風(fēng)險評估是網(wǎng)絡(luò)安全整體方案的一部分,并且是許多IT(互聯(lián)網(wǎng)技術(shù))標(biāo)準(zhǔn)的要求。滲透測試是評估網(wǎng)絡(luò)安全風(fēng)險的最常見(也是經(jīng)常需要)的方法之一���。滲透測試在風(fēng)險評估中起著很重要的作用:全面的測試可幫助您識別��、評估風(fēng)險并確定其優(yōu)先級�����。
創(chuàng)新互聯(lián)專注于鹽山網(wǎng)站建設(shè)服務(wù)及定制�����,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗��。 熱誠為您提供鹽山營銷型網(wǎng)站建設(shè)����,鹽山網(wǎng)站制作���、鹽山網(wǎng)頁設(shè)計�、鹽山網(wǎng)站官網(wǎng)定制、重慶小程序開發(fā)服務(wù)�,打造鹽山網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供鹽山網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。
在本文中����,我們討論用于風(fēng)險評估的三種常見的安全測試類型,并對它們的優(yōu)缺點進(jìn)行了分析�。我們還將調(diào)查滲透測試的類型和階段,并共享優(yōu)秀實踐����,以使網(wǎng)絡(luò)安全風(fēng)險評估更加有效。
網(wǎng)絡(luò)安全風(fēng)險評估
風(fēng)險評估是一個過程��,包括:
- 識別可能對組織造成任何損害的漏洞���,威脅和風(fēng)險
- 評估風(fēng)險發(fā)生的概率
- 根據(jù)風(fēng)險嚴(yán)重程度和發(fā)生的可能性確定緩解優(yōu)先級
在風(fēng)險管理中�,評估之前先確定風(fēng)險的背景�����,然后對這些風(fēng)險作出響應(yīng)和監(jiān)控����。
NIST Special Publication 800-39定義的風(fēng)險管理
評估風(fēng)險和威脅是改善網(wǎng)絡(luò)安全的最重要步驟之一�����。這是一個持續(xù)的過程�,可以幫助您評估安全控制�����,檢測問題并評估其影響��。進(jìn)行評估有幾個主要原因:
- 為了防止黑客入侵��,數(shù)據(jù)泄露和數(shù)據(jù)丟失����。定期檢查網(wǎng)絡(luò)安全控件可以使您在黑客利用漏洞之前檢測并關(guān)閉漏洞��。
- 檢查網(wǎng)絡(luò)安全性�����。獨立的風(fēng)險評估可對網(wǎng)絡(luò)的安全控制進(jìn)行檢查���。它可以幫助您更新有關(guān)受保護(hù)環(huán)境的知識���,尤其是在進(jìn)行重大更改(例如部署新軟件�����,安裝新硬件或移至新位置)之后����。
- 提高決策能力�����。確定風(fēng)險帶來的影響是風(fēng)險評估的重要組成部分��。此信息對于做出與網(wǎng)絡(luò)安全有關(guān)的進(jìn)一步?jīng)Q策很有用��,比如預(yù)算��,計劃改進(jìn)����,確定修復(fù)的優(yōu)先順序等。
- 減少網(wǎng)絡(luò)安全支出��。評估是一個既費時又費錢的過程。但從長遠(yuǎn)來看���,它可以防止數(shù)據(jù)泄露�����、黑客攻擊和違反法規(guī)遵性���,從而使您免受更嚴(yán)重的損失。
- 確保合規(guī)��。風(fēng)險管理是許多法律��、法規(guī)和標(biāo)準(zhǔn)的一部分��,包括NIST Special Publications��,HIPAA���,PCI DSS和GDPR。不遵守與您的業(yè)務(wù)有關(guān)的規(guī)定可能會導(dǎo)致巨額罰款�����。
有效風(fēng)險評估的三個階段
風(fēng)險評估的程序和工具對于每個組織和項目都是獨一無二的。然而�����,在任何情況下都必須實施三個階段����。
風(fēng)險評估的三個基本階段
第一步是確定您需要保護(hù)的內(nèi)容。這是一個可由安全團(tuán)隊執(zhí)行的管理程序����。該活動的結(jié)果是需要保護(hù)所有的數(shù)據(jù)和資源的列表。通常���,此列表包括:
- 客戶/客戶和員工的個人身份信息
- 財務(wù)數(shù)據(jù)
- 商業(yè)和工業(yè)秘密
- 關(guān)鍵基礎(chǔ)設(shè)施
- 其他……
風(fēng)險評估的第二階段是檢測漏洞����。在網(wǎng)絡(luò)安全中��,這可以通過漏洞掃描來實現(xiàn)���,漏洞掃描是一種基于已知軟件和硬件缺陷來識別安全系統(tǒng)中問題的自動化過程�。
通過此分析,您將獲得環(huán)境中的漏洞列表�。
風(fēng)險評估的第三個也是最后一個階段是定義威脅并評估風(fēng)險。在此階段�����,您需要:
- 分析發(fā)現(xiàn)的漏洞
- 找出可能的漏洞
- 估計發(fā)生風(fēng)險的可能性
- 評估風(fēng)險發(fā)生后對業(yè)務(wù)的潛在后果
風(fēng)險評估的結(jié)果是按風(fēng)險的嚴(yán)重程度和對業(yè)務(wù)的影響優(yōu)先級的風(fēng)險列表���。此列表是進(jìn)行風(fēng)險緩解活動���、優(yōu)先考慮安全修復(fù)和實施新的安全控制的基礎(chǔ)。但在編制這份清單之前���,我們需要選擇一種評估風(fēng)險的方法�����。
有三種流行的方法可以進(jìn)行第三階段的風(fēng)險評估。在下一部分中��,我們將分析選擇每種方法的功能����,工作流程以及原因。
比較常見的風(fēng)險評估方法
有很多可用于風(fēng)險評估的安全實踐和方法。最受歡迎的三個是:
讓我們了解一下這些測試方法的優(yōu)缺點���,以及它們之間的區(qū)別�。
風(fēng)險評估的安全測試方法
滲透測試使用多種手動技術(shù)和自動化工具來模擬對組織的網(wǎng)絡(luò)安全系統(tǒng)和應(yīng)用程序的攻擊��。在此過程中���,測試人員確定漏洞的可能利用情況����,并估計它們可能造成的潛在損害���。滲透測試可能還包括漏洞掃描����。滲透測試的主要目標(biāo)是確定和評估組織的所有網(wǎng)絡(luò)安全威脅和風(fēng)險�。
紅隊測試與滲透測試有很多共同點。這種方法還可以模擬對受保護(hù)環(huán)境的攻擊�,但是這種攻擊更具針對性、可控性和直觀性���。測試團(tuán)隊不會利用所有漏洞����,而是選擇他們想要獲取的數(shù)據(jù)類型,要利用哪些安全問題以及如何模擬高級威脅攻擊者的行為���。紅隊只能由第三方測試團(tuán)隊進(jìn)行���,因為重點是要從外部獲取安全控制。紅隊測試最流行的用例之一是評估滲透測試后所做的安全性改進(jìn)���。但是使用這種類型的測試來檢查整個受保護(hù)的環(huán)境是不合理的�����。
基于風(fēng)險的測試是一種安全測試方法��,它根據(jù)發(fā)現(xiàn)的威脅和風(fēng)險對活動進(jìn)行優(yōu)先級排序�。通過這種方法��,測試人員和安全專家可以就潛在風(fēng)險達(dá)成共識���,并根據(jù)影響程度對其進(jìn)行分級�����。當(dāng)項目有嚴(yán)格的時間限制或者您需要緊急的風(fēng)險評估和安全性改進(jìn)時����,基于風(fēng)險的測試是最好的選擇�。
讓我們從風(fēng)險評估的角度比較這些測試方法的有效性。
在這三種方法中����,用于網(wǎng)絡(luò)風(fēng)險評估的滲透測試在時間消耗,成本��,風(fēng)險覆蓋范圍和結(jié)果方面是最平衡的��。另外���,定期進(jìn)行滲透測試是NIST���,HIPAA,PCI DSS��,GDPR和其他制度的要求��。
在進(jìn)行滲透測試之前�����,重要的是要了解滲透測試的類型以及此過程的基本工作流程。
滲透測試
除了模擬黑客攻擊之外����,還有更多的事情要做。根據(jù)您的要求�����,期望的結(jié)果和目標(biāo)����,您需要選擇適當(dāng)?shù)臐B透測試類型,然后考慮將要使用的方法以及可能遇到的問題���。
滲透測試分為三種:
- 白盒測試 -測試團(tuán)隊完全了解目標(biāo)環(huán)境�����,包括有關(guān)軟件體系結(jié)構(gòu)和源代碼的知識�。他們不需要進(jìn)行額外的研究或漏洞掃描����,從而為更多的測試活動節(jié)省時間�。此外���,他們只需要證明漏洞利用的可能性,而不是如何利用漏洞�����。白盒測試可以由內(nèi)部安全專家或第三方供應(yīng)商執(zhí)行����。當(dāng)您想針對內(nèi)部攻擊測試安全控件時,這種類型的測試非常有用���。白盒測試方法包括DoS攻擊�����,內(nèi)存取證���,物理侵入,逆向工程�����,模糊測試等。
- 黑盒測試 -測試團(tuán)隊幾乎不了解環(huán)境�。因此,他們必須使用任何可公開訪問的信息進(jìn)行滲透���。換句話說�����,這種滲透測試模擬了外部黑客攻擊��。黑盒測試需要花費大量時間����,但可以提供最客觀的安全漏洞和風(fēng)險評估�����。您需要一個外部組織來進(jìn)行這種滲透測試���。而且����,您的IT專家必須不知道他們正在接受測試����。黑盒測試人員使用與白盒測試人員相同的方法���,只是增加了物理攻擊。他們還利用漏洞掃描��,社會工程�,暴力破解和特權(quán)升級���,以及創(chuàng)建或使用現(xiàn)有的惡意軟件來滲透受保護(hù)的環(huán)境�����。
- 灰盒測試 —它是白盒測試和黑盒測試的結(jié)合版����,測試團(tuán)隊在滲透的環(huán)境中獲得有限的數(shù)據(jù)�����。例如�����,您可以為測試人員提供所用應(yīng)用程序的文檔,但不提供訪問憑據(jù)或源代碼����。與黑盒測試相比,此類測試花費的時間相對較少;與白盒測試相比�����,僅提供部分代碼覆蓋��?�;液袦y試也必須由第三方進(jìn)行��。進(jìn)行這種類型的安全評估的測試人員會使用白盒測試和黑盒測結(jié)合的方法�����。
三種滲透測試
這些測試類型都有自己的工作流程�。然而,與風(fēng)險評估程序類似�����,任何持久性測試共有三個階段。
首先���,攻擊前有一個準(zhǔn)備階段:映射網(wǎng)絡(luò)和外圍環(huán)境�、掃描端口�、研究漏洞利用和已知漏洞、選擇工具等���。在白盒測試中��,此階段還包括收集目標(biāo)組織及其員工的信息����。準(zhǔn)備是滲透測試最耗時的階段�����,但也是最重要的�����。
在攻擊階段���,測試人員試圖破壞目標(biāo)網(wǎng)絡(luò):破壞受保護(hù)的外圍設(shè)備、獲取或升級權(quán)限、訪問數(shù)據(jù)和清除痕跡���。
最后��,攻擊后階段包括評估潛在損害并報告滲透測試過程的結(jié)果����。此類報告總結(jié)了風(fēng)險評估過程�,通常包括:
- 發(fā)現(xiàn)的漏洞(如果掃描它們屬于滲透測試的范圍)
- 測試期間使用的方法和工具的說明
- 漏洞列表(已使用和可能的)
- 分析這些漏洞可能帶來的風(fēng)險
- 評估發(fā)現(xiàn)的風(fēng)險可能對業(yè)務(wù)造成的影響
使用此報告,您可以繼續(xù)進(jìn)行風(fēng)險管理的下一階段:風(fēng)險緩解和控制����。例如,使用滲透測試結(jié)果����,您可以:
- 評估安全控制的當(dāng)前狀態(tài)
- 觀察您的安全團(tuán)隊對黑客攻擊的反應(yīng)
- 有理由增加您的網(wǎng)絡(luò)安全預(yù)算
- 定義安全改進(jìn)并確定其優(yōu)先級
- 創(chuàng)建修補程序并采取長期的緩解措施
如我們所見,滲透測試是評估網(wǎng)絡(luò)安全控制和風(fēng)險的好方法��。但是���,請務(wù)必牢記滲透測試的風(fēng)險��。讓我們在下一部分中了解它們�����。
本文翻譯自:https://www.apriorit.com/dev-blog/676-cybersecurity-risk-assessment-with-pentesting
接下篇《滲透測試評估風(fēng)險的簡要指南Part 2》
文章標(biāo)題:滲透測試評估風(fēng)險的簡要指南Part 1
轉(zhuǎn)載源于:
http://uogjgqi.cn/article/coohhgo.html
