在企业经过内部自我资产梳理统计和合规性检查后,邀请渗透测试人员对公司的主要互联网资产进行全面性的渗透测试,查找互联网资产的风险。其测试步骤可以分为三个阶段:
第一阶段:渗透测试与公网资产暴露面排查、第二阶段:模拟真实网络对抗,培养蓝队防御能力、夯实基本技能、第三阶段:风险复测、建立健全安全管理制度。
第一阶段
第一阶段主要是进行渗透测试与公网资产暴露面排查。
渗透测试人员在对已经梳理好的资产进行渗透测试时应全面覆盖漏洞类型,在关注公网服务器开放危险端口的同时,重点关注能获取权限及敏感数据的漏洞类型。
可重点关注以下漏洞类型:
| 漏洞类型 | 风险等级 |
|---|---|
| SQL注入测试 | 高危 |
| 跨站脚本攻击(XSS) | 高危 |
| 业跨站求伪造(CSRF) | 高危 |
| 服务器端请求伪造(SSRF) | 高危 |
| XML外部实体攻击(XXE) | 高危 |
| 任意文件上传 | 高危 |
| 任意文件下载/读取 | 高危 |
| 目录/路径遍历 | 中危 |
| 中间件漏洞 | 高危 |
| 框架漏洞 | 高危 |
| 第三方组件漏洞 | 高危 |
| 敏感信息泄露 | 中危 |
| URL重定向 | 中危 |
| 远程命令执行 | 高危 |
| 任意代码执行 | 高危 |
| 本地/远程文件包含 | 高危 |
| 暴力破解 | 高危 |
| 未授权访问 | 高危 |
| 弱口令 | 高危 |
| 业务逻辑篡改 | 高危 |
| 越权访问和篡改 | 高危 |
第二阶段
第二阶段主要进行模拟真实网络对抗,培养蓝队防御能力、夯实基本技能。
在完成第一阶段的渗透测试并对发现的风险点进行修补之后,企业的互联网风险点已经减少,加大了正面攻击的难度。企业可以根据自身条件邀请多支经验丰富的红队人员一同参与红蓝攻防演练,模拟高度仿真的网络攻击行为,以此检测企业内部安全部门的安全事件应急能力。
本阶段的攻防演练突破传统渗透测试的限制,在攻击设备及流量全面审计的前提下,不限攻击路径,不限攻击手段(加入社工钓鱼,近源攻击等手段),进行高仿真模拟演练。
红队人员进行全范围、多层次、多重混合的模拟攻击,以攻击者的角度出发,采用攻击者的思维方式对企业真实线上环境进行攻击测试,并尝试发现不同角度存在的安全漏洞和防护体系缺陷。
企业安全部门的人员与系统运维人员开启主动防御与检测手段,检验企业整体网络“从外到内”、“从内到内”、“从内到外”的安全检测与应急能力。
利用搜集到的企业资产信息,有针对性地对企业外部的Web及其他开放应用服务、网络设备、防火墙规则等进行安全性测试。一旦外部资产存在高危风险缺陷,则可直接从外部攻击企业内部的应用服务器然后获取内部重要数据。利用社会工程学和无线安全测试对企业内部人员和企业无线设备进行安全测试获取企业内部敏感数据。与第一阶段不同的是加入了社工钓鱼、无线等攻击手段。
| 测试项目 | 目的 |
|---|---|
| 社会工程学攻击测试 | 通过对受害者本能反应、好奇心、信任、贪婪、心理弱点等心理缺陷进行分析并实施定向的社会工程学攻击测试,进而获取到企业的重要敏感数据 |
| 应用系统渗透 | 通过对企业重要的应用系统、网站等进行渗透测试,找出企业存在的漏洞风险点以及检测企业针对Web应用的防护体系中存在的缺陷。 |
| 业务安全测试 | 通过对企业重要的业务系统进行业务安全测试,找出企业存在的业务风险缺陷以及检测企业针对业务层面的防护体系中存在的缺陷。 |
| 暗网威胁情报发现 | 通过在暗网搜索,检测企业敏感信息是否泄露。 |
| 第三方供应商风险 | 通过对企业使用的第三方系统、应用、插件、Api等进行测试,发现企业存在的第三方安全风险。 |
| 无线安全测试 | 通过对企业无线网络及设备进行安全测试,发现可能存在的安全风险,利用风险点获取企业敏感数据,以及检测企业针对无线攻击的防御能力。 |
在内部网络对主机、应用系统、网络设备等进行横向的攻击测试,找出内网存在的安全风险。
| 测试项目 | 目的 |
|---|---|
| 内部威胁攻击模拟 | 通过利用公司所处场所和人员对公司内部进行攻击测试,以此发现安全威胁和防御缺陷。 |
| 内网渗透及权限控制 | 通过获取到的权限进入内网进行横向渗透测试并能够高级持续地控制内网,发现企业针对内网的防御缺陷。 |
在内部网络对主机、应用系统、网络设备等进行控制,尝试反弹shell权限、收集大量重要情报信息等传输到外部网络。
| 测试项目 | 目的 |
|---|---|
| 带外攻击测试 | 通过内网获取到的权限或敏感数据,然后检测是否能够影响到企业外部的业务系统,发现企业针对内外数据传输的防御缺陷。 |
第三阶段
第三阶段主要是进行风险复测、建立健全安全管理制度。
1. 本阶段以总结反思为主。通过前两个阶段发现的问题,及时组织红蓝双方进行线上、线下讨论、复盘总结。以多方面的角度了解攻击者的攻击思路、总结日常运营维护的薄弱点、审视安全管理制度的不足之处。对于安全部门和运维部门,应常态化地进行应急演练;
2. 应当在演练结束后及时修复、验证前面演练过程中发现的风险点,举一反三地进行内部其他资产自我排查,避免相同风险点重复出现;
3. 向全体员工开展网络安全意识培训,就本次演练暴露的问题与日常办公实际相结合;
4. 针对演练全流程所暴露的问题,及时制定、完善企业内部的信息安全信管理条令条例。
点击蓝字关注我们声明本文作者:Gality本文字数:3700阅读时长:20~30分钟附件/链接:点击查看原文下载本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,狼组安…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论