|
|
|
|
|
|
来源: 发布日期:2017.12.15 点击量:
1.目标
模拟黑客入侵的技术手段对目标网络系统进行安全检查,找出目标系统是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小,从而为制定相应的应对措施与解决方案提供实际的依据。
2.渗透测试流程
安言咨询说提供的渗透测试过程主要包括以下阶段:
方案制定。获取到客户的书面授权许可后,才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。在测试实施之前,安全顾问会做到让客户对渗透测试过程和风险的知晓,使随后的正式测试流程都在客户的控制下。
确定范围。客户根据自己的需要,确定本次项目的范围;允许使用的攻击手段,是否允许使用暴力破解、拒绝服务等手段。
信息收集。这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统(如:ISS、极光等);免费的检测工具(NESSUS、Nmap等)进行收集。
测试实施。这是整个评估过程中花费时间最长的一个阶段,安全工程师利用端口扫描、漏洞扫描等工具对渗透测试的目标进行安全漏洞检查,并根据扫描结果筛选可以利用的漏洞。
攻击测试阶段。安全工程师针对发现的漏洞,利用攻击程序进行攻击测试;如果测试成功,例如:获得系统的机密数据,则结束渗透测试过程。如果所有的攻击测试都没有成功,可以根据客户的需要选择使用暴力破解等手段进行更深一步的测试,或者直接结束测试过程。
报告输出。渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告,内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议。
安全复查。渗透测试完成后,协助客户对已发现的安全隐患进行修复,修复完成后,渗透测试工程师对修复的成果再次进行测试复查,对修复的结果进行检验,确保修复结果的有效性。
下图是更为详细的步骤拆分示意图:
渗透测试流程图
3.渗透测试的成果
渗透测试是站在实战角度对客户指定的目标系统进行的安全评估,可以让客户相关人员直观的了解到自己网络、系统、应用中隐含的漏洞和危害发生时可能导致的损失。
通过安言咨询的渗透测试,可以获得如下成果:
安全缺陷:从黑客的角度发现客户安全体系中的漏洞(隐含缺陷),协助客户明确目前降低风险的措施,为下一步的安全策略调整指明了方向。
测试报告:能帮助客户以实际案例的形式来说明目前安全现状,从而增加客户对信息安全的认知度,提升客户人员的风险危机意识,从而实现内部安全等级的整体提升。
交互式渗透测试:我们的渗透测试人员在客户约定的范围、时间内实施测试,而客户人员可以与此同时进行相关的检测监控工作,测试自己能不能发现正在进行的渗透测试过程,从中真实的评估自己的检测预警能力。
相关客户案例: