滲透測試旨在證明,網絡防御機制的運行與你認為的一樣良好。往往系統和網絡管理員視審查人員或滲透人員為敵人,但實際上他們卻是朋友。到位的滲透測試可以證明你的防御確實有效,或者查出問題,幫助你阻擋未來攻擊。出錢請自己知道的人來發現網絡中的漏洞,總比讓自己不知道的人發現漏洞好得多。
滲透測試也許是你的網絡防御工具箱當中的重要武器之一。應該視之為各種安全審查的一部分,但要確保審查人員勝任這項工作。
專業服務
滲透測試有時是作為外部審查的一部分而進行的。這種測試需要探查系統,以發現操作系統和任何網絡服務,并檢查這些網絡服務有無漏洞。你可以用漏洞掃描器完成這些任務,但往往專業人士用的是不同的工具,而且他們比較熟悉這類替代性工具。
滲透測試的作用一方面在于,解釋所用工具在探查過程中所得到的結果。只要手頭有漏洞掃描器,誰都可以利用這種工具探查*墻或者是網絡的某些部分。但很少有人能全面地了解漏洞掃描器得到的結果,較別提另外進行測試,并證實漏洞掃描器所得報告的準確性了。
打一個比方來解釋滲透測試的必要性。假設你要修建一座金庫,并且你按照建設規范將金庫建好了。此時是否就可以將金庫立即投入使用呢?肯定不是!因為還不清楚整個金庫系統的安全性如何,是否能夠確保存放在金庫的貴重東西萬無一失。那么此時該如何做?可以請一些行業中安全方面的*對這個金庫進行全面檢測和評估,比如檢查金庫門是否*被破壞,檢查金庫的報警系統是否在異常出現的時候及時報警,檢查所有的門、窗、通道等重點易突破的部位是否牢不可破,檢查金庫的管理安全制度、視頻安防監控系統、出入口控制等等。甚至會請專人模擬入侵金庫,驗證金庫的實際安全性,期望發現存在的問題。 這個過程就好比是對金庫的滲透測試。這里金庫就像是我們的信息系統,各種測試、檢查、模擬入侵就是滲透測試。
滲透測試,是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。不妨假設,你的公司定期較新安全策略和程序,時時給系統打補丁,并采用了漏洞掃描器等工具,以確保所有補丁都已打上。如果你早已做到了這些,為什么還要請外方進行審查或滲透測試呢?因為,滲透測試能夠獨立地檢查你的網絡策略,換句話說,就是給你的系統安了一雙眼睛。而且,進行這類測試的,都是尋找網絡系統安全漏洞的專業人士。
滲透測試 (penetration test)并沒有一個標準的定義,國外一些安全組織達成共識的通用說法是:滲透測試是通過模擬惡意**的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。
換句話來說,滲透測試是指滲透人員在不同的位置(比如從內網、從外網等位置)利用各種手段對某個特定網絡進行測試,以期發現和挖掘系統中存在的漏洞,然后輸出滲透測試報告,并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告,可以清晰知曉系統中存在的安全隱患和問題。
我們認為滲透測試還具有的兩個顯著特點是:滲透測試是一個漸進的并且逐步深入的過程。滲透測試是選擇不影響業務系統正常運行的攻擊方法進行的測試。
作為網絡安全防范的一種新技術,對于網絡安全組織具有實際應用**。但要找到一家合適的公司實施滲透測試并不容易。
為了從滲透測試上獲得*大**,應該向測試組織提供盡可能詳細的信息。這些組織同時會簽署保密協議,這樣,你就可以較放心地共享策略、程序及有關網絡的其它關鍵信息。
-/gbadeeb/-
http://www.sohi.cc
