資料結構
網路
關係型資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究內部滲透測試和外部滲透測試的區別
滲透測試是一種網路安全程式,在此期間,專家團隊會檢查網路、軟體、硬體、應用程式等是否存在安全漏洞。從本質上講,滲透測試是為了訂購在其自身系統上進行測試的公司而進行的合規性駭客行為。
在金融服務、醫療保健和政府系統訪問等某些領域,滲透測試是監管機構的要求,而在其他領域則是自願的。面對不斷變化的威脅,滲透測試是一項重要的資訊安全技術,應納入組織的治理框架。
網路滲透測試,也稱為“基礎設施滲透測試”,可以從組織網路周邊的內部和外部兩個角度進行。
以下是一些常見的網路滲透測試場景示例 -
監控對公司網路基礎設施的修改,以確保沒有引入任何漏洞。
在企業併購或公司被收購後。
滿足第三方(例如保險公司或業務合作伙伴)的要求。
什麼是滲透測試?
隨著攻擊變得越來越複雜和普遍,企業進行定期滲透測試以發現漏洞、堵塞漏洞並確保網路控制正常執行變得更加重要。這些測試使公司能夠透過發現其基礎設施(硬體)、應用程式(軟體)和人員中的弱點來採取主動方法,以建立能夠跟上不斷變化的網路威脅態勢的持續和充分的控制措施。
滲透測試或合規性駭客是滲透測試的其他術語。它指的是故意發起模擬網路攻擊以查詢計算機系統、網路、網站和應用程式中可利用的漏洞。滲透測試工具可用於評估組織安全策略的穩健性、法規遵從性、員工安全意識以及組織識別和響應安全問題(隨著問題的出現)以及識別安全漏洞的能力。
滲透測試步驟
滲透測試技術包括五個步驟。
偵察和計劃
他們定義測試的範圍和目標,以及要測試的系統和要使用的測試方法。
獲取情報以更好地瞭解目標的操作和潛在漏洞。
掃描
下一步是確定目標應用程式將如何響應各種形式的入侵嘗試。
獲得進入許可權
為了發現目標的漏洞,此階段利用網路應用程式攻擊,例如跨站點指令碼、SQL 注入和後門。然後,測試人員嘗試利用這些漏洞,通常是透過提升許可權、竊取資料、攔截通訊等方式,以確定他們可以造成的損害範圍。
保持訪問許可權開放
此階段將評估漏洞是否可以被利用以在受損系統中建立長期存在,從而使不良行為者能夠訪問敏感資訊。其目的是模擬複雜的永續性攻擊,這些攻擊可能會在系統中持續數月並竊取公司的敏感資料。
分析
獲取的資料是否敏感。滲透測試人員能夠在系統中未被發現地停留的時間。
滲透測試 - 為什麼它很重要?
滲透測試對組織安全至關重要的主要原因是,它們教會員工如何處理任何形式的惡意入侵。滲透測試用於確定公司的安全實踐是否真正有效。
滲透測試還可以識別貴公司或應用程式的哪些渠道最容易受到攻擊,從而表明您應該投資哪些安全技術或協議。這種方法可能會發現許多您以前不知道的嚴重系統故障。
滲透測試報告還可以幫助開發人員減少錯誤。當開發人員瞭解惡意實體如何對他們幫助建立的應用程式、作業系統或其他軟體進行攻擊時,他們將更有動力學習更多關於安全的知識,並且不太可能犯類似的錯誤。
滲透測試的優缺點
這有很多優點,包括能夠檢測各種漏洞。它們可以發現一系列小缺陷導致的高風險缺陷。報告將包含明確的建議。
有一些重大問題。如果測試執行不正確,可能會導致伺服器出現故障、洩露敏感資料、損壞關鍵生產資料以及與模擬犯罪入侵相關的各種其他問題。您必須相信滲透測試人員。如果不使用真實的測試設定,結果將具有欺騙性。
WAF 和滲透測試是兩種不同的但互補的安全策略。某些安全審計方法(例如 PCI DSS 和 SOC 2)的合規性標準可以透過滲透測試來滿足。某些標準(例如 PCI-DSS 6.6)只能透過使用經過認證的 WAF 來滿足。但是,由於上述優勢以及調整 WAF 設定的能力,滲透測試仍然很有益。
什麼是內部滲透測試?
內部網路滲透測試用於確定攻擊者在擁有初始網路訪問許可權的情況下可以做什麼。內部網路滲透測試可以模擬內部威脅,例如人員惡意(有意或無意)行事。在進行內部滲透測試時,網路安全團隊將檢查無線網路、伺服器、計算機系統和其他裝置、防火牆、IDS/IPS,甚至員工行為和程式。
一旦發現這些元件中的漏洞,網路安全專家將嘗試利用這些漏洞以確定潛在未經授權的訪問和損害的範圍。這種型別的測試更適合員工眾多的企業、在內部保留敏感資料的公司或希望滿足 PCI-DSS 等監管標準的公司。
雖然它是企業風險管理的重要組成部分,但在安全測試資源稀缺時,它不應優先於外部滲透測試。
什麼是外部滲透測試?
外部網路滲透測試用於評估外圍安全策略在預防和檢測攻擊方面的效率,並查詢面向網際網路的資產(如 Web、郵件和 FTP 伺服器)中的漏洞。網路安全專業人員定期進行身份管理、密碼弱點評估、授權和身份驗證測試、錯誤處理評估以及許多其他外部滲透測試。
這些測試中通常使用 IDS/IPS 測試、足跡分析、手動測試、密碼強度評估、系統、埠和服務掃描等方法。透過外部滲透測試,組織可以涵蓋最有可能被利用並導致事件發生的最顯著風險。
網路安全預算有限的組織可以依靠外部滲透測試來保護其系統和資產免受他們定期遇到的最常見型別的網路攻擊。
外部和內部滲透測試的區別
下表重點介紹了內部和外部滲透測試的主要區別 -
| 內部滲透測試 | 外部滲透測試 |
|---|---|
| 內部滲透測試模擬內部威脅,並揭示在未經授權的情況下可以訪問的內容。在這種情況下,攻擊者已經擁有某種授權訪問許可權,並且在公司內部眾所周知。 | 這是一種遠端滲透測試,模擬最普遍的駭客攻擊公司系統的方法。 |
| 其主要目的是弄清楚惡意或不滿的員工可能做什麼,或者惡意軟體在整個公司網路中傳播的後果是什麼。 | 外部滲透測試的主要目的是檢測和解決組織最嚴重的網路威脅,這些威脅不斷受到自動化工具和駭客的檢查。 |
結論
滲透測試是一項至關重要的技術,企業必須使用它來了解其系統對攻擊者的脆弱程度。不應忽視內部滲透測試,但它不是首要關注的問題,因為內部威脅很少。另一方面,外部威脅不斷變化、普遍存在,並且最難應對。
881 次瀏覽
