10月
17

渗透测试成功的7个策略

渗透测试成功的7个策略

10月17日
通过

随着关于勒索软件、社会工程和身份盗窃的讨论越来越多,您可能会惊讶地发现,对您组织的最大威胁就在您的鼻子底下。在其2016年数据安全事件响应报告, BakerHostetler强调人为错误是安全漏洞的主要原因。我梳理过的大多数研究似乎都归咎于不安全的网络实践和缺乏意识。一个看似简单的员工错误可能导致灾难性的后果。这就是为什么渗透测试不仅仅是一种选择,而是一种必须。

什么是渗透测试?

渗透测试或渗透测试是对IT基础设施的各个方面进行漏洞测试的过程。与传统的漏洞测试不同,它进一步利用发现的任何弱点,以暴露所有合法的威胁。渗透测试可以在网站、软件程序,甚至是一群移动设备上进行。努力确定攻击者是如何损害您的组织的。

安全渗透测试概念

渗透测试的目标是发现弱点,当这些弱点得到解决时,将显著提高应用程序、系统或整个组织的安全性。因为没有一个系统是绝对可靠的,大多数测试应该会产生一些可以用来加强安全性的发现。

渗透测试的安全好处

如果你现在还不相信,下面列出的好处应该会让你完全认识到渗透测试的重要性:

现实世界的经验:在渗透测试中获得的经验在应对现实生活中的安全事件时是非常宝贵的。在这方面,它非常类似于您为评估公司的灾难准备水平而进行的测试。这些结果将在很大程度上说明您的安全策略的整体有效性,以及您的员工在处理漏洞方面的能力如何。

封堵安全漏洞:彻底的渗透测试将发现基础设施中任何可能导致安全漏洞的现有弱点或有缺陷的人员实践。您的团队可以使用这些发现来填补这些空白,并加强您的安全能力。

改善业务连续性停机时间越多,对运营和底线的影响就越大。适当的钢笔测试可以突出对业务连续性的潜在威胁,从而帮助确保最大正常运行时间。

保持合规:在某些行业,渗透测试实际上是一项法律要求。例如,支付卡行业数据安全标准(PCI-DSS)要求商家定期进行这一过程,以保护消费者数据。确保正确地执行这些测试将有助于组织避免因未能满足法规遵从性而导致的严重惩罚。

其他领域从紧:渗透测试的结果可以帮助组织在安全以外的领域调整他们的工作。开发人员可以确切地了解黑客是如何破坏他们的应用程序的,更重要的是,可以进行改进,以防止将来发生类似的事件。

补充企业安全:渗透测试是任何企业手中强有力的安全工具。当与您的安全策略、补丁管理调度、威胁情报流程和其他现有安全实践相结合时,它可以在完善您的防御方面发挥不可或缺的作用。

加强信任和忠诚:一次成功的网络攻击或安全漏洞几乎肯定会损害客户、供应商和业务合作伙伴的信任。当他们直接受到影响时,情况尤其如此。一家致力于渗透测试和其他安全评估的公司可以让这些利益相关者放心,他们的机密信息和交易是安全的。

已证实的钢笔测试策略

像任何企业解决方案一样,渗透测试不是你可以部署并期待最好的结果的东西。要产生理想的结果,需要专业知识超过基本IT安全的熟练从业人员的集中努力。考虑到这一点,下面是一些渗透测试的最佳实践:

1.定义你的测试目标

当你事先建立了你的目标,你就会有一个测试过程来满足这些目标。因此,如果您想要解决某些特别的问题,请确保在将您的目标传递给测试团队时清楚地定义了它。概述一组特定的目标可以帮助提供确定最大安全风险所在所需的重点。

小群商务人士手拉手,低角度观看

2.组建最好的团队

最具成本效益的方法是由现有的安全人员组成一支钢笔测试团队。其他公司则寻求第三方公司的服务。走出去的好处是拥有专业人士的勤奋,他们不太可能走捷径。无论您是从内部构建还是引入专家,了解您选择的人员可以成就或破坏您的笔测试计划是至关重要的。您需要一个安全专家团队,他们可以设计从计划到实现再到报告内容的全面测试方案。

3.像黑客一样思考

有效渗透测试的关键是像现实生活中的攻击者一样思考和行动。测试人员必须配备模拟攻击所需的工具,并确定如果黑客成功会发生什么。但并不是所有的攻击者都是平等的,因此为最有可能的入侵者创建唯一的概要文件是有意义的。可能是心怀不满、一心复仇的前雇员,也可能是对公司运作知之甚少的局外人。Pen测试人员应与管理层和IT部门密切合作,以开发模拟构成最现实威胁的攻击者的概要文件。

4.添加社交元素

基于绝对的流行程度,社会工程应该是每个渗透测试策略的重要组成部分。这种操纵技巧将员工视为防御系统中最薄弱的一环。这意味着你要试图通过跟在员工后面获得机会。社会工程的惊人效果可以从鱼叉式网络钓鱼中看到。研究表明鱼叉式网络钓鱼占所有网络攻击的90%以上,造成全球数十亿美元的损失。

穿西装的木偶

除了流行的技术,如网络钓鱼,笔测试者应该熟悉心理学在社会工程杠杆。回报、权威和稀缺性只是社会工程师用来诱使人们做出危险行为的动机之一。钢笔测试员越接近于模仿社会工程,他们就越能揭示一个组织的真正弱点。从那里,他们可以建议安全机制和教育实践,以最大限度地减少风险。

5.探索所有可能的角度

通往宝藏的途径不止一种,攻击者会利用尽可能多的入口点进入公司。理想情况下,笔测试将针对每个相关的攻击向量。目标是不惜一切代价挖到土。打印机中的登录数据可能看起来微不足道,但它可能与存储客户信息、信用卡号或其他敏感数据的数据库共享凭据。当涉及到攻击载体时,渗透测试必须不遗余力。

6.让数据成为你的向导

在一次成功的网络安全漏洞之后,大多数调查工作都可以追踪到目标数据集。在像攻击者一样思考的过程中,测试人员需要识别处于危险中的数据,确定它的位置,并找出真正的罪犯如何可能获得它。无论是知识产权、客户数据还是商业计划,兜售最敏感的数据总是会引导笔测试人员朝着正确的方向前进。

7.明智地选择你的笔测试

虽然有几种类型可供选择,但渗透测试主要分为两类:黑盒测试和白盒测试。在白盒场景中,测试人员对测试主题有深入的了解或访问。由于近距离和个人性质,这种类型的测试非常适合内部应用程序或内部威胁。

在黑盒场景中,测试人员不了解测试主题。测试人员需要识别由于公开可用信息而产生的任何漏洞。由于它模拟外部攻击,黑盒是渗透测试的传统形式。

每种渗透测试策略都有优点和缺点。你选择的方法对于确保你分配的时间、预算和人力产生的结果与你的目标一致是至关重要的。