什麼是滲透測試？

軟件保證有錯誤。軟件中可能有數千行代碼，人為錯誤意味著至少其中一些代碼不會像預期的那樣完整。軟件開發生命週期是一個旨在通過定期測試盡量減少這些問題的過程。

問題是測試通常是由開發人員完成的，他們可能已經學會瞭如何編碼，但可能沒有學習安全編碼實踐。即使在經過全面測試的系統中，讓外部觀察者觀察並引入新視角也有助於發現新問題。

完成此操作的一種常見方法是通過滲透測試，通常簡稱為滲透測試。這涉及讓專業的、有道德的黑客、滲透測試人員來查看系統並發現任何安全問題。

提示：它是“pentest”和“pentester”，而不是“pen test”。滲透測試人員不測試筆。“筆測試”比“筆測試”更容易接受，但通常也應該避免。

滲透測試的目標

任何滲透測試的目標都是識別被測系統中的所有安全漏洞，並將它們報告給客戶。然而，通常情況下，基於成本，參與在某種程度上是有時間限制的。如果公司有內部滲透測試人員或滲透測試團隊，他們可能會永久為公司工作。儘管如此，許多具有這種規模的公司都擁有廣泛的系統組合，這些系統必須經過測試。這包括銷售的產品和公司的業務系統。

因此，他們不能將所有時間都花在測試一件事情上。許多公司更願意聘請外部滲透測試公司來執行這項工作。這仍然是基於成本的時間限制。滲透測試是一個非常手動的過程，而且該技能集供不應求，這一事實推動了成本的上漲。

通常，滲透測試將限定在特定時間範圍內。這是根據所討論的目標以及有理由相信找到所有東西需要多長時間來完成的。發現漏洞的時間線通常是鍾形曲線。當滲透測試人員環顧應用程序時，並沒有立即發現多少。然後在逐漸減少之前，可以在特定時間範圍內實現絕大多數發現。在某些時候，花更多時間尋找的成本不值得冒沒有其他東西可找到的機會。

有時，即使是推薦時間的報價也太多了。在這種情況下，測試可能是“有時間限制的”。這是客戶接受他們沒有按照建議進行測試的地方，但希望滲透測試人員在更短的時間內盡力而為。通常，這會作為警告包含在報告中。

手動流程

一些工具可用於自動執行安全測試。這些可能會有用。但是，它們通常具有較高的誤報率和漏報率。這意味著您必須花時間挖掘驗證問題，知道它可能並不全面。這些工具中的大多數都在尋找特定的指標，例如已知的易受攻擊的軟件版本或已知的易受攻擊的功能。但是，有很多方法可以使這些問題不是實際問題或在實踐中得到緩解。

安全漏洞可能來自一堆看似無害的部分。發現這一點的最佳方法是通過人工操作。滲透測試人員使用工具，但知道如何解釋結果、手動驗證結果以及執行獨立的手動操作。這種手動操作將滲透測試與漏洞掃描或漏洞評估分開。

滲透測試的類型

通常，滲透測試涉及在部署時測試整個產品。理想情況下，這發生在真實的生產環境中。然而，這並不總是實用的。首先，擔心滲透測試會使目標離線。總的來說，這種擔心基本上是沒有根據的。Pentests 通常不會產生太多的網絡流量，可能相當於一些額外的活躍用戶。滲透測試人員也不會故意測試拒絕服務類型的問題，尤其是在生產環境中。相反，他們通常會報告可疑的拒絕服務問題，以允許客戶自行調查。

此外，值得注意的是，如果系統連接到 Internet，它會不斷受到真正的黑帽黑客及其機器人的“免費滲透測試”。避免生產環境的另一個原因是實時用戶數據的隱私問題。根據 NDA 和合同，滲透測試人員是道德黑客，但如果測試環境存在且相似，則可以使用。

提示： “免費滲透測試”是指在互聯網上受到黑帽攻擊的一種幽默說法。

滲透測試基本上可以針對任何技術系統進行。網站和網絡基礎設施是最常見的測試類型。您還可以獲得 API 測試、“胖客戶端”測試、移動測試、硬件測試等。

主題變奏曲

實際上，網絡釣魚、OSINT 和紅隊練習是相關但略有不同的。您可能已經意識到網絡釣魚的威脅。一些測試涉及測試員工如何響應網絡釣魚電子郵件。通過跟踪用戶如何與網絡釣魚交互（或不交互），可以了解如何定制未來的網絡釣魚培訓。

OSINT 代表開源情報。OSINT 測試圍繞抓取公開可用的信息，以了解如何收集有價值的數據以及如何使用這些數據。這通常涉及從 LinkedIn 和公司網站等地方生成員工列表。這可以使攻擊者識別高級人物，這些人物可能是魚叉式網絡釣魚攻擊的良好目標，專門針對個人接收者量身定制的網絡釣魚。

紅隊的參與通常要深入得多，並且可能涉及一些或所有其他組件。它還可以包括測試物理安全性和對安全策略的遵守情況。在政策方面，這涉及社會工程學。那是在試圖說服你進入大樓。這可以很簡單，比如在吸煙區閒逛，抽完煙後回到吸煙區。

可以是冒充官員，也可以是端著咖啡杯托盤請人幫你開門。在物理安全方面，它甚至可以涉及嘗試物理闖入、測試攝像頭覆蓋範圍、鎖的質量等。紅隊參與通常涉及一個團隊，並且可以比普通滲透測試運行更長的時間尺度。

紅隊

與標準滲透測試相比，紅隊練習似乎更不合乎道德。測試人員正在積極捕食毫無戒心的員工。關鍵是他們得到了公司領導層的許可，通常是董事會級別的許可。這是紅隊隊員可以嘗試實際闖入的唯一原因。但是，沒有什麼允許它是暴力的。紅隊演習永遠不會試圖傷害或製服保安人員，繞過或欺騙他們。

為防止紅隊被抓，他們一般會隨身攜帶一份由審批委員會成員簽名的簽字合同。如果被抓到，這可以用來證明他們確實獲得了許可。當然，有時，這被用作雙重詐唬。紅隊隊員可以攜帶兩張許可單，一張真，一張假。

當被抓到時，他們首先會交出偽造的許可單，看看他們是否能讓安全人員相信它是合法的，即使事實並非如此。為此，它通常會使用公司董事會的實際名稱，但包括一個驗證電話號碼，該電話號碼會轉到另一名紅隊成員，以核實封面故事。當然，如果保安識破了這一點，就會把真正的准許單交出來。不過，這可能會受到極大的懷疑。

根據紅隊隊員是如何被抓到的，假設他們已經繞過了抓到他們的個別保安人員，則可能會繼續測試。但是，測試人員的身份有可能被“洩露”，基本上將他們從任何進一步的面對面測試中移除。此時，另一名團隊成員可以在通知或不通知安全的情況下換入。

結論

滲透測試是指要求網絡安全專業人員測試計算機系統安全性的一項活動。該測試涉及手動搜索和驗證漏洞的存在。自動化工具可以用作其中的一部分。在測試結束時，將提供一份報告，詳細說明所發現的問題並提供補救建議。

重要的是，這份報告不僅僅是工具的自動輸出，而且都經過了手動測試和驗證。任何計算機系統、硬件、網絡、應用程序或設備都可以進行滲透測試。每個人所需的技能各不相同，但通常是互補的。