文档介绍:TecKTarget
TT*B
TT安全技术题Z “渗透测试指南(更新版)” Page 2 of20
^^^^^SearchSecu
TT®±
渗透测试指南(更新版)
/X^
TT«全
渗透测试指南(更新版)
渗透测试(penetration test)是为了证明网络防御按照预期计划正常运行而提供的 一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补J•,并釆用了 漏洞疔描器等TA,以确保所仃补「都已打上。如果你早己做到了这些,为什么还耍请外 方进疔审査或渗透测试呢?因为,渗透测试能够独立地检査你的网络策略,换句话说,就
TecKTarget
TT*B
TT安全技术题Z “渗透测试指南(更新版)” Page 2 of20
是给你的系统安了一双眼睛。本技术手册将从渗透测试的理解、渗透测试其体实践和渗透 测试行业解析三方而向人家详述渗透测试。
渗透测试初步理解
掺透测试并没仃一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测 试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过 程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者町能存 在的位置來进行的,并J1从这个位置仃条件主动利用安全漏洞。
•:・潼透测试的解释
・:・零了解渗透测试的赞成和反对理由是什么
•:・标准灌透测试的道德***
•:・保证企业网络安全必希潅透测试吗?
渗透测试具体实践 ::留:险::::盅盂罷益汕:::益::;犧:却須
在对网络渗透测试进行设计期间,需耍设置许多界限來防止范用曼延(scope creep),也就是哪些设备、服务以及网络需要测试,而哪些不用测试;这个范用依赖于 测试的FI标。一定要记录和保存这个计划,因为测试Z后它就是你的测试框架,它能帮助 你判断哪些测试结果应该分析,血哪些不用分析。
TecKTarget
TT中 BB
TT安全技术题Z “渗透测试指南(更新版)” Page 3 of20
>Z*^^
TT«全
•:・灌透测试方法:创建一个网络潘透协议测试
•:・如何为潑透测试工作选取最佳IT安全认证
•:・如何处理网络渗透测试结果
•:・社会工程测试应该包含在渗透测试中吗?
・:・渗透测试员解密企业系统评估
渗透测试行业解析
渗透测试的冃标不仅是要评估电脑系统或者网络的安全性,还要决定成功攻击的町行 性和商业影响。这样的测试模仿企图利用你的企业系统中的潜在的漏洞的攻击者。发现的 任何安全问题随后都要报告,-起报告的还何对他们町能产生的影响的评估。
•:・如何进入潅透测试行业
•:・如何选择灌透测试人员
•:・道律黑客如何转变为线路渗透测试人员?
TT安全技术专题Z “渗透测试指南(更新版)” Page 4 of20
TecKTarget
"^^^
TT«ft
渗透测试的解释
安全诊断主要冇三种类型:渗透测试、审计和评估(被不同地描述为评估和风险评 估)。单独使用任何一种测试都不町以很好的进行。在测战系统安全的时候,必须要在合 适的时间执行合适的测试。还何一点非常吭要,就是所选择的测试要基于企业的需要,而 不是测试者(不管他们是内部员工还是外来的咨询人员)的技术(或者因为对技术的缺 乏)°
潅透测试
渗透测试的名声最响,因为每个人都听说过,而忖•“知道”渗透测试是专家用「确保 系统安全的。渗透测试冃前很有吸引了,但是却是在人部分情况卜使用最少得系统诊断方 法。
先说觅耍的W:正确执行的渗透测试是秘密的测试,It屮由咨询人员或者内部人员 扮演恶意攻击者,攻击系统的安全性。因为最终目的是滲透,这种测试不会发出警告,完 全保密(半然,上层管理人员同总进行测试并」1理解秘密的要求)。理想的是,应该没冇 来自企业的支持……或者,最人限度的是指出哪些是渗透测试团队应该避免的。很显然, 如果企业外包了渗透测试,客户n该让咨询者知道i 1体的目的足什么。测试就可以设计为 模仿内部或者外部的攻击。(例如,测试者可以使 用社交丁程师的方式进入网络)。在冃标企业中,只能有一部分人知道测试。测试的关键 的一方面是看企业是否能检测到渗透企图。处/这个原因,批准正式冋应的人应该也被包 括进去。
现在,为什么渗透测试不如它说明的那么仃用?因为它唯-的n标足攻击安全。为了 这么做,这个团队要鉴别町能的漏洞,重点是那些他们认为会产生结來,而不人町能被检