滲透測試是什么?
滲透測試,是為了證明網(wǎng)絡(luò)防御按照預(yù)期計劃正常運行而提供的一種機制。不妨假設(shè),你的公司定期更新安全策略和程序,時時給系統(tǒng)打補丁,并采用了漏洞掃描器等工具,以確保所有補丁都已打上。如果你早已做到了這些,為什么還要請外方進(jìn)行審查或滲透測試呢?因為,滲透測試能夠獨立地檢查你的網(wǎng)絡(luò)策略,換句話說,就是給你的系統(tǒng)安了一雙眼睛。而且,進(jìn)行這類測試的,都是尋找網(wǎng)絡(luò)系統(tǒng)安全漏洞的專業(yè)人士。
滲透測試是對計算機系統(tǒng)的授權(quán)模擬攻擊,用于評估系統(tǒng)的安全性。執(zhí)行測試以識別兩個缺點(也稱為漏洞),包括未授權(quán)方訪問系統(tǒng)的特征和數(shù)據(jù)的可能性,以及優(yōu)點,使得能夠完成完整的風(fēng)險評估。該過程通常識別目標(biāo)系統(tǒng)和特定目標(biāo),然后審查可用信息,并采取各種手段來實現(xiàn)該目標(biāo)。
滲透測試目標(biāo)可以是白盒(提供背景和系統(tǒng)信息)或黑盒(只提供基本信息或除了公司名稱不提供任何信息)?;液写┩笢y試是二者的結(jié)合(其中目標(biāo)有限的知識與審計人員共享)。滲透測試可以幫助確定一個系統(tǒng)是否容易受到攻擊,如果防御足夠,以及測試是否打敗了哪些防御(如果有的話)。滲透測試發(fā)現(xiàn)的安全問題應(yīng)該報告給系統(tǒng)所有者。滲透測試報告也可以評估對組織的潛在影響,并提出降低風(fēng)險的對策。
美國國家網(wǎng)絡(luò)安全中心(National Cyber Security Center)將滲透測試描述如下:“一種方法,通過試圖破壞某個IT系統(tǒng)的部分或全部安全性,使用與對手相同的工具和技術(shù),來獲得對該IT系統(tǒng)的安全性的保證?!?/p>
滲透測試的目標(biāo)根據(jù)針對任何給定參與的已批準(zhǔn)活動的類型而有所不同,其中主要目標(biāo)是發(fā)現(xiàn)可被邪惡行為者利用的漏洞,并將這些漏洞與建議的緩解策略一起通知客戶。 滲透測試是全面安全審計的一個組成部分。
例如,支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)要求在定期日程表和系統(tǒng)更改之后進(jìn)行滲透測試。缺陷假設(shè)方法是一種系統(tǒng)分析和滲透預(yù)測技術(shù),其中通過對系統(tǒng)的規(guī)范和文檔的分析來編譯軟件系統(tǒng)中的假設(shè)缺陷列表。然后,根據(jù)所估計的缺陷實際存在的概率,以及在控制或折衷的范圍內(nèi)易于利用該漏洞,對假設(shè)缺陷列表進(jìn)行優(yōu)先級排序。優(yōu)先級列表用于指導(dǎo)系統(tǒng)的實際測試。?
以上就是小編的分享,希望可以幫助到大家。