包頭滲透測試

滲透測試旨在(zài)證明，網絡防禦機制的運行與(yǔ)你認爲(wéi)的一樣良好。往往系統和網絡管理員視審查人員或滲透人員爲(wéi)敵人，但實際上他們卻是朋友。到位(wèi)的滲透測試可以證明你的防禦确實有效，或者查出問題，幫助你阻擋未來攻擊。出錢請自己知道的人來發現網絡中的漏洞，總比讓自己不知道的人發現漏洞好得多。
測試方法
有些滲透測試人員通過使用兩套掃(sǎo)描器進行安全(quán)評估。這些工具至少能夠使整個(gè)過程實現部分自動化，這樣，技術娴熟的專業人員就可以專注于所發現的問題。如果探查得更深入，則需要連接到任何可疑服務，某些情況下，還要利用漏洞。
商用漏洞掃(sǎo)描工具在(zài)實際應用中存在(zài)一個(gè)重要的問題：如果它所做的測試未能獲得肯定答案，許多産品往往會隐藏測試結果。譬如，有一款知名掃(sǎo)描器就存在(zài)這樣的缺點：要是它無法進入Cisco路由器，或者無法用SNMP獲得其軟件版本号，它就不會做出這樣的警告：該路由器容易受到某些拒絕服務（DoS）攻擊。如果不知道掃(sǎo)描器隐藏了某些信息（譬如它無法對某種漏洞進行測試），你可能誤以爲(wéi)網絡是安全(quán)的，而實際上，網絡的安全(quán)狀況可能是危險的。
除了找到合适工具以及具備資質的組織進行滲透測試外，還應該準确确定測試範圍。攻擊者會借助社會工程學、偷竊、賄賂或者破門而入等手法，獲得有關信息。真正的攻擊者是不會僅僅滿足于攻擊某個(gè)企業網絡的。通過該網絡再攻擊其它公司往往是**的慣用伎倆。攻擊者甚至會通過這種方法進入企業的ISP。
爲(wéi)了從滲透測試上獲得*大價值，應該向測試組織提供盡可能詳細的信息。這些組織同時會簽署保密協議，這樣，你就可以更放心地共享策略、程序及有關網絡的其它關鍵信息。
專業服務
滲透測試有時是作(zuò)爲(wéi)外部審查的一部分而進行的。這種測試需要探查系統，以發現操作(zuò)系統和任何網絡服務，并檢查這些網絡服務有無漏洞。你可以用漏洞掃(sǎo)描器完成這些任務，但往往專業人士用的是不同的工具，而且他們比較熟悉這類(lèi)替代性工具。
滲透測試的作(zuò)用一方面在(zài)于，解釋所用工具在(zài)探查過程中所得到的結果。隻要手頭有漏洞掃(sǎo)描器，誰都可以利用這種工具探查防火牆或者是網絡的某些部分。但很少有人能全(quán)面地了解漏洞掃(sǎo)描器得到的結果，更别提另外進行測試，并證實漏洞掃(sǎo)描器所得報告的準确性了。
打一個(gè)比方來解釋滲透測試的必要性。假設你要修建一座金庫，并且你按照建設規範将金庫建好了。此時是否就可以将金庫立即投入使用呢？肯定不是！因爲(wéi)還不清楚整個(gè)金庫系統的安全(quán)性如何，是否能夠确保存放在(zài)金庫的貴重東西萬無一失。那麽此時該如何做？可以請一些行業中安全(quán)方面的專家對這個(gè)金庫進行全(quán)面檢測和評估，比如檢查金庫門是否容易被破壞，檢查金庫的報警系統是否在(zài)異常出現的時候及時報警，檢查所有的門、窗、通道等重點易突破的部位(wèi)是否牢不可破，檢查金庫的管理安全(quán)制度、視頻安防監控系統、出入口控制等等。甚至會請專人模拟入侵金庫，驗證金庫的實際安全(quán)性，期望發現存在(zài)的問題。 這個(gè)過程就好比是對金庫的滲透測試。這裏金庫就像是我們的信息系統，各種測試、檢查、模拟入侵就是滲透測試。

如今，大多數攻擊進行的是*基本的漏洞掃(sǎo)描，如果攻擊得逞，目标就岌岌可危。如果攻擊者企圖對你站點進行漏洞掃(sǎo)描，他就會獲得大量的防火牆日志消息，而監控網絡的任何入侵檢測系統（IDS）也會開始發送有關當前攻擊的警報。如果你還沒(méi)有試過，不妨利用漏洞掃(sǎo)描器結合IDS對網絡來一番試驗。别忘了首先獲得對方的許可，因爲(wéi)，運行漏洞掃(sǎo)描器會使IDS引發警報。

滲透測試也許是你的網絡防禦工具箱當中的重要武器之一。應該視之爲(wéi)各種安全(quán)審查的一部分，但要确保審查人員勝任這項工作(zuò)。
也許你可能還是有疑問：我定期更新安全(quán)策略和程序，時時給系統打補丁，并采用了安全(quán)軟件，以确保所有補丁都已打上，還需要滲透測試嗎？需要！這些措施就好像是金庫建設時的金庫建設規範要求，你按照要求來建設并不表示可以高枕無憂。而請專業滲透測試人員（一般來自外部的專業安全(quán)服務公司）進行審查或滲透測試就好像是金庫建設後的安全(quán)檢測、評估和模拟入侵演習，來獨立地檢查你的網絡安全(quán)策略和安全(quán)狀态是否達到了期望。滲透測試能夠通過識别安全(quán)問題來幫助了解當前的安全(quán)狀況。到位(wèi)的滲透測試可以證明你的防禦确實有效，或者查出問題，幫助你阻擋可能潛在(zài)的攻擊。提前發現網絡中的漏洞，并進行必要的修補，就像是未雨綢缪；而被其他人發現漏洞并利用漏洞攻擊系統，發生安全(quán)事故後的補救，就像是亡羊補牢。很明顯未雨綢缪勝過亡羊補牢。
滲透測試能夠通過識别安全(quán)問題來幫助一個(gè)單位(wèi)理解當前的安全(quán)狀況。這使促使許多單位(wèi)開發操作(zuò)規劃來減少攻擊或誤用的威脅。
撰寫良好的滲透測試結果可以幫助管理人員建立可靠的商業案例，以便證明所增加的安全(quán)性預算或者将安全(quán)性問題傳達到高級管理層。


http://www.qdshtddzkj.com