当前位置:测试行业动态 → 正文

保障网络安全 内部测试机制确定

责任编辑:editor02 |来源:企业网D1Net  2013-05-08 09:27:54 本文摘自:51CTO

测试网络的外围很重要,但攻击者可能已经位于网络内部。攻击者可能是一位有不满情绪的员工,或者是利用防火墙内服务和周边安全防御的外部人员。如果要测试内部安全控制,那么您需要考虑多个方面,包括各种内部测试、您可能希望使用的测试技术和测试员工的重要性(社会工程测试)。

一个单位的内部网络可能会受到各种方式的检测、分析和攻击。

一些最常见的内部测试类型包括:

· 内部攻击:这种渗透测试技术可以模拟由授权个人发起的恶意活动,他有组织网络的合法连接。例如,如果访问规则太过于宽松,那么IT管理员就可能将其他人挡在网络之外。

· 外部攻击:这种渗透测试技术会检查外部人员通过宽松的服务访问内部。它可能会攻击超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、结构化查询语言(SQL)、远程桌面(RDP)或其他服务。有一些在线服务专门会销售受限企业资源的访问权限。

· 盗取设备攻击:这种攻击接近于物理攻击,因为它针对于组织的设备。它可能会专门盗取CEO的笔记本电脑、智能手机、复印机或单位的备份磁带。无论是什么设备,其目标都一样:提取重要信息、用户名和密码。

· 物理进入:这种测试技术专门测试组织的物理控制。要对房门、大门、锁、守卫、闭路电视(CCTV)和警报器进行测试,检查它们是否会被绕过。一种常用的方法是使用撞匙打开机械锁,用Arduino板打开电子锁。

· 绕过验证攻击:这种测试技术会寻找无线接入端和调制解调器。其目标是了解系统是否安全,并提供足够的验证控制。如果可以绕过控制,那么道德黑客可能会尝试了解能够获得哪一级别的系统控制。

渗透测试团队的网络知识结构不同,所采用的测试技术也会有所不同

· 墨盒测试可以模拟外部攻击,因为外部人员通常不知道所攻击网络或系统的内部情况。简单地说,安全团队完全不了解目标网络及其系统。攻击者必须收集关于目标的各种信息,然后才能确定它的优缺点。

· 白盒测试则采用与墨盒测试完全相反的方法。这种安全测试的前提是,安全测试人员完全了解网络、系统和基础架构。这种信息允许安全测试人员采用一种更规范化的方法,它不仅能够查看所提供的信息,还能够验证它的准确性。所以,虽然墨盒测试在收集信息时会花费更长的时间,但是白盒测试则在漏洞检测时花费更多时间。

· 灰盒测试有时候指的是只了解部分情况的测试。灰盒测试人员只知道部分的内部结构。

无论采用哪一种渗透测试方法,其目的都是对组织的网络、策略和安全控制进行系统的检查。一个良好的渗透测试还可以检查组织的社会成分。社会工程攻击的目标是组织的员工,其目的是通过操纵员工获得私密信息。近几年来,许多成功的攻击案例都组合使用了社会和技术攻击手段。Ghostnet和Stuxnet就是这样两个例子。如果您需要在执行内部渗透测试之后更新政策,那么一个很好的资源是SANS政策项目。要通过良好的控制、政策和流程对员工进行长期培训,才能够很好地对抗这种攻击手段。

关键字:测试技术白盒测试Stuxnet

本文摘自:51CTO

x 保障网络安全 内部测试机制确定 扫一扫
分享本文到朋友圈
当前位置:测试行业动态 → 正文

保障网络安全 内部测试机制确定

责任编辑:editor02 |来源:企业网D1Net  2013-05-08 09:27:54 本文摘自:51CTO

测试网络的外围很重要,但攻击者可能已经位于网络内部。攻击者可能是一位有不满情绪的员工,或者是利用防火墙内服务和周边安全防御的外部人员。如果要测试内部安全控制,那么您需要考虑多个方面,包括各种内部测试、您可能希望使用的测试技术和测试员工的重要性(社会工程测试)。

一个单位的内部网络可能会受到各种方式的检测、分析和攻击。

一些最常见的内部测试类型包括:

· 内部攻击:这种渗透测试技术可以模拟由授权个人发起的恶意活动,他有组织网络的合法连接。例如,如果访问规则太过于宽松,那么IT管理员就可能将其他人挡在网络之外。

· 外部攻击:这种渗透测试技术会检查外部人员通过宽松的服务访问内部。它可能会攻击超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、结构化查询语言(SQL)、远程桌面(RDP)或其他服务。有一些在线服务专门会销售受限企业资源的访问权限。

· 盗取设备攻击:这种攻击接近于物理攻击,因为它针对于组织的设备。它可能会专门盗取CEO的笔记本电脑、智能手机、复印机或单位的备份磁带。无论是什么设备,其目标都一样:提取重要信息、用户名和密码。

· 物理进入:这种测试技术专门测试组织的物理控制。要对房门、大门、锁、守卫、闭路电视(CCTV)和警报器进行测试,检查它们是否会被绕过。一种常用的方法是使用撞匙打开机械锁,用Arduino板打开电子锁。

· 绕过验证攻击:这种测试技术会寻找无线接入端和调制解调器。其目标是了解系统是否安全,并提供足够的验证控制。如果可以绕过控制,那么道德黑客可能会尝试了解能够获得哪一级别的系统控制。

渗透测试团队的网络知识结构不同,所采用的测试技术也会有所不同

· 墨盒测试可以模拟外部攻击,因为外部人员通常不知道所攻击网络或系统的内部情况。简单地说,安全团队完全不了解目标网络及其系统。攻击者必须收集关于目标的各种信息,然后才能确定它的优缺点。

· 白盒测试则采用与墨盒测试完全相反的方法。这种安全测试的前提是,安全测试人员完全了解网络、系统和基础架构。这种信息允许安全测试人员采用一种更规范化的方法,它不仅能够查看所提供的信息,还能够验证它的准确性。所以,虽然墨盒测试在收集信息时会花费更长的时间,但是白盒测试则在漏洞检测时花费更多时间。

· 灰盒测试有时候指的是只了解部分情况的测试。灰盒测试人员只知道部分的内部结构。

无论采用哪一种渗透测试方法,其目的都是对组织的网络、策略和安全控制进行系统的检查。一个良好的渗透测试还可以检查组织的社会成分。社会工程攻击的目标是组织的员工,其目的是通过操纵员工获得私密信息。近几年来,许多成功的攻击案例都组合使用了社会和技术攻击手段。Ghostnet和Stuxnet就是这样两个例子。如果您需要在执行内部渗透测试之后更新政策,那么一个很好的资源是SANS政策项目。要通过良好的控制、政策和流程对员工进行长期培训,才能够很好地对抗这种攻击手段。

关键字:测试技术白盒测试Stuxnet

本文摘自:51CTO

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^