滲透測(cè)試是什么��?
滲透測(cè)試�����,是為了證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制���。不妨假設(shè),你的公司定期更新安全策略和程序�����,時(shí)時(shí)給系統(tǒng)打補(bǔ)丁���,并采用了漏洞掃描器等工具��,以確保所有補(bǔ)丁都已打上����。如果你早已做到了這些���,為什么還要請(qǐng)外方進(jìn)行審查或滲透測(cè)試呢�����?因?yàn)?���,滲透測(cè)試能夠獨(dú)立地檢查你的網(wǎng)絡(luò)策略,換句話說���,就是給你的系統(tǒng)安了一雙眼睛����。而且���,進(jìn)行這類測(cè)試的�����,都是尋找網(wǎng)絡(luò)系統(tǒng)安全漏洞的專業(yè)人士����。
滲透測(cè)試是對(duì)計(jì)算機(jī)系統(tǒng)的授權(quán)模擬攻擊�����,用于評(píng)估系統(tǒng)的安全性���。執(zhí)行測(cè)試以識(shí)別兩個(gè)缺點(diǎn)(也稱為漏洞)�����,包括未授權(quán)方訪問系統(tǒng)的特征和數(shù)據(jù)的可能性�,以及優(yōu)點(diǎn)���,使得能夠完成完整的風(fēng)險(xiǎn)評(píng)估�����。該過程通常識(shí)別目標(biāo)系統(tǒng)和特定目標(biāo)���,然后審查可用信息,并采取各種手段來實(shí)現(xiàn)該目標(biāo)����。
滲透測(cè)試目標(biāo)可以是白盒(提供背景和系統(tǒng)信息)或黑盒(只提供基本信息或除了公司名稱不提供任何信息)?����;液写┩笢y(cè)試是二者的結(jié)合(其中目標(biāo)有限的知識(shí)與審計(jì)人員共享)。滲透測(cè)試可以幫助確定一個(gè)系統(tǒng)是否容易受到攻擊���,如果防御足夠���,以及測(cè)試是否打敗了哪些防御(如果有的話)。滲透測(cè)試發(fā)現(xiàn)的安全問題應(yīng)該報(bào)告給系統(tǒng)所有者����。滲透測(cè)試報(bào)告也可以評(píng)估對(duì)組織的潛在影響,并提出降低風(fēng)險(xiǎn)的對(duì)策����。
美國(guó)國(guó)家網(wǎng)絡(luò)安全中心(National Cyber Security Center)將滲透測(cè)試描述如下:“一種方法,通過試圖破壞某個(gè)IT系統(tǒng)的部分或全部安全性�����,使用與對(duì)手相同的工具和技術(shù)��,來獲得對(duì)該IT系統(tǒng)的安全性的保證�����。”
滲透測(cè)試的目標(biāo)根據(jù)針對(duì)任何給定參與的已批準(zhǔn)活動(dòng)的類型而有所不同��,其中主要目標(biāo)是發(fā)現(xiàn)可被邪惡行為者利用的漏洞���,并將這些漏洞與建議的緩解策略一起通知客戶。 滲透測(cè)試是全面安全審計(jì)的一個(gè)組成部分�。
例如,支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)要求在定期日程表和系統(tǒng)更改之后進(jìn)行滲透測(cè)試��。缺陷假設(shè)方法是一種系統(tǒng)分析和滲透預(yù)測(cè)技術(shù)��,其中通過對(duì)系統(tǒng)的規(guī)范和文檔的分析來編譯軟件系統(tǒng)中的假設(shè)缺陷列表���。然后���,根據(jù)所估計(jì)的缺陷實(shí)際存在的概率,以及在控制或折衷的范圍內(nèi)易于利用該漏洞���,對(duì)假設(shè)缺陷列表進(jìn)行優(yōu)先級(jí)排序����。優(yōu)先級(jí)列表用于指導(dǎo)系統(tǒng)的實(shí)際測(cè)試���。?
以上就是小編的分享���,希望可以幫助到大家���。
教育
