信瑞时代——专注IT科技12年

为什么要做渗透测试?


   





渗透测试   

几乎每次渗透测试都揭示了重要的安全漏洞   


敢说你不需要?   

除非你没有WEB应用    


摘引自 2019 CNCERT 国家互联网信息安全响应中心报告   


WEB 安全刻不容缓   


     在网络安全的背景下,并不意味着企业应该寻求破解威胁行为者的系统。相 反,它指的是组织需要将渗透测试或具有主动测试形式的自我安全攻击纳入其 网络安全计划。渗透测试是包括由安全顾问执行的自动化+手动化的测试过 程,以识别和利用客户端环境中的安全漏洞。但为什么渗透测试如此重要?   

    简短的回答是,渗透测试允许组织根据真实的攻击场景评估其网络安全状况, 这反过来使他们能够解决如果他们采用完全防御性的安全方法去面对被忽视的 问题。   


1:几乎所有渗透测试都揭示了重要的安全漏洞


    渗透测试非常有效。换句话说,测试者通常会成功地在客户组织的网络防御中找到漏 洞。事实上,Positive Technologies 最近的一项研究发现,在 2018 年,安全研究人员 冒充该组织之外的威胁行为者,客户的内部网络在 92%的外部测试中被破坏。更为引人注 目的是内部测试结果,其重点是与本地网络连接的恶意内部人员可能造成的损害,因为测 试者能够在 100%的情况下获得对系统的完整的管理控制。   

    这些发现证明了两件事。首先,渗透测试在暴露威胁参与者可能侵入和移动到您的网 络以便访问,操纵,破坏或破坏有价值的数据和系统的方式方面显然是有效的。该研究还 指出,公司根本无法正确保护他们的系统。部分问题是许多组织没有充分确定安全性的优 先级,因此没有为其分配足够的资源。然而,这里的根本问题是,像许多公司一样,单独 关注防御性安全是一个根本上有缺陷的战略。   

    仅通过防御手段保护其安全性是不够的。就像试图通过编辑自己的工作来提供完美无 缺的手稿:尽管在提交之前审查您的写作至关重要,但你一定会忽略一些错别字,甚至可 能更基本的错误。为了避免这种情况,你真的需要一双新眼睛来看你的工作。这份工作的 最佳人选将是一位专业的校对员,他们确切地知道出版商的读者将如何评论你的写作。对 于想要验证系统真正安全性的组织来说,情况也是如此:他们需要有人像攻击者那样探测 他们的系统。而这份工作的最佳人选便是专业的第三方渗透公司。而 AppScan 连续 7 年被 Gartner 评为应用程序安全测试领导者



2:渗透测试有助于防止补丁疲劳


    除了上面讨论纯粹防御性安全计划的本问题之外,还妨碍组织优化其网络安 全的实。一个常问题是组织越来越难发现的件和件漏洞不 大量安全补丁补丁疲劳多年是一个问题,事情越来越严重,因为报告的漏洞 量逐增加,目记录从 2018 起超 16,500 个安全漏洞,即每天 45 (见 1 即使这些补丁 10%与您的系统相关,这意味着每周必须识别,测试大 约 32 补丁   



    

    通过定渗透测试,公司可以识别其 IT 基础架构中最易受攻击的元素,因此他们可以 为这些系统确定安全补丁的优先级。如,上面引用的研究明,在外部测试中,安全通常可以通过利用 Web 应用程中的漏洞破坏网络外 4 个发现的渗透向量中 有 3 (即访问本地网络的方式安全性较差 Web 应用程。在这些情况下,客 户端可以通过安的安全更,并在时改进安全配置来开始保护这些应用程   



3:渗透测试揭示了超出漏洞评估范围的问题


渗透测试与漏洞评估是不一样的。   


组织了解其网络安全


    例如,上渗透测试的研究发现,两个系统中有一个系统的安全性非常 至于测试人员能利用一种类型的漏洞破坏网络边界并访问内部网络。换句话说,有 一公司没有遵循佳做法通过确保需要多个步骤来打入有价值的系统,可以阻止至少 减缓攻击者的网络分和其他解   


    这一发现强调了与漏洞评估,渗透测试的附加价值,因为漏洞扫描只能识别 漏洞,而不是影响(即,这使得测试人员如何立即访问内部网络。此外,渗透测试将 攻击者在获得访问权限后可以在网络上实执行的操如他们将能够查看哪敏感 数据。这是组织能通过渗透测试获得的非常有价值的信息   

    以下这些项目是漏洞评估无法识别的结果,如果发安全漏洞,这可能会对您的组 织产生大影响使用渗透测试的结果,您的组织可以通过减少攻击媒介的数敏感 源和系统的可访问路径确定保护其最有价值数据的方法。   


    工作站和服务器之间的共享本地管理员凭据      

    中间人攻击,在传输过程中暴露敏感数据   

    基于密码的攻击导致的弱活动目录域用户帐户凭据   

    在设备(例如打印机)上披露员工用户名和/或电子邮件地址   

    配置错误的一体式打印机包含特权域帐户凭据   

    Web 服务中的密码较弱,包括打印机,服务器,远程管理控制台等。   

    欺骗攻击,欺骗最终用户系统进行身份验证,泄露敏感凭据   

    与文件共享和服务关联的配置错误,暴露敏感数据   


联系我们:郑经理 18503051789 或 zhengwb@systime.com.cn

SysTime Technology
地址:广东省深圳市福田区中康路卓越城1期4栋11楼
电话:+86 755 32904845   18948770502
邮箱:apple@systime.com.cn