渗透测试模式的五个类别
极客时间编辑部
讲述:初明明大小:4.81M时长:05:15
一千个企业中,就存在着一千种渗透测试模式。所以很多人对渗透测试的模式模糊不清。此前,一位网名为 shengl99 的从业人员总结道,渗透测试模式,大致可分为以下五种:上线前的渗透测试、上线后定期在线安全测试、依托众测平台的安全众测、自组织的安全众测、红蓝攻防演练。
1. 上线前渗透测试
从某种意义说,上线前的渗透测试就是一个安全的 Checklist,一般关注技术性漏洞,利用各种工具检查系统存不存在 xss、文件上传、越权访问、命令执行等漏洞。
目标系统:单个业务系统的测试环境系统。
涉及人员:涉及业务系统开发人员、组织测试的安全人员。
风险程度:最小,主要是测试环境实施,不会影响业务。
局限性:难以实现测试面全覆盖、不能发现因上线过程中配置失误导致的安全漏洞。
2. 上线后定期在线安全测试
因为上线前的渗透测试不能发现因上线过程中配置失误导致的安全漏洞,所以,有些企业就会采用上线后定期在线安全测试的形式。
目标系统:一个或多个生产环境系统。
涉及人员:涉及业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员。
风险程度:较小,一是有些高危操作可能会给企业生产数据造成脏数据的风险;二是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。
局限性:难以实现测试面全覆盖。
3. 依托众测平台的安全众测
有些甲方厂商与众测平台合作,通过协议委托众测平台发布专业测试项目,参与项目的民间渗透测试人员,俗称“白帽子”,需通过审核认证后才能报名参与众测项目,依托外部白帽子发现企业的安全漏洞。
目标系统:可以是一个或多个生产环境系统,也可以是待发布的测试环境系统。
涉及人员:涉及业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员。
风险程度:较高,一是白帽子的管理较为松散,背景调查、身份核验等难度较大。二是有些高危操作可能会给企业生产数据造成脏数据的风险;三是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。
局限性:难以发现高阶安全漏洞。
4. 企业自组织的安全众测
有些企业觉得与其到众测平台开众测项目收集企业安全漏洞,还不如自己直接接收白帽子的安全漏洞,有些企业觉得众测平台较难管控安全风险,普通的渗透测试缺乏竞争机制,难以发现高阶安全漏洞。于是这些企业就开始组织厂商众测模式,选择四五家安全厂商同时开展安全测试,然后按漏洞效果付费。
目标系统:一个或多个生产环境系统。
涉及人员:业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员。
风险程度:较高,一是 SRC 模式中白帽子的管理较为松散,背景调查、身份核验等难度较大。二是有些高危操作可能会给企业生产数据造成脏数据的风险;三是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。
局限性:安全漏洞数量不可控,企业投入可能较大,乙方的服务不能持续实施,一般以项目制形式,预算花完就停止服务。
5. 红蓝攻防演练
以上说的渗透测试都相当于单项打靶射击考核,一次专项性的能力测验,以发现技术漏洞的目的为主。而红蓝攻防演练考验的是企业整体防护水平和防护体系,既考验防护系统的有效性,又全面检查系统各类漏洞情况,还考验人员的安全意识。
因此,红蓝攻防演练一般是针对企业的全部信息系统、分支机构,不设具体目标、不限具体手段,全面检验企业的主动防护、安全检测、应急处置等能力,发现系统技术漏洞反而是附属性的。
目标系统:企业全体资产、人员、数据、系统。
涉及人员:涉及企业全体人员。
风险程度:较高,一是有些高危操作可能会给企业生产数据造成脏数据的风险;二是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。
局限性:安全漏洞数量不可控,企业投入可能较大,乙方的服务不能持续实施,一般以项目制形式,预算花完就停止服务。
综上所述,甲方企业在进行年度的安全渗透服务预算时,可以适当考虑多层次的安全渗透测试服务,以达到尽可能多的发现安全漏洞目的。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论