滲透測試(Penetration Test)是委任受信任的第三方進行一種評估網路安全的活動,它透過對企業網路進行各種手段的攻擊來找出系統存在的漏洞,進而驗證出網路系統存在安全風險的一種實踐活動。

滲透測試透過模擬的真實攻擊行為,可證實惡意攻擊者有可能竊取或破壞企業的數位設備、資產、資訊與資料。

滲透測試並沒有一個標準的定義,國外一些安全組織達成共識的通用說法是:滲透測試是通過模擬惡意黑客的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,並且從這個位置有條件主動利用安全漏洞。

滲透測試大多數情況下是一種秘密的測試,大多數由技術顧問人員或者內部技術人員扮演惡意攻擊者,攻擊系統等層面的安全性。因為最終目的是滲透來驗證安全性,所以這種測試除了參與人員外通常不會全面發出事前的警告(如果會那就不要滲透而叫做演習了)。

理論上,如果企業外包了滲透測試,客戶應該讓技術顧問知道具體的目的是什麼,而不是漫無目標地在提供的範圍內亂逛。當然這牽涉到測試的類型:黑箱、白箱、灰箱。但不管是怎樣的測試類型還是必須制定停止檢測的具體目標,畢竟滲透測試並無法包山包海包到好。

而目前,為什麼滲透測試不如它說明的那麼有用?

因為它具體的目標是從攻擊來驗證安全性。為了這麼做,這個團隊要鑑別可能的漏洞,重點是那些從駭客的角度認為會產生攻擊結果,而不太可能會被開發者察覺到的。在這一點上,客戶可以看到結果對這些漏洞的攻擊可以產生什麼樣的破壞。

但是,在運行測試的時候,測試人員並不會發現所有的漏洞,甚至不能確定測試可能檢測到的所有漏洞的存在(因為這並不是在進行弱點掃描)。滲透測試所能夠證明的是系統可以被攻擊。它並非是針對每一個漏洞進行記錄,頂多紀錄那些在測試中被利用的漏洞。所以雖然滲透測試可以推斷出整體進行的安全防護問題,但是任何滲透測試人員都無法保證已經鑑別了客戶所有的安全問題甚至是大部分的問題尤其是跟人員管控相關的。

既然如此,那麼滲透測試有什麼作用呢?

執行及管控良好的滲透測試可以證明各種內部原因所產生的不安全設定與系統配置,沒有安全專責單位的企業需要有說服力的第三方觀點來說明不充分的安全配置可能導致的重大損失。而滲透測試就是要將可能的損失以強而有力並生動的證明出來,要顯現出企業的電腦被攻擊的事實。

滲透測試仍然是發現網絡安全薄弱環節的重要方法,這需要花費大量的時間和努力,如果沒有指定出如何使用測試結果的策略,那麼進行測試是沒有意義的。只有通過確認測試範圍、驗證結果、運用指標對它們的嚴重性進行分類、清楚簡明地報告發現結果,才能真正反映出公司當前的網絡安全風險狀況

By tony

自由軟體愛好者~喜歡不斷的思考各種問題,有新的事物都會想去學習嘗試 做實驗並熱衷研究 沒有所謂頂天的技術 只有謙虛及不斷的學習 精進專業,本站主要以分享系統及網路相關知識、資源而建立。 Github http://stnet253.github.io

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料