您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

网络安全测试的七种主要类型

时间:2023-07-04 13:54:48  来源:安全牛  作者:


渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,包括了对系统各类弱点、技术缺陷或漏洞的主动分析。由于渗透测试需要通过模拟黑客攻击来评估目标系统的安全性和漏洞,因此可能会带来一些风险,比如影响目标系统的正常运行、泄露敏感数据、引起法律纠纷等。为了确保测试工作的安全性和有效性,企业组织在开展渗透测试工作前,需要全面了解测试的类型、方法和原则。本文将对其中的7种最常见类型进行介绍:

01、网络渗透测试

如果攻击者能够成功闯入公司的网络,其引发的风险将会非常高。网络渗透测试主要指测试人员尝试绕过防火墙、测试路由器、规避入侵检测和防御系统(IPS/IDS)、扫描端口和代理服务,并寻找所有类型的网络漏洞。在实际应用中,网络渗透测试工作主要包括外部网络渗透测试与内部网络渗透测试。

在外部网络渗透测试中,面向互联网的资产是模拟攻击的主要目标。通常,目标资产会由客户提供,但也可以在客户确认的情况下执行“无范围”(no-scope)测试。测试人员将尝试在扫描期间发现的任何可利用漏洞。此外,允许登录的暴露服务将受到密码猜测攻击的影响,例如暴力破解或密码喷射。对外开放的企业网站通常会接受额外的审查,以寻找攻击者容易利用的常见Web漏洞。

内部网络渗透测试则是从已获得组织内部网络访问权限的角度进行,可以在测试人员和客户员工之间提供有益的互动,测试人员可以使用客户提供的基础设施,或是他们自己的物理或虚拟远程测试系统来进行远程访问。

02、社会工程渗透测试

社会工程是网络犯罪分子用来欺骗用户泄露凭据或敏感信息的一种技术。如今,大多数网络安全攻击会从社会工程、网络钓鱼或短信网络钓鱼开始。攻击者通常会联系员工,通过电子邮件、电话、社交媒体及其他方式瞄准那些拥有管理员或高级访问权限的人。通过社会工程渗透测试可以帮助安全团队预先了解组织的人员安全意识状态,并在社会工程攻击期间和之后测试组织安全团队的反应和支持能力。

社会工程测试主要包括:

  • 网络钓鱼测试。旨在确定组织的用户群对鱼叉式网络钓鱼攻击的敏感性。该测试的目标不是评估组织电子邮件保护的有效性,而是确定当邮件避开这些过滤器时用户将如何反应。这些评估的结果可以用于增强组织的反社会工程意识计划。
  • 电话语音钓鱼。测试人员会使用来电显示欺骗技术冒充用户、支持人员或客户。该评估旨在说服用户执行一些可能会披露信息或提供对组织系统的访问权限的操作。许多用户会根据来电号码选择信任来电者。部分用户会察觉出攻击并以各种方式做出响应,例如咨询安全顾问或在通话后联系信息安全团队。
  • USB令牌注入。用户可能会无意中尝试将USB设备连接到环境中。在此评估类型中,测试人员会将部署看似普通的USB驱动器,并诱使用户将该设备插入公司系统。这些USB设备可以是包含建立远程连接的恶意文件的典型驱动器,也可以是在连接时执行某些键盘操作。
  • 收集短信钓鱼。这种评估类型类似于网络钓鱼,但利用的媒介变为SMS或短消息服务向用户发送欺诈性的消息。与网络钓鱼一样,这些活动将尝试让用户访问冒充组织的站点或尝试传递恶意木马病毒。

03、Web应用渗透测试

基于Web的应用程序对于几乎每家组织的运营都至关重要。Web应用程序渗透测试侧重于通过Web应用程序呈现给攻击者的攻击面。这些测试类型旨在评估Web应用程序的安全性,并寻找攻击性方法来访问敏感数据,或获得对Web应用程序的控制权限。在此评估期间,组织通常会向测试人员提供凭据访问权限,以审查整个应用程序。

Web应用程序测试的对象包括Web应用程序、浏览器、ActiveX、插件、Silverlight、小脚本和小应用程序,测试中所用的语言包括JAVAphp、和.NET等。应用编程接口(API)与XML、MySQL、Oracle及其连接和系统一样也是测试的一部分。如果Web应用程序是移动的,它们还需要在其环境中进行测试。由于端点在运行时和Web应用程序在线时具有交互性,针对Web应用的渗透测试会很复杂,渗透测试人员必须兼顾所有方面。

04、无线网络渗透测试

现代企业会高度依赖无线网络来连接端点和物联网设备等,无线网络已成为网络犯罪分子的热门目标,但其应用安全性却常被企业所忽视。覆盖无线安全的渗透测试必须面面俱到,无线网络测试人员需要寻找无线加密中已知的缺陷,试图破解密钥,诱使用户向“双面恶魔”(evil twin)接入点或被攻击者控制的文件夹提供凭据,并暴力破解登录详细信息。恶意接入点扫描可以通过物理位置和经过身份验证的无线分段测试完成这些评估类型,以确定攻击者在成功连接到环境后可以访问的内容。

随着企业开始走上数字化转型和现代化之路,物联网、传感器、摄像头、移动设备及和其他端点面临的威胁也在加大。黑客会试图通过这些新的入口点访问关键资产,数字攻击面扩大无疑对他们有利。因此,渗透测试人员需要全面验证无线加密协议、检查信标、确认流量以及搜索接入点、热点和mac地址欺骗。

05、物理安全渗透测试

并非公司面临的所有威胁都是由外部网络应用所引起,特别是在边缘计算兴起后,很多企业会在接近业务运营的地方建立数据分中心,面向这些中心的物理环境安全测试已变得更加重要。

在物理环境安全测试中,测试人员将会模拟验证大门的安全系统、门禁卡、门锁、摄像头和传感器,并尝试冒充工作人员。他们还会验证当攻击者可以物理访问计算设备、数据中心网络和边缘计算网络时,企业数字化应用系统的安全系数会如何变化。这类测试通常会在安全团队大多数成员完全不知情的情况下执行。

06、云计算渗透测试

私有云和公共云的广泛应用为现代企业组织带来了诸多好处,但也给网络犯罪分子带来了机会。许多组织在云端都存放了大量关键业务数据资产,如果这些资产遭到破坏,会导致业务运营的瘫痪。

虽然云供应商会为企业提供功能强大的配套安全服务,但云渗透测试对企业组织已必不可少。云端渗透测试需要提前通知云提供商,因为系统的某些区域可能禁止白帽黑客访问。

云端的渗透测试必须遵守云服务商给出的统一渗透测试演练规则。而在开始进行测试前,组织也需要详细填写云计算安全渗透测试申请表。云渗透测试的内容主要包括检查云环境的安全性、应用程序及API、访问、存储、加密、虚拟机、操作系统及更新、安全外壳(SSH)、远程桌面协议(RDP)远程管理以及错误配置和密码。

07、红蓝对抗测试

受军事演习活动的启发,在网络安全领域也开始流行基于实战背景的攻防对抗测试演练活动,会组织专业的测试红队充当攻击者,而蓝队主要由企业现有的安全团队组成。这种整体式对抗性测试方法能够确保渗透测试的真实性和有效性,不仅可以评估安全缺陷、漏洞和威胁,还可以评估安全团队的反应能力。

通过聘请行业专家充当蓝队,企业组织不仅可以发现目前的安全防护薄弱环节,还可以趁此机会提升员工的专业安全技能。安全团队可以学习如何更快速地了解和响应攻击。红蓝对抗测试有多种形式。有时蓝队被告知模拟或渗透测试的时间,有时则完全不知情。红队渗透测试人员可以深入了解内部安全团队在如何响应,并提供优化的建议。

参考链接:https://www.esecurityplanet.com/networks/types-of-penetration-testing/



Tags:网络安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  Search: 网络安全  点击:(19)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27  Search: 网络安全  点击:(14)  评论:(0)  加入收藏
网络安全--域名过滤功能详解
路由器的域名过滤功能是一种网络安全机制,允许管理员控制局域网内的设备对互联网上特定域名(即网站)的访问。这一功能主要用于家长控制、企业网络管理或者其它需要限制网络使用...【详细内容】
2024-03-26  Search: 网络安全  点击:(5)  评论:(0)  加入收藏
如何使用免费网络安全工具Canary Tokens查明黑客何时访问了您的文件?
译者 | 布加迪审校 | 重楼担心您的个人文件被黑客窃取吗?Canary Tokens是一款免费且易于使用的工具,可以快速部署。如果黑客打开您的文件,它就会通知您。什么是Canary Tokens?Ca...【详细内容】
2024-03-26  Search: 网络安全  点击:(13)  评论:(0)  加入收藏
Sora来袭AI换脸门槛降低 网络安全公司何以应对新风险?
    本报记者 丁蓉    近期,中国香港警方披露了一起AI(人工智能)“多人换脸”诈骗案,涉案金额高达2亿港元。一家跨国公司香港分部的职...【详细内容】
2024-02-29  Search: 网络安全  点击:(38)  评论:(0)  加入收藏
注意网络安全!广州市消委会教您选购智能摄像头
近年来,智能家居技术和产业快速发展,智能摄像头不仅能实现录像功能,还能实现移动追踪侦测、自动巡检、人形侦测等功能,为人们提供了多种安防需求。为向消费者提供真实可用的商品...【详细内容】
2024-02-28  Search: 网络安全  点击:(38)  评论:(0)  加入收藏
深入解析Sysmon日志:增强网络安全与威胁应对的关键一环
在不断演进的网络安全领域中,保持对威胁的及时了解至关重要。Sysmon日志在这方面发挥了至关重要的作用,通过提供有价值的见解,使组织能够加强其安全姿态。Windows在企业环境中...【详细内容】
2024-01-16  Search: 网络安全  点击:(39)  评论:(0)  加入收藏
网络安全员怎么考?有什么要求?行业前景如何?
网络安全员是一种专门从事网络安全防护和管理的专业人员。他们的主要职责是保护网络系统免受各种威胁和攻击,确保网络的稳定运行和数据的安全。网络安全员需要对网络系统进行...【详细内容】
2024-01-16  Search: 网络安全  点击:(76)  评论:(0)  加入收藏
网络安全工程师需要考CISSP证书吗?
网络安全工程师是否需要考取CISSP证书,这主要取决于个人职业规划和市场需求。首先,CISSP证书是国际上公认的网络安全认证之一,拥有CISSP证书可以证明持有者在网络安全领域具备...【详细内容】
2024-01-15  Search: 网络安全  点击:(46)  评论:(0)  加入收藏
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03  Search: 网络安全  点击:(108)  评论:(0)  加入收藏
▌简易百科推荐
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  小嵩鼠    Tags:数据可视化   点击:(19)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27    51CTO  Tags:网络安全   点击:(14)  评论:(0)  加入收藏
详解渗透测试和漏洞扫描的开源自动化解决方案
译者 | 刘涛审校 | 重楼目录 什么是渗透测试 规划和侦察 扫描 开发和获得访问权限 维持访问权 报告和控制 什么是漏洞扫描 渗透测试工具 渗透测试的自动化 渗透自动化工作流...【详细内容】
2024-02-27    51CTO  Tags:渗透测试   点击:(26)  评论:(0)  加入收藏
如何保护你的电脑不受黑客攻击
在数字时代,网络安全已经成为每个人必须关注的重要问题。黑客攻击、数据泄露和网络犯罪等事件频频发生,使得我们的个人隐私和财产安全面临严重威胁。那么,如何保护你的电脑不受...【详细内容】
2024-02-04  佳慧慧    Tags:黑客攻击   点击:(50)  评论:(0)  加入收藏
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03    51CTO  Tags:网络安全威胁   点击:(108)  评论:(0)  加入收藏
终端设备通信网络安全防护方案
终端设备的网络安全是一个综合性问题,需要用户、组织和厂商共同努力,采取一系列的措施来保护终端设备的安全。终端设备网络安全防护方案主要包括以下几个方面:1. 强化用户身份...【详细内容】
2024-01-01  若水叁仟    Tags:网络安全   点击:(52)  评论:(0)  加入收藏
深入解析802.1X认证:网络安全的守护者
802.1X认证,对于很多人来说,可能只是一个陌生的技术名词。然而,在网络安全的领域中,它却扮演着守护者的角色。今天,我们就来深入解析802.1X认证,看看它是如何保护我们的网络安全的...【详细内容】
2023-12-31  韦希喜    Tags:网络安全   点击:(65)  评论:(0)  加入收藏
提升网络安全:ADSelfService Plus多重身份验证的关键
在当今数字化的时代,网络安全问题愈发突出,企业和组织面临着日益严峻的挑战。为了应对不断进化的网络威胁,越来越多的组织开始采用多层次的安全措施,其中多重身份验证成为了关键...【详细内容】
2023-12-27  运维有小邓    Tags:网络安全   点击:(87)  评论:(0)  加入收藏
企业如何应对网络钓鱼攻击的激增?
随着我们进入数字时代,网络犯罪的威胁继续以惊人的速度增长。在最流行的网络犯罪形式中,网络钓鱼仅在过去一年就出现了472%的攻击激增。企业在保护自己及其客户免受网络钓鱼诈...【详细内容】
2023-12-19    千家网  Tags:钓鱼攻击   点击:(81)  评论:(0)  加入收藏
十四部门开展网络安全技术应用试点示范工作 面向13个重点方向
央广网北京12月18日消息 据工业和信息化部网站消息,工业和信息化部等十四部门印发通知,开展网络安全技术应用试点示范工作,试点示范内容面向13个重点方向。通知指出,适应数字产...【详细内容】
2023-12-18    央广网  Tags:网络安全   点击:(57)  评论:(0)  加入收藏
站内最新
站内热门
站内头条