在线空间持续快速增长,为计算机系统、网络或 Web 应用程序内发生网络攻击提供了更多机会。为了减轻和应对此类风险,渗透测试是发现攻击者可能利用的安全漏洞的必要步骤。
什么是渗透测试?
A 渗透测试或“笔测试”是一种安全测试,用于模拟实际的网络攻击。 A 网络攻击 可能包括网络钓鱼尝试或破坏网络安全系统。根据所需的安全控制,组织可以使用不同类型的渗透测试。测试可以手动运行,也可以通过特定的行动过程或笔测试方法使用自动化工具运行。
为什么要进行渗透测试以及谁参与其中?
条款 ”道德黑客行为“渗透测试”和“渗透测试”有时可以互换使用,但还是有区别的。道德黑客行为的范围更广 网络安全 包括任何使用黑客技能来提高网络安全的领域。渗透测试只是道德黑客使用的方法之一。道德黑客还可能提供恶意软件分析、风险评估以及其他黑客工具和技术,以发现和修复安全漏洞,而不是造成伤害。
IBM的 数据泄露报告的成本 2023 年发现,2023 年数据泄露的全球平均成本为 4.45 万美元,三年内增长了 15%。缓解这些漏洞的一种方法是执行准确且有针对性的渗透测试。
公司聘请渗透测试人员对其应用程序、网络和其他资产发起模拟攻击。通过发动虚假攻击,渗透测试人员可以提供帮助 安全团队 发现关键安全漏洞并改善整体安全状况。这些攻击通常由红队或进攻性安全小组执行。这 红队 模拟真实攻击者针对组织自身系统的策略、技术和程序 (TTP),作为评估安全风险的一种方式。
当您进入渗透测试过程时,需要考虑多种渗透测试方法。组织的选择将取决于目标组织的类别、渗透测试的目标和安全测试的范围。没有一种放之四海而皆准的方法。它要求组织了解其安全问题和安全策略,以便在笔测试过程之前进行公平的漏洞分析。
5种顶级渗透测试方法
笔测试过程的第一步是决定遵循哪种方法。
下面,我们将深入研究五种最流行的渗透测试框架和笔测试方法,以帮助指导利益相关者和组织找到满足其特定需求的最佳方法,并确保它涵盖所有必需的领域。
1. 开源安全测试方法手册
开源安全测试方法手册(OSSTMM)是最流行的渗透测试标准之一。该方法经过安全测试同行评审,由安全与开放方法研究所 (ISECOM) 创建。
该方法基于科学的渗透测试方法,为测试人员提供了可访问且适应性强的指南。 OSSTMM 的方法论包括运营重点、渠道测试、指标和信任分析等关键功能。
OSSTMM 为笔测试专业人员提供了网络渗透测试和漏洞评估的框架。它旨在成为提供商查找和解决漏洞(例如敏感数据和身份验证问题)的框架。
2.开放Web应用安全项目
OWASP 是 Open Web Application Security Project 的缩写,是一个致力于 Web 应用程序安全的开源组织。
该非营利组织的目标是让任何想要提高自己的 Web 应用程序安全性的人免费并轻松访问其所有材料。 OWASP 有自己的 返回顶部 (链接位于外部 IBM.com),这是一份维护良好的报告,概述了 Web 应用程序最大的安全问题和风险,例如跨站点脚本、身份验证失效和进入防火墙后面。 OWASP 使用前 10 名列表作为其 OWASP 测试指南的基础。
该指南分为三个部分:用于 Web 应用程序开发的 OWASP 测试框架、Web 应用程序测试方法和报告。 Web应用程序方法可以单独使用,也可以作为Web测试框架的一部分用于Web应用程序渗透测试、移动应用程序渗透测试、API渗透测试和物联网渗透测试。
三、渗透测试执行标准
PTES,即渗透测试执行标准,是一种综合渗透测试方法。
PTES 由信息安全专业团队设计,由七个主要部分组成,涵盖渗透测试的各个方面。 PTES 的目的是制定技术指南,概述组织应该从渗透测试中获得什么,并从参与前阶段开始在整个过程中为他们提供指导。
PTES 旨在成为渗透测试的基准,并为安全专业人员和组织提供标准化方法。该指南提供了一系列资源,例如渗透测试过程从开始到结束的每个阶段的最佳实践。 PTES 的一些关键特征是利用和后利用。漏洞利用是指通过渗透技术获取系统访问权限的过程,例如 社会工程学 和密码破解。后利用是指从受感染的系统中提取数据并保持访问权限。
4. 信息系统安全评估框架
信息系统安全评估框架 (ISSAF) 是由信息系统安全小组 (OISSG) 支持的渗透测试框架。
此方法已不再维护,并且可能不是最新信息的最佳来源。然而,它的主要优势之一是它将各个渗透测试步骤与特定的渗透测试工具联系起来。这种类型的格式可以为创建个性化方法奠定良好的基础。
5.国家标准技术研究院
NIST 是美国国家标准与技术研究所的缩写,是一个网络安全框架,为联邦政府和外部组织提供了一套可遵循的渗透测试标准。 NIST 是美国商务部的一个机构,应被视为要遵循的最低标准。
NIST 渗透测试与 NIST 发送的指南保持一致。为了遵守此类指南,组织必须按照预先确定的一组指南执行渗透测试。
渗透测试阶段
设定范围
在渗透测试开始之前,测试团队和公司会设定测试范围。范围概述了将测试哪些系统、何时进行测试以及渗透测试人员可以使用的方法。范围还决定渗透测试人员将提前获得多少信息。
开始测试
下一步将是测试范围规划并评估漏洞和功能。在此步骤中,可以进行网络和漏洞扫描,以更好地了解组织的基础设施。可以根据组织的需要进行内部测试和外部测试。笔测试人员可以执行多种测试,包括黑盒测试、白盒测试和灰盒测试。每个都提供不同程度的有关目标系统的信息。
一旦建立了网络概述,测试人员就可以开始分析给定范围内的系统和应用程序。在此步骤中,渗透测试人员将收集尽可能多的信息以了解任何错误配置。
调查结果报告
最后一步是报告和汇报。在此步骤中,重要的是开发渗透测试报告,其中包含渗透测试的所有结果,概述已识别的漏洞。该报告应包括缓解计划以及不采取补救措施时的潜在风险。
笔测试和 IBM
如果您尝试测试所有内容,您将浪费时间、预算和资源。通过使用具有历史数据的通信和协作平台,您可以集中、管理高风险网络、应用程序、设备和其他资产并确定其优先级,以优化您的安全测试计划。 X-Force® Red Portal 使参与修复的每个人都可以在发现漏洞后立即查看测试结果,并在方便时安排安全测试。
本文是否有帮助?
有没有
IBM 时事通讯
获取我们的时事通讯和主题更新,提供最新的思想领导力和对新兴趋势的见解。
现在订阅
更多新闻通讯
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 10
- 15%
- 16
- 19
- 2023
- 2024
- 23
- 29
- 30
- 300
- 35%
- 39
- 40
- 400
- 7
- 80
- 9
- 95%
- a
- 关于
- ACCESS
- 无障碍
- 精准的
- 操作
- 添加
- 进步
- 广告
- 后
- 驳
- 机构
- 向前
- 目标
- 对齐
- 所有类型
- 已经
- 还
- amp
- an
- 分析
- 分析
- 分析
- 和
- 任何
- 任何人
- API
- 应用领域
- 应用程序开发
- 应用安全
- 应用领域
- 的途径
- 应用
- 保健
- 地区
- 刊文
- AS
- 方面
- 评估
- 评定
- 办公室文员:
- At
- 攻击
- 尝试
- 认证
- 作者
- 自动化
- 可使用
- 背部
- 银行业
- 基于
- 底线
- 基础
- BE
- 背后
- 最佳
- 最佳实践
- 更好
- 最大
- 黑盒子
- 博客
- 博客
- 蓝色
- 半身裙/裤
- 品牌
- 违反
- 违规
- 带来
- 破
- 预算
- 建立
- 商业
- 女商人
- 但是
- 按键
- by
- CAN
- 容量
- 资本
- 资本市场
- 碳
- 卡
- 牌
- 小心
- 携带
- 喵星人
- 产品类别
- 原因
- 集中
- 更改
- 更改
- 渠道
- 查
- 结算
- 选择
- 界
- CIS
- 程
- 合作
- 同事
- 颜色
- 未来
- 商业
- 沟通
- 公司
- 公司
- 比较
- 竞争的
- 复杂性
- 符合
- 执行
- 全面
- 妥协
- 一台
- 关注
- 考虑
- 考虑
- 消费者
- 容器
- 继续
- 继续
- 一直
- 合同
- 控制
- 控制
- 方便
- 价格
- Counter
- 课程
- 覆盖
- 占地面积
- 开裂
- 创建
- 创造
- 危急
- 的CSS
- 习俗
- 顾客
- 客户期望
- 客户体验
- 客户忠诚度
- 合作伙伴
- CX
- 网络攻击
- 网络攻击
- 网络安全
- data
- 数据泄露
- 数据安全
- 日期
- 听取汇报
- 决定
- 减少
- 专用
- 默认
- 定义
- 交付
- 交货
- 需求
- 示 范 曲
- 问题类型
- 部门
- 依赖
- 根据
- 描述
- 设计
- 确定
- 开发
- 发展
- 研发支持
- 设备
- 差异
- 不同
- 通过各种方式找到
- 潜水
- 分
- do
- 不
- 完成
- 每
- 容易
- 边缘
- 新兴经济体的新市场。
- 使
- 努力
- 确保
- 输入
- 特别
- 成熟
- 醚(ETH)
- 伦理
- 甚至
- 事件
- EVER
- 每个人
- 一切
- 追求卓越
- 执行
- Exit 退出
- 期望
- 期望
- 体验
- 说明
- 开发
- 探索
- 外部
- 工厂
- 公平
- 假
- false
- 特征
- 联邦
- 联邦政府
- 部分
- 文件
- 最后
- 金融
- 金融
- 金融服务
- 找到最适合您的地方
- 寻找
- 发现
- 完
- 火墙
- 姓氏:
- 第一步
- 五
- 固定
- 专注焦点
- 遵循
- 以下
- 字体
- 针对
- 格式
- 向前
- 发现
- 基金会
- 骨架
- 框架
- Free
- 止
- 功能
- 功能
- 未来
- 获得
- 搜集
- 发电机
- 得到
- 越来越
- 特定
- 全球
- 目标
- 非常好
- 货
- 治理
- 政府
- 格
- 团队
- 增长
- 指导
- 指南
- 方针
- 指南
- 黑客
- 黑客
- 发生
- 伤害
- 有
- 标题
- 高度
- 帮助
- 有帮助
- 高
- 高风险
- 聘请
- 历史的
- 整体
- 创新中心
- How To
- 但是
- HTTPS
- IBM
- 首次代币发行
- ICON
- 确定
- 确定
- if
- 图片
- 立即
- 影响力故事
- 重要
- 改善
- 改进
- in
- 有存货
- 包括
- 包括
- 包含
- 增加
- 增量
- 指数
- 个人
- 行业中的应用:
- 通货膨胀
- 信息
- 信息安全
- 信息系统
- 基础设施
- 可行的洞见
- 研究所
- 互动
- 兴趣
- 利率
- 内部
- 成
- 参与
- 物联网
- 问题
- IT
- 它的
- 一月
- JPG
- 只是
- 只有一个
- 键
- 景观
- 大
- 最新
- 发射
- 领导团队
- 光学棱镜
- 减
- 容易
- Line
- 友情链接
- 链接
- 清单
- 本地
- 当地
- 不再
- 忠诚
- 制成
- 主要
- 保持
- 主要
- 使
- 恶意软件
- 管理
- 颠覆性技术
- 手册
- 手动
- 许多
- 市场
- 市场
- 市场
- 材料
- 事项
- 最大宽度
- 可能..
- 意思
- 方法
- 方法
- 研究方法
- 方法
- 指标
- 可能
- 百万
- 分钟
- 最低限度
- 分钟
- 减轻
- 减轻
- 联络号码
- 更多
- 最先进的
- 最受欢迎的产品
- 许多
- 必须
- National
- 旅游导航
- 必要
- 打印车票
- 需要
- 网络
- 网络安全
- 网络
- 全新
- 新年
- 新闻简报
- 下页
- NIST
- 没有
- 非盈利
- 没什么
- 现在
- 发生
- of
- 折扣
- 进攻
- 办公
- 经常
- on
- 一
- 在线
- 打开
- 开放源码
- 开放
- 操作
- 运营
- 机会
- 优化
- 优化
- 追求项目的积极优化
- or
- 组织
- 组织
- 其他名称
- 我们的
- 结果
- 轮廓
- 大纲
- 概述
- 学校以外
- 超过
- 最划算
- 简介
- 己
- 业主
- 节奏的
- 页
- 面包
- 痛点
- 部分
- 部分
- 密码
- 同行评审
- 渗透
- 演出
- 执行
- 执行
- 制药
- 钓鱼
- 电话
- PHP
- 计划
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 插入
- 点
- 政策
- 热门
- 门户网站
- 位置
- 可能
- 帖子
- 潜力
- 做法
- Prepare
- 压力
- 小学
- 先
- 优先
- 程序
- 过程
- 过程
- 采购
- 产品
- 产品开发
- 产品质量
- 热销产品
- 专业人士
- 曲目
- 项目
- 提供
- 供应商
- 提供
- 目的
- 追求
- 质量
- 有疑问吗?
- 范围
- 急速
- 价格表
- 宁
- 阅读
- 真实
- 实时的
- 红色
- 减少
- 指
- 留
- 整治
- 报告
- 报告
- 必须
- 需要
- 居住
- 解决
- 资源
- 响应
- 保留
- 风险
- 风险评估
- 风险
- 机器人
- Room
- 运行
- s
- 销售
- 储
- 扫描
- 始你
- .
- 范围
- 作用域
- 屏风
- 脚本
- 部分
- 行业
- 保安
- 安全性测试
- 敏感
- 发送
- 搜索引擎优化
- 服务器
- 服务
- 特色服务
- 集
- XNUMX所
- 几个
- 短
- 应该
- 显示
- 作品
- 侧
- 信号
- 网站
- 技能
- 小
- 智能
- So
- 解决
- 一些
- 有时
- 来源
- 太空
- 具体的
- 花
- 赞助商
- 广场
- 阶段
- 分期
- 利益相关者
- 标准
- 标准化
- 标准
- 开始
- 开始
- 住宿
- 步
- 步骤
- 商店
- 策略
- 优势
- 强烈
- 学习
- 订阅
- 成功
- 这样
- 支持
- 奇怪
- 周围
- SVG的
- 系统
- 产品
- 策略
- 目标
- 团队
- 队
- 文案
- 技术
- 技术性
- 专业技术
- 易于
- 条款
- 第三
- test
- 测试
- 测试仪
- 测试
- 测试
- 比
- 谢谢
- 这
- 信息
- 其
- 他们
- 主题
- 那里。
- 博曼
- 他们
- 认为
- Free Introduction
- 那些
- 思想
- 精神领袖
- 三
- 通过
- 始终
- 次
- 标题
- 至
- 今天的
- 一起
- 也有
- 工具
- 最佳
- 返回顶部
- 主题
- 转型
- 趋势
- 信任
- 尝试
- 汹涌
- 类型
- 类型
- 我们
- 揭露
- 裸露
- 下
- 理解
- 理解
- 意外
- 跟上时代的
- 最新动态
- 网址
- USD
- 使用
- 用过的
- 使用
- 运用
- 各种
- 变化
- 查看
- 可见
- 漏洞
- 漏洞
- 漏洞评估
- 漏洞扫描
- W
- 希望
- 是
- 废物回收
- 方法..
- we
- 弱点
- 天气
- 卷筒纸
- Web应用程序
- 网络应用
- 什么是
- ,尤其是
- 是否
- 这
- 而
- WHO
- 为什么
- 将
- 中
- WordPress
- 工人
- 加工
- 值得
- 将
- 作家
- 书面
- XML
- 年
- 年
- 您
- 年轻
- 您一站式解决方案
- 和风网