数据结构
网络
关系型数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究内部渗透测试和外部渗透测试的区别
渗透测试是一种网络安全程序,在此期间,专家团队会检查网络、软件、硬件、应用程序等是否存在安全漏洞。从本质上讲,渗透测试是为了订购在其自身系统上进行测试的公司而进行的合规性黑客行为。
在金融服务、医疗保健和政府系统访问等某些领域,渗透测试是监管机构的要求,而在其他领域则是自愿的。面对不断变化的威胁,渗透测试是一项重要的信息安全技术,应纳入组织的治理框架。
网络渗透测试,也称为“基础设施渗透测试”,可以从组织网络周边的内部和外部两个角度进行。
以下是一些常见的网络渗透测试场景示例 -
监控对公司网络基础设施的修改,以确保没有引入任何漏洞。
在企业并购或公司被收购后。
满足第三方(例如保险公司或业务合作伙伴)的要求。
什么是渗透测试?
随着攻击变得越来越复杂和普遍,企业进行定期渗透测试以发现漏洞、堵塞漏洞并确保网络控制正常运行变得更加重要。这些测试使公司能够通过发现其基础设施(硬件)、应用程序(软件)和人员中的弱点来采取主动方法,以建立能够跟上不断变化的网络威胁态势的持续和充分的控制措施。
渗透测试或合规性黑客是渗透测试的其他术语。它指的是故意发起模拟网络攻击以查找计算机系统、网络、网站和应用程序中可利用的漏洞。渗透测试工具可用于评估组织安全策略的稳健性、法规遵从性、员工安全意识以及组织识别和响应安全问题(随着问题的出现)以及识别安全漏洞的能力。
渗透测试步骤
渗透测试技术包括五个步骤。
侦察和计划
他们定义测试的范围和目标,以及要测试的系统和要使用的测试方法。
获取情报以更好地了解目标的操作和潜在漏洞。
扫描
下一步是确定目标应用程序将如何响应各种形式的入侵尝试。
获得进入权限
为了发现目标的漏洞,此阶段利用网络应用程序攻击,例如跨站点脚本、SQL 注入和后门。然后,测试人员尝试利用这些漏洞,通常是通过提升权限、窃取数据、拦截通信等方式,以确定他们可以造成的损害范围。
保持访问权限开放
此阶段将评估漏洞是否可以被利用以在受损系统中建立长期存在,从而使不良行为者能够访问敏感信息。其目的是模拟复杂的持久性攻击,这些攻击可能会在系统中持续数月并窃取公司的敏感数据。
分析
获取的数据是否敏感。渗透测试人员能够在系统中未被发现地停留的时间。
渗透测试 - 为什么它很重要?
渗透测试对组织安全至关重要的主要原因是,它们教会员工如何处理任何形式的恶意入侵。渗透测试用于确定公司的安全实践是否真正有效。
渗透测试还可以识别贵公司或应用程序的哪些渠道最容易受到攻击,从而表明您应该投资哪些安全技术或协议。这种方法可能会发现许多您以前不知道的严重系统故障。
渗透测试报告还可以帮助开发人员减少错误。当开发人员了解恶意实体如何对他们帮助创建的应用程序、操作系统或其他软件进行攻击时,他们将更有动力学习更多关于安全的知识,并且不太可能犯类似的错误。
渗透测试的优缺点
这有很多优点,包括能够检测各种漏洞。它们可以发现一系列小缺陷导致的高风险缺陷。报告将包含明确的建议。
有一些重大问题。如果测试执行不正确,可能会导致服务器出现故障、泄露敏感数据、损坏关键生产数据以及与模拟犯罪入侵相关的各种其他问题。您必须相信渗透测试人员。如果不使用真实的测试设置,结果将具有欺骗性。
WAF 和渗透测试是两种不同的但互补的安全策略。某些安全审计方法(例如 PCI DSS 和 SOC 2)的合规性标准可以通过渗透测试来满足。某些标准(例如 PCI-DSS 6.6)只能通过使用经过认证的 WAF 来满足。但是,由于上述优势以及调整 WAF 设置的能力,渗透测试仍然很有益。
什么是内部渗透测试?
内部网络渗透测试用于确定攻击者在拥有初始网络访问权限的情况下可以做什么。内部网络渗透测试可以模拟内部威胁,例如人员恶意(有意或无意)行事。在进行内部渗透测试时,网络安全团队将检查无线网络、服务器、计算机系统和其他设备、防火墙、IDS/IPS,甚至员工行为和程序。
一旦发现这些组件中的漏洞,网络安全专家将尝试利用这些漏洞以确定潜在未经授权的访问和损害的范围。这种类型的测试更适合员工众多的企业、在内部保留敏感数据的公司或希望满足 PCI-DSS 等监管标准的公司。
虽然它是企业风险管理的重要组成部分,但在安全测试资源稀缺时,它不应优先于外部渗透测试。
什么是外部渗透测试?
外部网络渗透测试用于评估外围安全策略在预防和检测攻击方面的效率,并查找面向互联网的资产(如 Web、邮件和 FTP 服务器)中的漏洞。网络安全专业人员定期进行身份管理、密码弱点评估、授权和身份验证测试、错误处理评估以及许多其他外部渗透测试。
这些测试中通常使用 IDS/IPS 测试、足迹分析、手动测试、密码强度评估、系统、端口和服务扫描等方法。通过外部渗透测试,组织可以涵盖最有可能被利用并导致事件发生的最显著风险。
网络安全预算有限的组织可以依靠外部渗透测试来保护其系统和资产免受他们定期遇到的最常见类型的网络攻击。
外部和内部渗透测试的区别
下表重点介绍了内部和外部渗透测试的主要区别 -
| 内部渗透测试 | 外部渗透测试 |
|---|---|
| 内部渗透测试模拟内部威胁,并揭示在未经授权的情况下可以访问的内容。在这种情况下,攻击者已经拥有某种授权访问权限,并且在公司内部众所周知。 | 这是一种远程渗透测试,模拟最普遍的黑客攻击公司系统的方法。 |
| 其主要目的是弄清楚恶意或不满的员工可能做什么,或者恶意软件在整个公司网络中传播的后果是什么。 | 外部渗透测试的主要目的是检测和解决组织最严重的网络威胁,这些威胁不断受到自动化工具和黑客的检查。 |
结论
渗透测试是一项至关重要的技术,企业必须使用它来了解其系统对攻击者的脆弱程度。不应忽视内部渗透测试,但它不是首要关注的问题,因为内部威胁很少。另一方面,外部威胁不断变化、普遍存在,并且最难应对。
881 次浏览
