试通过利用它们来验证这些漏洞的有效性。
该任务仅应客户要求并在获得正式授权后执行。执行此步骤的好处是 可以积极验证特定漏洞的存在。
工程师将通过尝试使用基于常见英语词典的容易猜测的密码来检查网络主机和远程终端会话上存在的任何身份验证系统的强度。
设立与提取
进一步执行前面的任务,工程师将尝试访问受保护网段上包含的信息。一旦进入系统,客户将获得渗透的证据。
攻击向量
渗透测试使用各种攻击媒介,试图利用系统或 Web 应用程序内的弱点和威胁。
这些攻击媒介可能由以下任何一种方法组成:
-
输入无效
-
身份验证损坏
-
传输不安全
-
拒绝服务 (DoS)
-
访问控制被破坏
-
数据保护薄弱
-
中断会话管理
-
跨站脚本(XSS)
-
不安全的存储
-
注入缓冲区溢出
-
跨站请求伪造(CSRF)
-
SSL证书安全
-
错误处理不当
-
饼干中毒
-
权限提升
-
不安全的配置
-
XML 外部条目扩展
-
信息披露
-
系统指纹
-
服务探测
-
攻击向量分析与识别
-
漏洞利用测试
-
身份验证攻击
-
漏洞利用
-
利用配置缺陷
-
凭证喷涂
-
SQL注入
-
未经授权访问敏感数据
标杆管理
在大多数情况下,供应商将审查客户的安全计划并根据行业最佳实践进行差距分析。建议将基于最佳的安全控制和方法,例如CSI 基准、NIST 标准或CMMC。
第 4 步:报告、清理和销毁过程数据
如果在安全评估过程中发现关键问题,我们将立即报告,以确保客户知晓。此时应讨论具体问题并提出防范对策。
最终报告
完成工作范围中定义的所有测试用例后,将提交一份描述测试和审查的详细结果的书面报告,并附有改进建议。
该报告将遵循详细记录的结构(请参阅下面的可交付成果部分)。
清理并销毁信息
在测试系统上创建和/或存储的所有信息都将从这些系统中删除。如果由于某种原因无法从远程系统执行此操作,则所有这些文件(及其位置)将在技术报告中详细说明,以便您的技术人员能够在收到报告后删除这些文件。
项目交付
与供应商合作时,充分了解将提供的报告类型非常重要。执行渗透测试的价值与这些报告的结果密切相关,以便高级管理团队能够就如何最好地保护其系统做出明智的决策。
渗透测试的项目可交付成果可能包括以下报告:
-
勘察范围报告
-
详细技术报告
-
逐项可导出报告
-
执行摘要报告
-
整治报告
勘察范围界定报告
列出在侦察或发现阶段发现的范围内的系统的文档。
这应包括旨在绘制目标环境攻击面的信息收集和发现活动的输出。将对此进行审查,以确定是否需要进行范围调整。
详细技术报告
技术笔测试报告通常包括:
-
采用的方法包括威胁模型。
-
确定了积极的安全方面。
-
详细的技术漏洞发现。
-
每个漏洞的风险评级。
-
在适当的时候支持漏洞的详细展示。
如果存在未解决的问题,也可能会要求提供修复后更新的报告。
逐项可导出报告
通常会向客户提供可导出格式(Excel、XML)的报告。此逐项列表包括具有高级类别、子类别、重要性和 IP/主机名的所有结果,这是输入风险跟踪系统所需的。
还可以提供银行模板。
执行摘要报告
制定一份文件,以适合高级管理层的方式总结范围、方法、调查结果和建议。供应商通常会提供执行演示来进一步详细讨论报告并确保工作范围内的所有义务均得到履行。
整治报告
完成初始测试后,客户将努力修复最终报告中概述的已知漏洞和漏洞。然后在修复期结束后对高和中等结果进行重新测试。此重新测试的目的是验证并确认问题已得到修复或缓解。
客户需要提供什么?
为了优化渗透测试的有效性,客户需要提供对系统、服务和员工的访问。为了执行许多工作范围中指定的工作,客户需要提供以下信息:
-
接触相关人员。
-
相关文档。
-
主要联络点。
-
与客户团队成员协调活动。
-
客户入职文档。
原文始发于微信公众号(河南等级保护测评):先进的渗透测试方法和框架
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论