信息安全之滲透測試

　　滲透測試是對潛在攻擊者的行為的模擬，目的是評估未經授權訪問公司信息系統的可能性並證明現有信息安全系統(IS)的漏洞。滲透測試使您可以在攻擊者這樣做之前確定信息安全系統中的漏洞和弱點，評估針對“現實世界”的攻擊的“實際”安全性。

　　在測試過程中模擬潛在攻擊者的行為將執行以下任務：

　　查明所使用的信息系統，軟件中的缺點和漏洞，已應用的信息安全措施並評估其使用可能性;

　　實際演示利用漏洞的可能性(使用示例);

　　獲得對組織及其外部服務當前安全級別的全面評估。

　　測試完成後：

　　制定具體建議以解決已發現的缺點並提高組織的安全水平;

　　AMT-GROUP專家的協商和參與，以消除已發現的漏洞和不足;

　　進行後續測試(消除漏洞和缺陷之後)，以確認所實施措施的有效性。

　　測試方法

　　滲透測試由外部和內部攻擊者進行，涉及多種使用方法：

　　“黑匣子”方法是對入侵者的模仿，該入侵者沒有有關組織及其訪問公司網絡的任何信息。

　　“灰箱”方法是對入侵者的模仿，該入侵者對組織，其公司網絡和安全系統的了解有限。入侵者在某些信息系統(例如，普通雇員，可以遠程訪問系統的客戶端)中可能具有有效的用戶帳戶，但權限有限。

　　“白盒”方法是模仿入侵者，該入侵者是非常了解公司網絡和安全系統的管理員或其他用戶。入侵者具有有效的用戶帳戶，包括管理帳戶。

　　滲透測試技術

　　根據技術方法進行測試

　　從潛在攻擊者的角度出發，已做出授權嘗試來規避現有的保護手段，滲透公司網絡並達到測試目標的可能方案(例如，獲取訪問權限，竊取機密信息，對信息系統進行更改，破壞某些網絡組件和安全系統或業務的運行) -過程)。

　　基於社會技術方法的測試

　　使用“人為因素”的社會工程方法。為了獲得對公司網絡和目標組織受保護資產的未授權訪問，正在嘗試進行授權嘗試。通常，方法是針對最終系統的用戶的，並允許確定人員在各種常規和緊急情況下的反應，對人員安全意識的了解和知識水平防止数据泄漏(data leakage prevention)。

　　社會技術方法的一些例子的描述

　　網絡釣魚 形成法律服務的偽造網頁(例如，用於遠程訪問郵件的頁面)，並提示用戶在其上輸入機密數據(例如，密碼)

　　特洛伊木馬 向具有惡意附件的用戶發送信件，並通過有針對性的求職信，文件名，求職電話和其他方法提示他們打開网络事件响应(cyber incident response)

　　預先發短信 模擬特定場景，涉及對用戶的信任(通過初步收集有關組織和個人員工及其職責范圍的數據)，以鼓勵用戶執行特定操作。例如，以潛在信任人員(外部或內部)的名義呼叫用戶，以獲得機密信息

　　旅行蘋果 將帶有徽標/標簽/文件名的受感染媒體扔到組織的公共場所(電梯，餐廳，停車場)，以激勵他們運行

　　Quid Pro Quo 通過支持服務致電用戶，並提供有關其個人計算機上的問題的消息，並提供解決問題的幫助

　　逆向社會工程 通過“支持”聯系人從受信任的地址向用戶發送電子郵件，在計算機上創建問題並等待電話/信件來解決問題，在此期間您可以獲得必要的數據