滲透測試是什么？

滲透測試，是為了證明網(wǎng)絡(luò)防御按照預(yù)期計劃正常運行而提供的一種機制。不妨假設(shè)，你的公司定期更新安全策略和程序，時時給系統(tǒng)打補丁，并采用了漏洞掃描器等工具，以確保所有補丁都已打上。如果你早已做到了這些，為什么還要請外方進(jìn)行審查或滲透測試呢？因為，滲透測試能夠獨立地檢查你的網(wǎng)絡(luò)策略，換句話說，就是給你的系統(tǒng)安了一雙眼睛。而且，進(jìn)行這類測試的，都是尋找網(wǎng)絡(luò)系統(tǒng)安全漏洞的專業(yè)人士。

滲透測試是對計算機系統(tǒng)的授權(quán)模擬攻擊，用于評估系統(tǒng)的安全性。執(zhí)行測試以識別兩個缺點（也稱為漏洞），包括未授權(quán)方訪問系統(tǒng)的特征和數(shù)據(jù)的可能性，以及優(yōu)點，使得能夠完成完整的風(fēng)險評估。該過程通常識別目標(biāo)系統(tǒng)和特定目標(biāo)，然后審查可用信息，并采取各種手段來實現(xiàn)該目標(biāo)。

滲透測試目標(biāo)可以是白盒（提供背景和系統(tǒng)信息）或黑盒（只提供基本信息或除了公司名稱不提供任何信息）?；液写┩笢y試是二者的結(jié)合（其中目標(biāo)有限的知識與審計人員共享）。滲透測試可以幫助確定一個系統(tǒng)是否容易受到攻擊，如果防御足夠，以及測試是否打敗了哪些防御（如果有的話）。滲透測試發(fā)現(xiàn)的安全問題應(yīng)該報告給系統(tǒng)所有者。滲透測試報告也可以評估對組織的潛在影響，并提出降低風(fēng)險的對策。

美國國家網(wǎng)絡(luò)安全中心（National Cyber Security Center）將滲透測試描述如下：“一種方法，通過試圖破壞某個IT系統(tǒng)的部分或全部安全性，使用與對手相同的工具和技術(shù)，來獲得對該IT系統(tǒng)的安全性的保證?！?/p>

滲透測試的目標(biāo)根據(jù)針對任何給定參與的已批準(zhǔn)活動的類型而有所不同，其中主要目標(biāo)是發(fā)現(xiàn)可被邪惡行為者利用的漏洞，并將這些漏洞與建議的緩解策略一起通知客戶。 滲透測試是全面安全審計的一個組成部分。

例如，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)要求在定期日程表和系統(tǒng)更改之后進(jìn)行滲透測試。缺陷假設(shè)方法是一種系統(tǒng)分析和滲透預(yù)測技術(shù)，其中通過對系統(tǒng)的規(guī)范和文檔的分析來編譯軟件系統(tǒng)中的假設(shè)缺陷列表。然后，根據(jù)所估計的缺陷實際存在的概率，以及在控制或折衷的范圍內(nèi)易于利用該漏洞，對假設(shè)缺陷列表進(jìn)行優(yōu)先級排序。優(yōu)先級列表用于指導(dǎo)系統(tǒng)的實際測試。?

以上就是小編的分享，希望可以幫助到大家。