渗透测试方法和标准 – IBM 博客

在线空间持续快速增长，为计算机系统、网络或 Web 应用程序内发生网络攻击提供了更多机会。为了减轻和应对此类风险，渗透测试是发现攻击者可能利用的安全漏洞的必要步骤。

什么是渗透测试？

A 渗透测试或“笔测试”是一种安全测试，用于模拟实际的网络攻击。 A 网络攻击 可能包括网络钓鱼尝试或破坏网络安全系统。根据所需的安全控制，组织可以使用不同类型的渗透测试。测试可以手动运行，也可以通过特定的行动过程或笔测试方法使用自动化工具运行。

为什么要进行渗透测试以及谁参与其中？

条款 ”道德黑客行为“渗透测试”和“渗透测试”有时可以互换使用，但还是有区别的。道德黑客行为的范围更广 网络安全 包括任何使用黑客技能来提高网络安全的领域。渗透测试只是道德黑客使用的方法之一。道德黑客还可能提供恶意软件分析、风险评估以及其他黑客工具和技术，以发现和修复安全漏洞，而不是造成伤害。

IBM的 数据泄露报告的成本 2023 年发现，2023 年数据泄露的全球平均成本为 4.45 万美元，三年内增长了 15%。缓解这些漏洞的一种方法是执行准确且有针对性的渗透测试。

公司聘请渗透测试人员对其应用程序、网络和其他资产发起模拟攻击。通过发动虚假攻击，渗透测试人员可以提供帮助 安全团队 发现关键安全漏洞并改善整体安全状况。这些攻击通常由红队或进攻性安全小组执行。这 红队 模拟真实攻击者针对组织自身系统的策略、技术和程序 (TTP)，作为评估安全风险的一种方式。

当您进入渗透测试过程时，需要考虑多种渗透测试方法。组织的选择将取决于目标组织的类别、渗透测试的目标和安全测试的范围。没有一种放之四海而皆准的方法。它要求组织了解其安全问题和安全策略，以便在笔测试过程之前进行公平的漏洞分析。

观看 X-Force 的笔测试演示

5种顶级渗透测试方法

笔测试过程的第一步是决定遵循哪种方法。

下面，我们将深入研究五种最流行的渗透测试框架和笔测试方法，以帮助指导利益相关者和组织找到满足其特定需求的最佳方法，并确保它涵盖所有必需的领域。

1. 开源安全测试方法手册

开源安全测试方法手册（OSSTMM）是最流行的渗透测试标准之一。该方法经过安全测试同行评审，由安全与开放方法研究所 (ISECOM) 创建。

该方法基于科学的渗透测试方法，为测试人员提供了可访问且适应性强的指南。 OSSTMM 的方法论包括运营重点、渠道测试、指标和信任分析等关键功能。

OSSTMM 为笔测试专业人​​员提供了网络渗透测试和漏洞评估的框架。它旨在成为提供商查找和解决漏洞（例如敏感数据和身份验证问题）的框架。

2.开放Web应用安全项目

OWASP 是 Open Web Application Security Project 的缩写，是一个致力于 Web 应用程序安全的开源组织。

该非营利组织的目标是让任何想要提高自己的 Web 应用程序安全性的人免费并轻松访问其所有材料。 OWASP 有自己的 返回顶部 （链接位于外部 IBM.com），这是一份维护良好的报告，概述了 Web 应用程序最大的安全问题和风险，例如跨站点脚本、身份验证失效和进入防火墙后面。 OWASP 使用前 10 名列表作为其 OWASP 测试指南的基础。 

该指南分为三个部分：用于 Web 应用程序开发的 OWASP 测试框架、Web 应用程序测试方法和报告。 Web应用程序方法可以单独使用，也可以作为Web测试框架的一部分用于Web应用程序渗透测试、移动应用程序渗透测试、API渗透测试和物联网渗透测试。

三、渗透测试执行标准

PTES，即渗透测试执行标准，是一种综合渗透测试方法。

PTES 由信息安全专业团队设计，由七个主要部分组成，涵盖渗透测试的各个方面。 PTES 的目的是制定技术指南，概述组织应该从渗透测试中获得什么，并从参与前阶段开始在整个过程中为他们提供指导。

PTES 旨在成为渗透测试的基准，并为安全专业人员和组织提供标准化方法。该指南提供了一系列资源，例如渗透测试过程从开始到结束的每个阶段的最佳实践。 PTES 的一些关键特征是利用和后利用。漏洞利用是指通过渗透技术获取系统访问权限的过程，例如 社会工程学 和密码破解。后利用是指从受感染的系统中提取数据并保持访问权限。

4. 信息系统安全评估框架

信息系统安全评估框架 (ISSAF) 是由信息系统安全小组 (OISSG) 支持的渗透测试框架。

此方法已不再维护，并且可能不是最新信息的最佳来源。然而，它的主要优势之一是它将各个渗透测试步骤与特定的渗透测试工具联系起来。这种类型的格式可以为创建个性化方法奠定良好的基础。

5.国家标准技术研究院  

NIST 是美国国家标准与技术研究所的缩写，是一个网络安全框架，为联邦政府和外部组织提供了一套可遵循的渗透测试标准。 NIST 是美国商务部的一个机构，应被视为要遵循的最低标准。

NIST 渗透测试与 NIST 发送的指南保持一致。为了遵守此类指南，组织必须按照预先确定的一组指南执行渗透测试。

渗透测试阶段

设定范围

在渗透测试开始之前，测试团队和公司会设定测试范围。范围概述了将测试哪些系统、何时进行测试以及渗透测试人员可以使用的方法。范围还决定渗透测试人员将提前获得多少信息。

开始测试

下一步将是测试范围规划并评估漏洞和功能。在此步骤中，可以进行网络和漏洞扫描，以更好地了解组织的基础设施。可以根据组织的需要进行内部测试和外部测试。笔测试人员可以执行多种测试，包括黑盒测试、白盒测试和灰盒测试。每个都提供不同程度的有关目标系统的信息。

一旦建立了网络概述，测试人员就可以开始分析给定范围内的系统和应用程序。在此步骤中，渗透测试人员将收集尽可能多的信息以了解任何错误配置。

调查结果报告

最后一步是报告和汇报。在此步骤中，重要的是开发渗透测试报告，其中包含渗透测试的所有结果，概述已识别的漏洞。该报告应包括缓解计划以及不采取补救措施时的潜在风险。

笔测试和 IBM

如果您尝试测试所有内容，您将浪费时间、预算和资源。通过使用具有历史数据的通信和协作平台，您可以集中、管理高风险网络、应用程序、设备和其他资产并确定其优先级，以优化您的安全测试计划。 X-Force® Red Portal 使参与修复的每个人都可以在发现漏洞后立即查看测试结果，并在方便时安排安全测试。

探索 X-Force 的网络渗透测试服务