滲透測試是什么�����?
滲透測試����,是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。不妨假設����,你的公司定期更新安全策略和程序�����,時時給系統(tǒng)打補丁�����,并采用了漏洞掃描器等工具�,以確保所有補丁都已打上����。如果你早已做到了這些,為什么還要請外方進行審查或滲透測試呢����?因為,滲透測試能夠獨立地檢查你的網絡策略���,換句話說����,就是給你的系統(tǒng)安了一雙眼睛�����。而且�����,進行這類測試的�����,都是尋找網絡系統(tǒng)安全漏洞的專業(yè)人士�����。
滲透測試是對計算機系統(tǒng)的授權模擬攻擊�����,用于評估系統(tǒng)的安全性���。執(zhí)行測試以識別兩個缺點(也稱為漏洞)���,包括未授權方訪問系統(tǒng)的特征和數據的可能性,以及優(yōu)點�,使得能夠完成完整的風險評估。該過程通常識別目標系統(tǒng)和特定目標���,然后審查可用信息����,并采取各種手段來實現(xiàn)該目標。
滲透測試目標可以是白盒(提供背景和系統(tǒng)信息)或黑盒(只提供基本信息或除了公司名稱不提供任何信息)�。灰盒穿透測試是二者的結合(其中目標有限的知識與審計人員共享)�����。滲透測試可以幫助確定一個系統(tǒng)是否容易受到攻擊��,如果防御足夠�,以及測試是否打敗了哪些防御(如果有的話)。滲透測試發(fā)現(xiàn)的安全問題應該報告給系統(tǒng)所有者�����。滲透測試報告也可以評估對組織的潛在影響��,并提出降低風險的對策�����。
美國國家網絡安全中心(National Cyber Security Center)將滲透測試描述如下:“一種方法,通過試圖破壞某個IT系統(tǒng)的部分或全部安全性����,使用與對手相同的工具和技術,來獲得對該IT系統(tǒng)的安全性的保證��?!?/p>
滲透測試的目標根據針對任何給定參與的已批準活動的類型而有所不同����,其中主要目標是發(fā)現(xiàn)可被邪惡行為者利用的漏洞,并將這些漏洞與建議的緩解策略一起通知客戶��。 滲透測試是全面安全審計的一個組成部分����。
例如,支付卡行業(yè)數據安全標準要求在定期日程表和系統(tǒng)更改之后進行滲透測試����。缺陷假設方法是一種系統(tǒng)分析和滲透預測技術,其中通過對系統(tǒng)的規(guī)范和文檔的分析來編譯軟件系統(tǒng)中的假設缺陷列表���。然后�,根據所估計的缺陷實際存在的概率,以及在控制或折衷的范圍內易于利用該漏洞�����,對假設缺陷列表進行優(yōu)先級排序��。優(yōu)先級列表用于指導系統(tǒng)的實際測試��。?
以上就是小編的分享�����,希望可以幫助到大家����。
教育
