什么是外部渗透测试?
渗透测试(也称为pentest)是一种安全评估,模拟真实世界攻击者的活动,以识别您的IT系统或应用程序中的安全漏洞。测试的目的是了解您有哪些漏洞,如何利用这些漏洞,以及如果攻击者成功,会产生什么影响。
通常首先进行外部pentest(也称为外部网络渗透测试)是对外围系统的评估。你的周边是所有可以从互联网直接访问的系统。根据定义,它们是暴露的,因此是最容易和最经常受到攻击的。
测试弱点
外部测试人员寻找各种方法来破坏这些外部的、可访问的系统和服务,以访问敏感信息,并查看攻击者如何将目标对准您的客户、客户或用户。
在高质量的外部测试中,安全专业人员将复制真实黑客的活动,例如执行漏洞攻击以试图控制您的系统。他们还将测试发现的任何弱点的程度,以了解恶意攻击者可以深入您的网络的程度,以及成功攻击的业务影响。
首先运行外部pentest
外部渗透测试假定攻击者事先无法访问您的系统或网络。这与内部渗透测试不同,内部渗透测试测试攻击者已经在受损机器上立足或实际在建筑物内的情况。通常情况下,在完成常规漏洞扫描和外部渗透测试后,首先掩盖基本面,然后考虑内部测试是有意义的。
如何进行外部渗透测试
那么你如何进行外部渗透测试呢?安排外部测试应该很简单,只需询问您的托管服务提供商或IT顾问,并将他们指向您的外围系统(域和IP地址/范围的列表)。
外部笔测试通常在“黑盒”基础上运行,这意味着没有向测试人员提供特权信息(如应用程序凭据、基础结构图或源代码)。这类似于真正的黑客一旦发现你的IP和域名列表,就会开始攻击你的组织。
但在组织外部渗透测试时,有一些重要的指示和尽职调查值得牢记:
- 谁在做你的测试?他们是合格的渗透测试人员吗?您可以在如何选择渗透测试公司的指南中了解更多关于渗透测试认证和选择顾问的信息。
- 你要付多少钱?报价通常基于日费率,您的工作范围根据评估所需的天数确定。每一种都可能因公司而异,因此可能值得四处逛逛,看看有什么优惠。
- 包括什么?值得尊敬的服务提供商应向您提供一份计划书或工作说明,概述要开展的工作。注意范围内和范围外的内容。
- 还有什么建议?选择一个提供商,包括检查您公开的服务是否重复使用被破坏的凭据、密码喷射攻击,以及对可公开访问的应用程序进行web应用程序测试。
- 你应该包括社会工程吗?这可能是一个很好的附加值,尽管当攻击者以足够的决心尝试时,这种类型的测试几乎总是成功的,因此如果您的预算有限,这不应该是一个硬性要求。
外部渗透测试与漏洞扫描
如果您熟悉漏洞扫描,您会注意到外部pentest有一些相似之处。那么,有什么区别?
通常,外部渗透测试包括完整的外部漏洞扫描,但这正是开始的地方。扫描工具的所有输出将由pentester手动调查,以消除误报,运行漏洞利用以验证弱点的程度/影响,并将多个弱点“链接”在一起,以产生更具影响力的漏洞利用。
当漏洞扫描程序简单地报告某个服务存在严重弱点时,顶层测试人员会试图利用该弱点并控制系统。如果成功,顶层公寓将利用他们的访问权限进一步发展,并危及进一步的系统和服务。
Pentests深入挖掘漏洞
虽然漏洞扫描器通常会识别潜在的问题,但渗透测试人员会对这些问题进行全面调查,并报告弱点是否需要关注。例如,漏洞扫描程序会定期报告“目录列表”,即web服务器提供服务器上所有文件和文件夹的列表。这本身不一定是一个漏洞,但确实需要调查。
如果敏感文件(如包含凭据的备份配置文件)被暴露并按目录列表列出,则一个简单的信息问题(如漏洞扫描程序所报告的)可能会很快转化为对您的组织的高影响风险。pentester的工作包括仔细审查一系列工具的输出,以确保万无一失。
如果我需要更严格的测试怎么办?
还可能包括一些真正的攻击者将执行的其他活动,这些活动不是由漏洞扫描程序执行的,但测试人员之间的差异很大。如果您希望这些在范围内,请在安排顶层测试之前检查提案或提出问题。例如:
- 持续的密码猜测攻击(喷药、暴力),试图破坏暴露的VPN和其他服务上的用户帐户
- 清除暗网和违规数据库,查找员工的已知违规凭证,并将其纳入管理小组和服务
- 可使用自注册机制的Web应用程序测试
- 社交工程攻击,如钓鱼您的员工
Pentests不能取代常规的漏洞测试
请记住,每天都会发现新的关键漏洞,攻击者通常会在发现后一周内利用最严重的漏洞。
虽然外部渗透测试是深入了解暴露系统安全性的重要评估,但最好将其作为补充定期漏洞扫描的额外服务;你应该已经准备好了!
关于入侵者
Intruder是一家网络安全公司,通过提供持续的漏洞扫描和渗透测试服务,帮助组织减少攻击面。入侵者强大的扫描仪设计用于快速识别高影响缺陷、攻击表面的变化,并快速扫描基础设施以发现新出现的威胁。Intruder进行了数千次检查,包括识别错误配置、缺失补丁和网络层问题,使企业级漏洞扫描变得容易,每个人都可以访问。入侵者的高质量报告非常适合传递给潜在客户或遵守安全法规,如ISO 27001和SOC 2。
Intruder提供30天的漏洞评估平台免费试用。今天就访问他们的网站吧!
