什么是渗透测试?
渗透测试服务是为企业客户提供的一种信息系统安全检测服务。通过对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击,模拟侵入系统并获取系统权限,并将入侵过程和细节总结编写成测试报告,由此确定存在的安全威胁并及时提醒企业客户完善安全策略,降低安全风险。
从渗透测试中,客户能够得到的收益至少有:
● 发现安全最短板,有效了解目前降低风险的初始任务;
● 有助于客户管理者明晰目前的安全现状,从而增强信息安全的认知程度;
● 有助于客户内部安全层次的提升。
渗透测试流程
1. 情报搜集阶段(Information Gathering)
利用各种信息来源与搜集技术方法,尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息。
2.威胁建模阶段(Threat Modeling)
在搜集到充分的情报信息之后,针对获取的信息进行威胁建模与攻击规划。
3.漏洞扫描阶段(Vulnerability Scanning)
快速发现严重及其易利用的高危漏洞,迅速发现潜在问题。
4.漏洞分析阶段(Vulnerability Analysis)
综合分析前几个阶段获取并汇总的情报信息,特别是安全漏洞扫描结果、服务节点信息等,通过搜索可获取的渗透代码资源,找出可以实施渗透攻击的攻击点,并在实验环境中进行验证。
5.渗透攻击阶段(Exploitation)
利用所找出的目标系统安全漏洞来入侵系统,获得系统访问控制权。
6.后渗透阶段(Post Exploitation)
根据目标组织的业务经营模式、保护资产形式与安全防御计划的不同特点,设计出攻击目标,识别关键基础设施,寻找最具价值和尝试安全保护的信息和资产,最终达成能够造成最重要业务影响的攻击途径。
7.撰写报告阶段(Reporting)
通过所获取的关键情报信息、探测和发掘出的系统安全漏洞、成功渗透攻击的过程、以及造成的业务影响后果,分析漏洞原因、安全防御体系的薄弱环节及存在的问题,包括最后的修补方案,撰写渗透测试报告。