網(wǎng)絡(luò)安全滲透測(cè)試的7種主要類(lèi)型

滲透測(cè)試是通過(guò)模擬惡意黑客的攻擊方法，來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法，包括了對(duì)系統(tǒng)各類(lèi)弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析。由于滲透測(cè)試需要通過(guò)模擬黑客攻擊來(lái)評(píng)估目標(biāo)系統(tǒng)的安全性和漏洞，因此可能會(huì)帶來(lái)一些風(fēng)險(xiǎn)，比如影響目標(biāo)系統(tǒng)的正常運(yùn)行、泄露敏感數(shù)據(jù)、引起法律糾紛等。為了確保測(cè)試工作的安全性和有效性，企業(yè)組織在開(kāi)展?jié)B透測(cè)試工作前，需要全面了解測(cè)試的類(lèi)型、方法和原則。本文將對(duì)其中的7種最常見(jiàn)類(lèi)型進(jìn)行介紹：

01網(wǎng)絡(luò)滲透測(cè)試

如果攻擊者能夠成功闖入公司的網(wǎng)絡(luò)，其引發(fā)的風(fēng)險(xiǎn)將會(huì)非常高。網(wǎng)絡(luò)滲透測(cè)試主要指測(cè)試人員嘗試?yán)@過(guò)防火墻、測(cè)試路由器、規(guī)避入侵檢測(cè)和防御系統(tǒng)（IPS/IDS）、掃描端口和代理服務(wù)，并尋找所有類(lèi)型的網(wǎng)絡(luò)漏洞。在實(shí)際應(yīng)用中，網(wǎng)絡(luò)滲透測(cè)試工作主要包括外部網(wǎng)絡(luò)滲透測(cè)試與內(nèi)部網(wǎng)絡(luò)滲透測(cè)試。

在外部網(wǎng)絡(luò)滲透測(cè)試中，面向互聯(lián)網(wǎng)的資產(chǎn)是模擬攻擊的主要目標(biāo)。通常，目標(biāo)資產(chǎn)會(huì)由客戶提供，但也可以在客戶確認(rèn)的情況下執(zhí)行“無(wú)范圍”（no-scope）測(cè)試。測(cè)試人員將嘗試在掃描期間發(fā)現(xiàn)的任何可利用漏洞。此外，允許登錄的暴露服務(wù)將受到密碼猜測(cè)攻擊的影響，例如暴力破解或密碼噴射。對(duì)外開(kāi)放的企業(yè)網(wǎng)站通常會(huì)接受額外的審查，以尋找攻擊者容易利用的常見(jiàn)Web漏洞。

內(nèi)部網(wǎng)絡(luò)滲透測(cè)試則是從已獲得組織內(nèi)部網(wǎng)絡(luò)訪問(wèn)權(quán)限的角度進(jìn)行，可以在測(cè)試人員和客戶員工之間提供有益的互動(dòng)，測(cè)試人員可以使用客戶提供的基礎(chǔ)設(shè)施，或是他們自己的物理或虛擬遠(yuǎn)程測(cè)試系統(tǒng)來(lái)進(jìn)行遠(yuǎn)程訪問(wèn)。

02社會(huì)工程滲透測(cè)試

社會(huì)工程是網(wǎng)絡(luò)犯罪分子用來(lái)欺騙用戶泄露憑據(jù)或敏感信息的一種技術(shù)。如今，大多數(shù)網(wǎng)絡(luò)安全攻擊會(huì)從社會(huì)工程、網(wǎng)絡(luò)釣魚(yú)或短信網(wǎng)絡(luò)釣魚(yú)開(kāi)始。攻擊者通常會(huì)聯(lián)系員工，通過(guò)電子郵件、電話、社交媒體及其他方式瞄準(zhǔn)那些擁有管理員或高級(jí)訪問(wèn)權(quán)限的人。通過(guò)社會(huì)工程滲透測(cè)試可以幫助安全團(tuán)隊(duì)預(yù)先了解組織的人員安全意識(shí)狀態(tài)，并在社會(huì)工程攻擊期間和之后測(cè)試組織安全團(tuán)隊(duì)的反應(yīng)和支持能力。

社會(huì)工程測(cè)試主要包括：

網(wǎng)絡(luò)釣魚(yú)測(cè)試。旨在確定組織的用戶群對(duì)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊的敏感性。該測(cè)試的目標(biāo)不是評(píng)估組織電子郵件保護(hù)的有效性，而是確定當(dāng)郵件避開(kāi)這些過(guò)濾器時(shí)用戶將如何反應(yīng)。這些評(píng)估的結(jié)果可以用于增強(qiáng)組織的反社會(huì)工程意識(shí)計(jì)劃。

電話語(yǔ)音釣魚(yú)。測(cè)試人員會(huì)使用來(lái)電顯示欺騙技術(shù)冒充用戶、支持人員或客戶。該評(píng)估旨在說(shuō)服用戶執(zhí)行一些可能會(huì)披露信息或提供對(duì)組織系統(tǒng)的訪問(wèn)權(quán)限的操作。許多用戶會(huì)根據(jù)來(lái)電號(hào)碼選擇信任來(lái)電者。部分用戶會(huì)察覺(jué)出攻擊并以各種方式做出響應(yīng)，例如咨詢安全顧問(wèn)或在通話后聯(lián)系信息安全團(tuán)隊(duì)。

USB令牌注入。用戶可能會(huì)無(wú)意中嘗試將USB設(shè)備連接到環(huán)境中。在此評(píng)估類(lèi)型中，測(cè)試人員會(huì)將部署看似普通的USB驅(qū)動(dòng)器，并誘使用戶將該設(shè)備插入公司系統(tǒng)。這些USB設(shè)備可以是包含建立遠(yuǎn)程連接的惡意文件的典型驅(qū)動(dòng)器，也可以是在連接時(shí)執(zhí)行某些鍵盤(pán)操作。

收集短信釣魚(yú)。這種評(píng)估類(lèi)型類(lèi)似于網(wǎng)絡(luò)釣魚(yú)，但利用的媒介變?yōu)镾MS或短消息服務(wù)向用戶發(fā)送欺詐性的消息。與網(wǎng)絡(luò)釣魚(yú)一樣，這些活動(dòng)將嘗試讓用戶訪問(wèn)冒充組織的站點(diǎn)或嘗試傳遞惡意木馬病毒。

03Web應(yīng)用滲透測(cè)試

基于Web的應(yīng)用程序?qū)τ趲缀趺考医M織的運(yùn)營(yíng)都至關(guān)重要。Web應(yīng)用程序滲透測(cè)試側(cè)重于通過(guò)Web應(yīng)用程序呈現(xiàn)給攻擊者的攻擊面。這些測(cè)試類(lèi)型旨在評(píng)估Web應(yīng)用程序的安全性，并尋找攻擊性方法來(lái)訪問(wèn)敏感數(shù)據(jù)，或獲得對(duì)Web應(yīng)用程序的控制權(quán)限。在此評(píng)估期間，組織通常會(huì)向測(cè)試人員提供憑據(jù)訪問(wèn)權(quán)限，以審查整個(gè)應(yīng)用程序。

Web應(yīng)用程序測(cè)試的對(duì)象包括Web應(yīng)用程序、瀏覽器、ActiveX、插件、Silverlight、小腳本和小應(yīng)用程序，測(cè)試中所用的語(yǔ)言包括Java、PHP、和.NET等。應(yīng)用編程接口（API）與XML、MySQL、Oracle及其連接和系統(tǒng)一樣也是測(cè)試的一部分。如果Web應(yīng)用程序是移動(dòng)的，它們還需要在其環(huán)境中進(jìn)行測(cè)試。由于端點(diǎn)在運(yùn)行時(shí)和Web應(yīng)用程序在線時(shí)具有交互性，針對(duì)Web應(yīng)用的滲透測(cè)試會(huì)很復(fù)雜，滲透測(cè)試人員必須兼顧所有方面。

04無(wú)線網(wǎng)絡(luò)滲透測(cè)試

現(xiàn)代企業(yè)會(huì)高度依賴無(wú)線網(wǎng)絡(luò)來(lái)連接端點(diǎn)和物聯(lián)網(wǎng)設(shè)備等，無(wú)線網(wǎng)絡(luò)已成為網(wǎng)絡(luò)犯罪分子的熱門(mén)目標(biāo)，但其應(yīng)用安全性卻常被企業(yè)所忽視。覆蓋無(wú)線安全的滲透測(cè)試必須面面俱到，無(wú)線網(wǎng)絡(luò)測(cè)試人員需要尋找無(wú)線加密中已知的缺陷，試圖破解密鑰，誘使用戶向“雙面惡魔”（evil twin）接入點(diǎn)或被攻擊者控制的文件夾提供憑據(jù)，并暴力破解登錄詳細(xì)信息。惡意接入點(diǎn)掃描可以通過(guò)物理位置和經(jīng)過(guò)身份驗(yàn)證的無(wú)線分段測(cè)試完成這些評(píng)估類(lèi)型，以確定攻擊者在成功連接到環(huán)境后可以訪問(wèn)的內(nèi)容。

隨著企業(yè)開(kāi)始走上數(shù)字化轉(zhuǎn)型和現(xiàn)代化之路，物聯(lián)網(wǎng)、傳感器、攝像頭、移動(dòng)設(shè)備及和其他端點(diǎn)面臨的威脅也在加大。黑客會(huì)試圖通過(guò)這些新的入口點(diǎn)訪問(wèn)關(guān)鍵資產(chǎn)，數(shù)字攻擊面擴(kuò)大無(wú)疑對(duì)他們有利。因此，滲透測(cè)試人員需要全面驗(yàn)證無(wú)線加密協(xié)議、檢查信標(biāo)、確認(rèn)流量以及搜索接入點(diǎn)、熱點(diǎn)和MAC地址欺騙。

05物理安全滲透測(cè)試

并非公司面臨的所有威脅都是由外部網(wǎng)絡(luò)應(yīng)用所引起，特別是在邊緣計(jì)算興起后，很多企業(yè)會(huì)在接近業(yè)務(wù)運(yùn)營(yíng)的地方建立數(shù)據(jù)分中心，面向這些中心的物理環(huán)境安全測(cè)試已變得更加重要。

在物理環(huán)境安全測(cè)試中，測(cè)試人員將會(huì)模擬驗(yàn)證大門(mén)的安全系統(tǒng)、門(mén)禁卡、門(mén)鎖、攝像頭和傳感器，并嘗試冒充工作人員。他們還會(huì)驗(yàn)證當(dāng)攻擊者可以物理訪問(wèn)計(jì)算設(shè)備、數(shù)據(jù)中心網(wǎng)絡(luò)和邊緣計(jì)算網(wǎng)絡(luò)時(shí)，企業(yè)數(shù)字化應(yīng)用系統(tǒng)的安全系數(shù)會(huì)如何變化。這類(lèi)測(cè)試通常會(huì)在安全團(tuán)隊(duì)大多數(shù)成員完全不知情的情況下執(zhí)行。

06云計(jì)算滲透測(cè)試

私有云和公共云的廣泛應(yīng)用為現(xiàn)代企業(yè)組織帶來(lái)了諸多好處，但也給網(wǎng)絡(luò)犯罪分子帶來(lái)了機(jī)會(huì)。許多組織在云端都存放了大量關(guān)鍵業(yè)務(wù)數(shù)據(jù)資產(chǎn)，如果這些資產(chǎn)遭到破壞，會(huì)導(dǎo)致業(yè)務(wù)運(yùn)營(yíng)的癱瘓。

雖然云供應(yīng)商會(huì)為企業(yè)提供功能強(qiáng)大的配套安全服務(wù)，但云滲透測(cè)試對(duì)企業(yè)組織已必不可少。云端滲透測(cè)試需要提前通知云提供商，因?yàn)橄到y(tǒng)的某些區(qū)域可能禁止白帽黑客訪問(wèn)。

云端的滲透測(cè)試必須遵守云服務(wù)商給出的統(tǒng)一滲透測(cè)試演練規(guī)則。而在開(kāi)始進(jìn)行測(cè)試前，組織也需要詳細(xì)填寫(xiě)云計(jì)算安全滲透測(cè)試申請(qǐng)表。云滲透測(cè)試的內(nèi)容主要包括檢查云環(huán)境的安全性、應(yīng)用程序及API、訪問(wèn)、存儲(chǔ)、加密、虛擬機(jī)、操作系統(tǒng)及更新、安全外殼（SSH）、遠(yuǎn)程桌面協(xié)議（RDP）遠(yuǎn)程管理以及錯(cuò)誤配置和密碼。

07紅藍(lán)對(duì)抗測(cè)試

受軍事演習(xí)活動(dòng)的啟發(fā)，在網(wǎng)絡(luò)安全領(lǐng)域也開(kāi)始流行基于實(shí)戰(zhàn)背景的攻防對(duì)抗測(cè)試演練活動(dòng)，會(huì)組織專業(yè)的測(cè)試紅隊(duì)充當(dāng)攻擊者，而藍(lán)隊(duì)主要由企業(yè)現(xiàn)有的安全團(tuán)隊(duì)組成。這種整體式對(duì)抗性測(cè)試方法能夠確保滲透測(cè)試的真實(shí)性和有效性，不僅可以評(píng)估安全缺陷、漏洞和威脅，還可以評(píng)估安全團(tuán)隊(duì)的反應(yīng)能力。

通過(guò)聘請(qǐng)行業(yè)專家充當(dāng)藍(lán)隊(duì)，企業(yè)組織不僅可以發(fā)現(xiàn)目前的安全防護(hù)薄弱環(huán)節(jié)，還可以趁此機(jī)會(huì)提升員工的專業(yè)安全技能。安全團(tuán)隊(duì)可以學(xué)習(xí)如何更快速地了解和響應(yīng)攻擊。紅藍(lán)對(duì)抗測(cè)試有多種形式。有時(shí)藍(lán)隊(duì)被告知模擬或滲透測(cè)試的時(shí)間，有時(shí)則完全不知情。紅隊(duì)滲透測(cè)試人員可以深入了解內(nèi)部安全團(tuán)隊(duì)在如何響應(yīng)，并提供優(yōu)化的建議。

審核編輯：湯梓紅