.jpg)
滲透測試是脆弱性評估的一種很好的補充。滲透測試的攻擊路徑及手段不同於常見的安全產品,所以它往往能暴露出一條甚至多條被人們所忽視的威脅路徑,從而暴露整個系統或網路的威脅所在。
一、服務範圍
滲透測試服務的範圍包括了作業系統、應用系統、WEB程式和網路設備
二、服務方式
目前,滲透測試服務根據測試的位置不同可以分為內部測試和外部測試;根據測試的方法不同分為黑盒測試和白盒測試兩類;根據服務的週期不同分為單次服務和年度服務兩種類型。
1、內部測試和外部測試
內部測試是指經過用戶授權後,測試人員到達使用者工作現場,根據使用者的期望測試的目標直接接入到使用者的辦公網路甚至業務網路中。這種測試的好處就在於免去了測試人員從外部繞過防火牆、入侵保護等安全設備的工作。一般用於檢測內部微信源和路徑。
外部測試與內部測試相反,測試人員無需到達客戶現場,直接從互聯網訪問用用戶的某個接入到互聯網的系統並進行測試即可。這種測試往往是應用於那些關注門戶網站的用戶,主要
用於檢測外部威脅源和路徑。
2、黑盒測試和白盒測試
黑盒測試是指測試人員對除目標系統的IP或功能變數名稱意外的資訊一無所知的情況下對系統發起的測試工作,這種方式可以較好的類比駭客行為,瞭解外部惡意使用者可能對系統帶來的威脅。
白盒測試則是指測試人員通過使用者授權獲取了部分資訊的情況下進行的測試,如:目標系統的帳號、配置甚至原始程式碼。這種情況使用者類比並檢測內部的惡意使用者可能為系統帶來的威脅。
三、服務流程
滲透測試服務主要分為四個階段,包括測試前期準備階段,測試階段實施,複測階段實施以及成果彙報階段:
(一)前期準備階段
在實施滲透測試工作前,技術人員會和客戶對滲透測試服務相關的技術細節進行詳細溝通。
由此確認滲透測試的方案,方案內容主要包括確認的滲透測試範圍、最終物件、測試方式、測試要求的時間等內容。同時,客戶簽署滲透測試授權書。
(二)測試階段實施
在測試實施過程中,測試人員首先使用自動化的安全掃描工具,完成初步的資訊收集、
服務判斷、版本判斷、補丁判斷等工作。
然後由人工的方式對安全掃描的結果進行人工的確認和分析。並且根據收集的各類資訊進行
人工的進一步滲透測試深入。
結合自動化測試和人工測試兩方的結果,測試人員需整理滲透測試服務的輸出結果並編制滲透測試報告,最終提交客戶和對報告內容進行溝通。
(三)複測階段實施
在經過第一次滲透測試報告提交和溝通後,等待客戶針對滲透測試發現的問題整改或加固。
經整改或加固後,測試人員進行回歸測試,即二次複測。複測結束後提交給客戶複測報告
和對複測結果進行溝通。
(四)成果回報階段
根據一次滲透測試和二次複測結果,整理滲透測試服務輸出成果,最後彙報項目領導。
四、服務報告
在滲透測試實施工作完成後三個工作日內,滲透測試人員將初始一份滲透測試報告。
根據測試結果,測試人員將針對每種威脅進行詳細描述,描述內容至少包括了測試範圍、過程、使用的技術手段以及獲得的成果。
除此之外,測試人員還將結合測試目標的具體威脅內容編寫解決方案和相關的安全建議,為管理員的維護和修補工作提供參考。
五、服務注意事項
為保障客戶系統在滲透測試過程中穩定、安全的運轉,我們將提供以下多種方式來進行風險規避。
1、時間的控制
從時間安排上,測試人員將儘量避免在資料高峰進行測試,以此來減小測試工作對被測試系統帶來的壓力。
另外,測試人員在每次測試前也將通過電話、郵件等方式告知相關人員,以防測試過程中出現意外情況。
2、工具使用
在使用工具測試的過程中,測試人員會通過設置執行緒、外掛程式數量等參數來減少其對系統的壓力,同時還會去除任何可能對目標系統帶來危害的外掛程式,如:遠端溢出攻擊類外掛程式、拒絕服務攻擊類外掛程式等等。
3、技術手段
滲透測試人員都具有豐富的經驗和技能,在每一步測試前都會預估可能帶來的後果,對於可能產生影響的測試(如:溢出攻擊)將被記錄並跳過,並在隨後與客戶協商決定是否進行測試及測試方法。
4、監控措施
針對每一系統進行測試前,測試人員都會告知被測試系統管理員,並且在測試過程中會
隨時關注目標系統的負荷等資訊,一旦出現任何異常,將會停止測試。
5、目標物件的選擇
為更大程度的避免風險的產生,滲透測試還經常選擇對備份系統進行測試,因為備份系統與
線上系統所安裝的應用和承載的資料差異較小,而其穩定性要求又比線上系統低,
因此,選擇對備份系統進行測試也是規避風險的一種常見方式。
6、操作記錄
測試人員會在測試過程中形成操作記錄文檔,以便出現意外後進行追溯。
7、溝通
測試過程中,確定測試人員和客戶方配合人員的聯繫方式,便於及時溝通並解決工程。
