考虑到网络应用数据的安全性时,建立一个渗透测试方法变得越来越重要。我们越来越依赖于网络通信与基于云的数据系统,这些系统潜在的安全漏洞是我们所不知道的。
  设计和维护一个系统的安全已成为标准,你怎么确定这些系统的安全性?
  答案在于如何通过渗透测试来保护你的信息资产安全。
  一次渗透测试,是安全地利用漏洞来评估IT基础设施的安全性的尝试,这些漏洞可能会存在于操作系统,服务,或者应用程序当中,甚至不安全的配置或者用户一些风险操作都会造成一些安全问题。在验证这类评估也有用功效的防御机制,以及终用户的安全策略。
  渗透测试使用手动或者自动化的工具来对服务器,终端,网络应用程序,无线网络,网络设备,移动设备和其它潜在的设备进行模拟真实黑客攻击。一旦漏洞在特定的系统上被成功利用。测试者可以通过其存在安全漏洞的系统进入其他内部资源,推出后续的漏洞。特别是通过努力逐步实现更高水平的安全检查。
  有关渗透测试成功地利用漏洞的信息会汇总起来并提交给IT部和网络系统管理人员,以帮助那些专业人士进行结论和整治力度。
  渗透测试的根本目的是测试系统的安全性,并评估任何相关后果。

  安全漏洞和安全服务是昂贵的
  安全漏洞,在服务或者应用程序上出现任何安全问题,所造成的直接或间接损失,以及危及企业的信誉,吸引更多的负面新闻。
  维护所有的信息,是不可能的
  组织传统上为了防止违反常规操作,安装和维护系统安全机制,包括用户访问控制、加密,IPS,IDS,防火墙。然而,不断采用新技术,包括一些安全系统,以及由此产生的复杂性,使得更难找到并消除所有的安全漏洞,防范各种潜在的安全事故。每天发现新的漏洞,攻击技术的不断发展变化,以及他们的整体自动化。
  渗透测试和重视安全风险
  渗透测试评估一个组织的能力来保护其网络、应用程序和用户从外部或内部试图绕过安全控制来获得授权或特权访问受保护的资产。测试结果验证特定的安全漏洞或缺陷带来的风险过程,使其网络管理员和安全专家优先修复工作。通过接受更频繁的和全面的渗透测试,组织可以更有效地预测新兴安全风险和防止未经授权的访问关键系统和有价值的信息。
  渗透测试的频率
  应该定期进行渗透测试,以确保更一致的IT和网络安全管理,发现新兴威胁或攻击者使用的新兴漏洞。
  除了定期监管规定要求的分析和评估,也应该在以下进行安全测试:
  · 添加新的网络基础设施或应用程序
  · 重要的升级或修改基础设施和网络应用程序
  · 搬移新的办公地点
  · 应用程序和系统的安全补丁


  
(图为某第三方漏洞平台统计的近几年国内漏洞增长量)

  渗透测试的益处
  更加明智的管理漏洞
  渗透测试提供了实际的详细信息,可利用的安全威胁。通过执行渗透测试,可以主动识别漏洞的重要性等级,从而允许组织更加智能地优先修复,应用所需的安全补丁和分配安全资源,更有效地确保它们是否是可用的。
  避免网络停机时间的成本
  从安全漏洞发生到修复的成本,可达数百万金额。渗透测试可以有效地在这些安全漏洞发生之前主动识别并解决风险或安全漏洞攻击。
  满足监管要求
  渗透测试可以帮助组织解决一般审计方面的法规,测试生成的详细报告可以帮助组织避免那些不安全活动受到的重大处罚,评估人员通过维护要求安全地控制审计。
  维护企业形象
  从企业角度来看,有时候甚至一个单一事件所造成的客户数据的损失都可能是非常昂贵的,销售额和企业公关形象严重受损,从而产生极大的负面影响。更重要的是,大量的数据泄露发生后,客户保留成本比以往更高,忠实的老用户信任度降低,新客户的急速流失,对于企业的影响都是灾难级的。这时候,渗透测试可以有效地避免数据泄露事件,提高企业的形象和信赖度。
  本文作者:Loneyer(点融黑帮),现任点融网高级安全工程师,网络白帽子。主要从事应用漏洞挖掘工作。