摘要: 军事战略家,体育教练,桌面游戏玩家和网络安全顾问都有什么共同之处?他们知道流行谚语的价值:“最好的防御是一种良好的攻击。”在网络安全的背景下,这当然并不意味着企业应该寻求破解威胁行为者的系统。相反,它指的是组织需要将渗透测试或测试形式的攻击性安全性纳入其网络安...
军事战略家,体育教练,桌面游戏玩家和网络安全顾问都有什么共同之处?他们知道流行谚语的价值:“最好的防御是一种良好的攻击。”在网络安全的背景下,这当然并不意味着企业应该寻求破解威胁行为者的系统。相反,它指的是组织需要将渗透测试或测试形式的攻击性安全性纳入其网络安全计划。渗透测试是包括由安全顾问执行的手动测试过程,以识别和利用客户端环境中的安全漏洞。但为什么渗透测试如此重要?
简短的回答是,渗透测试允许组织根据真实的攻击场景评估其网络安全状况,这反过来使他们能够解决如果他们采用完全防御性的安全方法而被忽视的问题。由于这听起来有点含糊不清,我们想在这篇文章中概述一下渗透测试的一些主要好处。
1:几乎所有渗透测试都揭示了重要的安全漏洞
渗透测试非常有效。换句话说,测试者通常会成功地在客户组织的网络防御中找到漏洞。事实上,Positive Technologies最近的一项研究发现,在2018年,安全研究人员冒充该组织之外的威胁行为者,客户的内部网络在92%的外部测试中被破坏。更为引人注目的是内部测试结果,其重点是与本地网络连接的恶意内部人员可能造成的损害,因为测试者能够在100%的情况下获得对系统的完整的管理控制。
这些发现证明了两件事。首先,渗透测试在暴露威胁参与者可能侵入和移动到您的网络以便访问,操纵,破坏或破坏有价值的数据和系统的方式方面显然是有效的。该研究还指出,公司根本无法正确保护他们的系统。部分问题是许多组织没有充分确定安全性的优先级,因此没有为其分配足够的资源。然而,这里的根本问题是,像许多公司一样,单独关注防御性安全是一个根本上有缺陷的战略。
仅通过防御手段保护其安全性是不够的。就像试图通过编辑自己的工作来提供完美无缺的手稿:尽管在提交之前审查您的写作至关重要,但你一定会忽略一些错别字,甚至可能更基本的错误。为了避免这种情况,你真的需要一双新眼睛来看你的工作。这份工作的最佳人选将是一位专业的校对员,他们确切地知道出版商的读者将如何评论你的写作。对于想要验证系统真正安全性的组织来说,情况也是如此:他们需要有人像攻击者那样探测他们的系统。而这份工作的最佳人选便是专业的第三方渗透公司。
2:渗透测试有助于防止补丁疲劳
除了上面讨论的纯粹防御性安全计划的基本问题之外,还存在妨碍组织优化其网络安全的实际因素。一个常见问题是组织越来越难以跟上新发现的软件和硬件漏洞不断发布的大量安全补丁。补丁疲劳多年来一直是一个问题,事情只会越来越严重,因为报告的漏洞数量逐年增加,目前的记录从2018年起超过16,500个安全漏洞,即每天45个(见下图1) )。即使这些补丁中只有10%与您的系统相关,这意味着每周必须识别,测试大约32个补丁,
图1:2015-2018年间每年发布的漏洞数(CVE)
来源:CVE详细信息
通过定期渗透测试,公司可以识别其IT基础架构中最易受攻击的元素,因此他们可以为这些系统确定安全补丁的优先级。例如,上面引用的研究表明,在外部测试中,安全专家通常可以通过利用Web应用程序中的漏洞来破坏网络外围。每4个发现的渗透向量中有3个(即访问本地网络的方式)源于安全性较差的Web应用程序。在这些情况下,客户端可以通过安装最新的安全更新,并在必要时改进安全配置来开始保护这些应用程序。
3:渗透测试揭示了超出漏洞评估范围的问题
渗透测试与漏洞评估是不一样的。
组织了解其网络安全状况中的薄弱环节的一种方法是让安全专业人员进行漏洞评估,这意味着技术人员将扫描其环境,以检测影响其系统的已知缺陷。虽然漏洞评估对于希望加强其安全性的公司非常有用,但渗透测试提供了许多额外的价值。前者只是告知公司在哪里可以找到最明显的安全漏洞,而后者也会暴露出低于表面的问题,并展示威胁行为者可以通过利用某些缺陷造成的实际损害。
例如,上述关于渗透测试的研究发现,每两个系统中就有一个系统的安全性非常低,以至于测试人员只能利用一种类型的漏洞来破坏网络边界并访问内部网络。换句话说,有一半公司没有遵循最佳做法通过确保需要多个步骤来打入有价值的系统,可以阻止或至少减缓攻击者的网络分段和其他解决方案。
这一发现强调了与漏洞评估相比,渗透测试的附加价值,因为漏洞扫描只能识别表面漏洞,而不是影响(即,这使得测试人员如何立即访问内部网络)。此外,渗透测试将揭示攻击者在获得访问权限后可以在网络上实际执行的操作,例如他们将能够查看哪些敏感数据。这是组织只能通过渗透测试获得的非常有价值的信息。
以下这些项目都是漏洞评估无法识别的结果,如果发生安全漏洞,这可能会对您的组织产生重大影响。使用渗透测试的结果,您的组织可以通过减少攻击媒介的数量和敏感资源和系统的可访问路径,来确定保护其最有价值数据的方法。
- 工作站和服务器之间的共享本地管理员凭据
- 中间人攻击,在传输过程中暴露敏感数据
- 基于密码的攻击导致的弱活动目录域用户帐户凭据
- 在设备(例如打印机)上披露员工用户名和/或电子邮件地址
- 配置错误的一体式打印机包含特权域帐户凭据
- Web服务中的密码较弱,包括打印机,服务器,远程管理控制台等。
- 欺骗攻击,欺骗最终用户系统进行身份验证,泄露敏感凭据
- 与文件共享和服务关联的配置错误,暴露敏感数据
END
本文部分来源于网络
