亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

滲透測試和紅隊(duì)

滲透測試

滲透測試是對給定的目標(biāo)系統(tǒng)進(jìn)行安全測試,找出漏洞或風(fēng)險的過程。滲透測試工程師會從不同的層面(包括應(yīng)用層、網(wǎng)絡(luò)層、系統(tǒng)層甚至物理層)對目標(biāo)系統(tǒng)進(jìn)行脆弱性分析,嘗試找出盡可能多的漏洞、配置錯誤或其他安全風(fēng)險,并嘗試對這些找到的漏洞進(jìn)行組合利用,最終獲取到訪問關(guān)鍵隱私數(shù)據(jù)的權(quán)限(隱私數(shù)據(jù)包括用戶信息或者商業(yè)秘密等)。滲透測試過程中對漏洞的利用一方面能證明漏洞真實(shí)存在,另一方面這些漏洞的利用結(jié)果也能揭示出目標(biāo)系統(tǒng)所面臨的風(fēng)險等級。

滲透測試專注于對給定的系統(tǒng)進(jìn)行測試,存在明確的測試目標(biāo)和測試邊界。企業(yè)會指定測試起始時間和結(jié)束時間,測試時長一般為1到2周。測試目標(biāo)可能是web系統(tǒng)、工業(yè)控制網(wǎng)絡(luò)、內(nèi)部辦公網(wǎng)絡(luò)等等。各類眾測平臺上的測試任務(wù)本質(zhì)上就是滲透測試任務(wù),這些任務(wù)都會明確測試范圍,比如指定web系統(tǒng)域名、指定測試的APP等。

一般安全企業(yè)提供的滲透測試服務(wù)通常可以分解成一組針對不同系統(tǒng)的測試任務(wù),如針對web系統(tǒng)的測試任務(wù)、針對內(nèi)部辦公網(wǎng)的測試任務(wù)、社會工程學(xué)測試任務(wù)等等。

滲透測試在評估系統(tǒng)或網(wǎng)絡(luò)的安全性時,通常會忽略企業(yè)里其他運(yùn)行環(huán)境的安全限制。例如,內(nèi)網(wǎng)滲透測試將從內(nèi)網(wǎng)中惡意用戶(例如惡意員工或被入侵的員工機(jī)器)的角度評估企業(yè)的網(wǎng)絡(luò)安全性。測試工程師到達(dá)現(xiàn)場后,將會直接將筆記本電腦接入內(nèi)部辦公網(wǎng)絡(luò)開始進(jìn)行測試。內(nèi)網(wǎng)滲透測試會忽略黑客在內(nèi)網(wǎng)中獲得初始落腳點(diǎn)這個步驟(通常是通過釣魚郵件或其他方式欺騙員工運(yùn)行惡意程序),直接從已有內(nèi)網(wǎng)接入權(quán)限開始進(jìn)行測試。內(nèi)網(wǎng)測試報告會包含內(nèi)網(wǎng)中暴露的有漏洞的服務(wù)、未打補(bǔ)丁的系統(tǒng)、錯誤的系統(tǒng)配置、敏感文件共享等等安全問題,但是不會包含黑客最初如何獲取內(nèi)網(wǎng)接入權(quán)限這個步驟。

在滲透測試過程中,企業(yè)中負(fù)責(zé)防護(hù)的安全團(tuán)隊(duì)一般不會直接參與,為了配合滲透測試,企業(yè)有時會關(guān)閉某些安全防護(hù)軟件或禁用安全策略,方便測試工程師找出更多的安全漏洞。

當(dāng)整個滲透測試活動結(jié)束后,工程師會出具一份滲透測試報告,里面包含所有發(fā)現(xiàn)的漏洞列表以及每個漏洞具體的利用步驟和過程,同時會依據(jù)漏洞危害給出相應(yīng)的威脅等級評分。

紅隊(duì)

盡管紅隊(duì)測試在有些攻擊技術(shù)方面類似滲透測試,但不同于滲透測試盡量多找漏洞的目標(biāo),紅隊(duì)測試的任務(wù)往往是拿下某個特定的業(yè)務(wù)目標(biāo)(比如公司某個項(xiàng)目的源代碼,公司競標(biāo)標(biāo)書和底價等商業(yè)機(jī)密,某個高層管理人員的郵箱或個人機(jī)等) 。紅隊(duì)要模擬真實(shí)世界中的極具目的性且不希望被檢測到的惡意攻擊者(受競爭對手雇傭的惡意黑客,收集政治、經(jīng)濟(jì)和科技情報的境外國家資助的黑客團(tuán)伙等),紅隊(duì)測試某種程度上可以說是合法的高級持續(xù)性威脅(APT)。在這種完全貼近真實(shí)攻擊的測試活動中,能夠測試企業(yè)安全防護(hù)體系的阻斷(prevention)、檢測(detection)和響應(yīng)(response)能力。

滲透測試中只關(guān)注給定目標(biāo)系統(tǒng)的漏洞,紅隊(duì)測試則完全不一樣。紅隊(duì)在測試過程中關(guān)注的是如何規(guī)劃一條攻擊路徑來達(dá)到目的。在整個紅隊(duì)測試過程中不一定要也不一定會發(fā)現(xiàn)目標(biāo)組織的漏洞,只要能達(dá)到目的,任何形式的攻擊手段都可以使用,包括但不限于web或者操作系統(tǒng)漏洞、社會工程學(xué)、物理滲透、攻擊上下游合作供應(yīng)商等。

在紅隊(duì)測試開始前,除了任務(wù)目標(biāo)外,不會給到紅隊(duì)關(guān)于目標(biāo)企業(yè)的任何其他信息。紅隊(duì)需要通過各種渠道去搜集目標(biāo)的物理位置、公開的網(wǎng)絡(luò)系統(tǒng)和服務(wù)、組織架構(gòu)以及雇員等信息,然后根據(jù)收集的信息制定攻擊計(jì)劃并實(shí)施。被測企業(yè)并不清楚(或僅有少數(shù)人清楚)攻擊將于何時發(fā)起,將以何種方式進(jìn)行。紅隊(duì)測試的持續(xù)時間一般比滲透測試更長,可以達(dá)到4到6周甚至更長(想想看真實(shí)APT攻擊中長達(dá)數(shù)月的潛伏和持續(xù)滲透)。

紅隊(duì)在實(shí)施攻擊時,會盡量隱藏自己的蹤跡,另外還會詳細(xì)記錄每個攻擊行為的具體實(shí)施時間,在整個行動結(jié)束后需要與組織中的防御檢測部門(即藍(lán)隊(duì))的檢測響應(yīng)時間表進(jìn)行核對,以此來評估防御檢測機(jī)制的有效性和響應(yīng)速度,同時檢查藍(lán)隊(duì)在哪些方面存在漏報和響應(yīng)不及時,幫助藍(lán)隊(duì)更好的發(fā)現(xiàn)防御檢測層面的弱點(diǎn)。這一點(diǎn)CS做的很好,可以導(dǎo)出紅隊(duì)的詳細(xì)操作日志和時間。

結(jié)語

兩者并沒有哪個更好之說,對于企業(yè)來講,先要搞清楚具體的場景和安全需求,才能確定需要的是滲透測試還是紅隊(duì)測試。對于新上線的業(yè)務(wù)系統(tǒng),需要搞清楚存在那些漏洞以及漏洞可能造成的危害時,需要的是滲透測試;如果企業(yè)各個子系統(tǒng)都已經(jīng)進(jìn)行過滲透測試,并且存在成熟的漏洞管理、防御檢測以及應(yīng)急響應(yīng)機(jī)制,另外還想要對企業(yè)整體安全環(huán)境進(jìn)行評估,了解企業(yè)在面臨真正的安全攻擊事件時,是否有能力防御或者檢測并及時響應(yīng),那么需要的便是紅隊(duì)評估。

最后說一點(diǎn),在很多人的認(rèn)知里面,一個企業(yè)被攻破一定是因?yàn)榇嬖诎踩┒椿蛘吲渲缅e誤之類的安全問題,這是不正確的。如果真這么簡單,那只要按時打補(bǔ)丁,就能防住所有沒有0day的惡意黑客甚至防住APT攻擊了。上文已經(jīng)說過,紅隊(duì)測試過程中不一定會發(fā)現(xiàn)安全漏洞,很多時候不需要安全漏洞就能打穿一個企業(yè)。而現(xiàn)今的安全市場,很多企業(yè)還是以漏洞數(shù)量來評定安全服務(wù)團(tuán)隊(duì)的能力,就導(dǎo)出現(xiàn)了很多安全服務(wù)報告硬湊漏洞數(shù)量的怪象。在這種大環(huán)境下,企業(yè)可能反而認(rèn)為沒有發(fā)現(xiàn)安全漏洞但打穿了他們的紅隊(duì)安全能力不行,或者認(rèn)為純粹是偶然僥幸才能得手。這是一個認(rèn)知升級的過程,什么時候能不以漏洞數(shù)量來評定安全服務(wù)能力,才能說真正理解了安全和攻擊。




服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號