随着互联网的不断发展,越来越多的软件开发程序员也在学习软件领域的技术知识。今天,我们将通过案例分析了解渗透的概念和类型。
一、渗透概念
渗透(penetrationtesting,pentest)是实施安全评估(即审计)的具体手段。 是指在指定和实施信息安全审计计划时需要遵循的规则、实践和过程。在评估网络、应用程序、系统或组合的安全状况时,人们不断探索各种务实的概念和成熟的实践,并总结了一套理论- 渗透试验方 。
二、渗透试验的类型
1.黑盒
在黑盒中,安全审计员从外部评估网络基础设施的安全性,而不知道被测单位的内部技术结构。在渗透的各个阶段,黑盒借助现实世界中的黑客技术,暴露了目标安全问题,甚至暴露了未被他人利用的安全弱点。
渗透人员应能够理解安全弱点,并根据风险水平(高、中、低)对其进行分类。一般来说,风险水平取决于相关弱点可能造成的危害的大小。成熟的渗透专家应能够确定所有可能导致安全事故的攻击模式。当人员完成时.黑盒的所有工作整理与对象安全相关的必要信息,相关的必要信息,并用业务语言描述被识别的风险,然后总结为书面报告。黑盒的市场报价通常高于白盒。
2.白盒
白盒的审计员可以获得被测单位的各种内部信息,甚至不息,因此渗透人员的视野更加开阔。如果通过白盒来评估安全漏洞,人员可以达到较小的工作量,以达到较高的评估精度。白盒从系统本身的环境中完全消除了内部安全问题。从而增加了从单位外部渗透系统的难度。黑盒不起作用。白盒所需的步骤数量与黑盒相当。此外,如果白盒与传统的研发生命周期相结合,入侵者可以在发现甚至利用安全弱点之前尽快消除所有的安全风险。这使得白盒的时间、成本、发现和解决安全弱点的技术门槛完全低于黑盒。
三、脆弱性评估和渗透性
脆弱性评估通过分析企业资产的安全威胁和程度来评估内外安全控制的安全性。这种技术信息系统评估不仅揭示了现有预防措施中的风险,而且提出了多种替代补救策略,并进行了比较。内部脆弱性评估可以保证内部系统的安全,而外部脆弱性评估是边界保护的验证(perimeterdefenses)有效性。无论是内部脆弱性评估还是外部脆弱性评估,评估人员都将采用各种攻击模式严格网络资产的安全性,以验证信息系统处理安全威胁的能力,然后确定响应措施的有效性。不同类型的脆弱性评估需要不同的过程、工具和自动化技术。这可以是一个-控制体化安全弱点(vulnerability nagement)实现平台。目前的安全弱点管理平台有一个自动更新的漏洞数据库,可以在不影响配置管理和变更管理完整性的情况下不同类型的网络设备。
m.safe.b2b168.com