|
|
渗透测试
几乎每次渗透测试都揭示了重要的安全漏洞
敢说你不需要?
除非你没有WEB 应用
WEB 安全刻不容缓,您的应用真的安全吗?
在网络安全的背景下,并不意味着企业应该寻求破解威胁行为者的系统。相 反,它指的是组织需要将渗透测试或具有主动测试形式的自我安全攻击纳入其 网络安全计划。渗透测试是包括由安全顾问执行的自动化+手动化的测试过 程,以识别和利用客户端环境中的安全漏洞。但为什么渗透测试如此重要?
简短的回答是,渗透测试允许组织根据真实的攻击场景评估其网络安全状况, 这反过来使他们能够解决如果他们采用完全防御性的安全方法去面对被忽视的 问题。
1:几乎所有渗透测试都揭示了重要的安全漏洞
渗透测试非常有效。换句话说,测试者通常会成功地在客户组织的网络防御中找到漏 洞。事实上,Positive Technologies 最近的一项研究发现,在 2018 年,安全研究人员 冒充该组织之外的威胁行为者,客户的内部网络在 92%的外部测试中被破坏。更为引人注 目的是内部测试结果,其重点是与本地网络连接的恶意内部人员可能造成的损害,因为测 试者能够在 100%的情况下获得对系统的完整的管理控制。
这些发现证明了两件事。首先,渗透测试在暴露威胁参与者可能侵入和移动到您的网 络以便访问,操纵,破坏或破坏有价值的数据和系统的方式方面显然是有效的。该研究还 指出,公司根本无法正确保护他们的系统。部分问题是许多组织没有充分确定安全性的优 先级,因此没有为其分配足够的资源。然而,这里的根本问题是,像许多公司一样,单独 关注防御性安全是一个根本上有缺陷的战略。
仅通过防御手段保护其安全性是不够的。就像试图通过编辑自己的工作来提供完美无 缺的手稿:尽管在提交之前审查您的写作至关重要,但你一定会忽略一些错别字,甚至可 能更基本的错误。为了避免这种情况,你真的需要一双新眼睛来看你的工作。这份工作的 最佳人选将是一位专业的校对员,他们确切地知道出版商的读者将如何评论你的写作。对 于想要验证系统真正安全性的组织来说,情况也是如此:他们需要有人像攻击者那样探测 他们的系统。而这份工作的最佳人选便是专业的第三方渗透公司。而 AppScan 连续 7 年被 Gartner ping'wei
2:渗透测试有助于防止补丁疲劳
除了上面讨论的纯粹防御性安全计划的基本问题之外,还存在妨碍组织优化其网络安 全的实际因素。一个常见问题是组织越来越难以跟上新发现的软件和硬件漏洞不断发布的 大量安全补丁。补丁疲劳多年来一直是一个问题,事情只会越来越严重,因为报告的漏洞 数量逐年增加,目前的记录从 2018 年起超过 16,500 个安全漏洞,即每天 45 个(见下 图 1) )。即使这些补丁中只有 10%与您的系统相关,这意味着每周必须识别,测试大 约 32 个补丁,
通过定期渗透测试,公司可以识别其 IT 基础架构中最易受攻击的元素,因此他们可以 为这些系统确定安全补丁的优先级。例如,上面引用的研究表明,在外部测试中,安全专 家通常可以通过利用 Web 应用程序中的漏洞来破坏网络外围。每 4 个发现的渗透向量中 有 3 个(即访问本地网络的方式)源于安全性较差的 Web 应用程序。在这些情况下,客 户端可以通过安装最新的安全更新,并在必要时改进安全配置来开始保护这些应用程序。
3:渗透测试揭示了超出漏洞评估范围的问题
渗透测试与漏洞评估是不一样的。
组织了解其网络安全状况中的薄弱环节的一种方法是让安全专业人员进行漏洞评估, 这意味着技术人员将扫描其环境,以检测影响其系统的已知缺陷。虽然漏洞评估对于希望 加强其安全性的公司非常有用,但渗透测试提供了许多额外的价值。前者只是告知公司在 哪里可以找到最明显的安全漏洞,而后者也会暴露出低于表面的问题,并展示威胁行为者 可以通过利用某些缺陷造成的实际损害。
例如,上述关于渗透测试的研究发现,每两个系统中就有一个系统的安全性非常低, 以至于测试人员只能利用一种类型的漏洞来破坏网络边界并访问内部网络。换句话说,有 一半公司没有遵循最佳做法通过确保需要多个步骤来打入有价值的系统,可以阻止或至少 减缓攻击者的网络分段和其他解决方案。
这一发现强调了与漏洞评估相比,渗透测试的附加价值,因为漏洞扫描只能识别表面 漏洞,而不是影响(即,这使得测试人员如何立即访问内部网络)。此外,渗透测试将揭 示攻击者在获得访问权限后可以在网络上实际执行的操作,例如他们将能够查看哪些敏感 数据。这是组织只能通过渗透测试获得的非常有价值的信息。
以下这些项目都是漏洞评估无法识别的结果,如果发生安全漏洞,这可能会对您的组 织产生重大影响。使用渗透测试的结果,您的组织可以通过减少攻击媒介的数量和敏感资 源和系统的可访问路径,来确定保护其最有价值数据的方法。
· 工作站和服务器之间的共享本地管理员凭据
· 中间人攻击,在传输过程中暴露敏感数据
· 基于密码的攻击导致的弱活动目录域用户帐户凭据
· 在设备(例如打印机)上披露员工用户名和/或电子邮件地址
· 配置错误的一体式打印机包含特权域帐户凭据
· Web 服务中的密码较弱,包括打印机,服务器,远程管理控制台等。
· 欺骗攻击,欺骗最终用户系统进行身份验证,泄露敏感凭据
· 与文件共享和服务关联的配置错误,暴露敏感数据
摘引至 2019 年 CNCERT 国家互联网信息安全响应中心报告 |
|
发 帖
发表于 2022-12-28 13:28:46