随着网络的发展,越来越多的人认识到网络安全的风险。大家都开始重视网络渗透评估,花重金请第三方人员模拟黑客进行渗透攻击。下面跟叶子了解一下国内安全公司的渗透评估过程。
了解国内渗透评估过程之前,我们需要先知道什么是渗透评估?渗透评估就是请第三方人员模拟黑客攻击,对单位核心业务的服务器、重要的网络设备以及信息安全措施做出积级评估,积极分析安全措施的设计缺陷、技术缺陷和弱点,最后给单位的管理屋、技术人员提供一份全面的信息安全报告。通过渗透评估可以确定组织信息资源面临的威胁,发现和解决存在的弱点。了解弱点的基本技术、设计和执行的缺陷。降低组织的IT安全成本,提供更好的安全,保证为组织提供一个全面和彻底的安全架构,包括评估政策、流程、设计和实施。
针对国内的渗透评估流程,每个公司都有自己的一套流程,但大体上如下图所示:
在渗透评估过程中,首先需要跟客户进行沟通,拿到客户的书面授权。只有书面授权后的渗透评估才是合法的,否则是违法行为。在得到书面授权后,需要制定实施方案。方案中包括是渗透评估的工作地点、工作周期、渗透目标等。一般大客户的渗透评估,需要指定工作地点,而且客户会对工作过程进行监控。客户需要做到对渗透评估所有细节和风险的把控,减少渗透评估带来的其它安全隐患。渗透目标是客户对互联网公开的IP地址,全世界的人都能访问到的IP地址。不同的客户需要渗透的目标不一样,有些用户只有单个目标IP地址,另有些用户上千目标IP地址。当然不同的目标地址收费也不一样。
当渗透评估方案制定完后,需要得到客户的确认,才能进一步进行方案的实施。在方案的确认过程中,客户可能会根据自己业务运行的情况,对渗透评估的时间做进一步的调整,避免在业务高峰期进行渗透评估,当评估过程出现问题时,影响正常的业务运行。对于DDOS类的工具测试,在方案确定应该明确指出不能使用这类工具进行渗透评估。所有的渗透评估方案的大部分风险都是已知、可控的情况下实施的,这也是专业的渗透评服务与黑客攻击入侵的本质不同。
信息收集分析是所有攻击行为的前提步聚,通过信息收集了解单位组织中的信息网络结构、网络设备、应用服务器等基础设施和基础软件的信息。通过对目标 IP公开的网络信息收集,比如whois、finger等分析确定目标主机的安全设施的行为。通过对目标IP返回的banner信息、操作系统指纹信息、应用服务系统信息,分析出防火墙、路由器、应用设备的相关的安全设备系统版本等信息。信息收集可以应用各类扫描工具来收集相关的信息,比如端口扫描工具、弱口令扫描工具、专用应用的扫描工具、商业网络安全漏洞扫描工具、免费的安全扫描工具等。工具只是帮助在做渗透评估时减少评估使用的时间,因此不能太依懒于安全工具。渗透评估主要依靠评估人员的安全经验、安全漏洞的发现和利用经验,对网络结构、业务应用的弱点分析经验。
权限获取是基于信息收集,对网络中安全弱点的分析后,获取目标主机的权限过程。权限获取可以根据目标地址应用程序存在远程溢出的漏洞,通过远程溢出攻击获取目标主机的权限(如果远程溢出操作对系统有破坏性的影响,建议不进行操作,但在报告中描述出来);通过弱口令猜测,获取远程目标主机的 telnet、ftp服务的账号,或者远程控制3389之类的账号;通过对目标地址的Web应用进行扫描,发现其应用SQL技术中存在SQL注入的漏洞,利用SQL注入漏洞上传Webshell,提升权限,获取网站的控制权限。在权限获取过程中,可以根据业务应用的
[1] [2] 下一页
|
