谈一谈安全测试的各种姿势
发布时间:2022-06-01 08:51:49 所属栏目:安全 来源:互联网
导读:今年以来,红蓝攻防演练在企业安全服务市场变得非常火热,特别是在演习行动推动下,很多企业都会在实际演习行动之前都会进行一两轮、甚至三四轮的攻防演练,以提前发现企业安全体系建设中的短板与弱项。然而,有些企业就开始有点迷茫了,我们公司一直在购买
|
今年以来,红蓝攻防演练在企业安全服务市场变得非常火热,特别是在演习行动推动下,很多企业都会在实际演习行动之前都会进行一两轮、甚至三四轮的攻防演练,以提前发现企业安全体系建设中的短板与弱项。然而,有些企业就开始有点迷茫了,我们公司一直在购买渗透测试服务,还有必要搞红蓝攻防演练吗?渗透测试与红蓝攻防演练到底有何不同呢?在此,笔者就来聊聊渗透测试的各种姿势,以方便大家在购买安全服务时进行比较。 一、渗透测试基本概念 根据百度百科的定义:渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制。搜狐网某网友分享的定义:渗透测试就是在取得客户授权的情况下,通过模拟黑客攻击来对客户的整个信息系统进行全面的漏洞查找、分析、利用,最后给出完整的渗透报告和问题解决方案。从这些定义看,渗透测试内涵其实还是非常宽泛的,没有限定具体的表现形式。因此,在具体实施过程中,甲方公司根据各自的企业情况(如风险容忍程度、CTO/CSO个人喜好、预算投入、财务制度等)进行灵活的协商,形成了适应企业实际情况的渗透测试模式,可以说,在一千个企业里,就存在着一千种渗透测试模式。 二、渗透测试的各种姿势 不过,从笔者观察来看,这些不同的渗透测试模式,大致可以分为以下五种:上线前的渗透测试、上线后定期在线安全测试、依托众测平台的安全众测、自组织的安全众测、红蓝攻防演练。 (一)上线前渗透测试 这应该是各种企业安全测试的标配了,一般都是信息系统已经完成了联调联试,各项功能指标、技术指标已经达到了设计要求之后,在企业的测试环境中进行的一次渗透测试。从某种意义说,上线前的渗透测试就是一个安全的Checklist,一般关注技术性漏洞,利用各种工具检查系统存不存在xss、文件上传、越权访问、命令执行等漏洞。渗透测试结果一般直接转给业务系统开发人员,对企业内其他人员的安全意识传导作用比较薄弱。 (二)上线后定期在线安全测试 因为上线前的渗透测试不能发现因上线过程中配置失误导致的安全漏洞,所以,有些企业就会采用上线后定期在线安全测试的形式,比如,每季度、每个重大活动之前等。根据实际情况,在线安全测试的目标可以选择专门针对某一系统或几个系统,也可以选择全量的在线业务系统。安全测试不仅是从技术角度正面进攻检测漏洞,还会通过端口扫描、资产发现、管理后台扫描等手段,发现因配置失误导致的安全漏洞。 (三)依托众测平台的安全众测 2010年成立的乌云网,聚集了一批民间渗透测试高手,俗称“白帽子”,后来发展成为国内颇具影响力的漏洞平台。2011年,刚成立一年的乌云网连续披露京东、支付宝、网易等著名互联网企业存在高危漏洞,此后又接连指出支付宝2500万用户资料泄露、如家酒店开房信息泄露、腾讯7000万QQ群用户数据泄露等一系列安全问题。据说,那时候企业安全人员每天起床的第一件事就是打开乌云平台,看看有没有自家的安全漏洞。乌云网的兴起让人们看到了渗透测试领域的“人民战争”、“群众路线”威力。其后,乌云网因种种原因而停站,但是,其后却兴起了一批以专门提供众测服务的安全厂商,比较典型的有漏洞盒子安全众测平台、360补天安全众测平台、阿里先知安全众测平台、SOBUG安全众测平台等。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐