滲透測試可能是壹項單獨的任務,也可能是產品系統R&D生命周期中IT安全風險管理不可或缺的壹部分。產品的安全性並不完全取決於其中的技術因素,還受到與產品相關的最佳安全實踐的影響。具體來說,增強產品安全性的工作涉及安全需求分析、風險分析、威脅建模、代碼審查和操作安全性。
壹般來說,滲透測試是安全評估的最終和最具侵入性的形式,必須由合格的專業人員進行。在評估之前,相關人員可能知道也可能不知道目標的具體情況。滲透測試可用於評估所有IT基礎設施,包括應用程序、網絡設備、操作系統、通信設備、物理安全和人類心理。滲透檢測的結果是滲透檢測報告。本報告分為幾個部分來解釋當前目標系統中發現的安全弱點,並將討論可行的對策和其他改進建議。滲透測試方法論的充分應用有助於測試人員深入理解和透徹分析滲透測試各個階段的現有防禦措施。
滲透試驗的類型
雖然有各種滲透測試,但它們通常分為兩類:白盒測試和黑盒測試。
1、黑盒測試
在進行黑盒測試時,安全審計員從外部評估網絡基礎設施的安全性,而不知道被測試單元的內部技術結構。在滲透測試的各個階段中,黑盒測試借助真實世界的黑客技術來暴露目標的安全問題,甚至揭示未被他人利用的安全弱點。滲透測試人員應該能夠了解安全弱點,對它們進行分類並根據風險級別(高、中、低)進行排序。壹般來說,風險等級取決於相關缺陷可能造成的危害大小。經驗豐富的滲透測試專家應該能夠識別可能導致安全事故的所有攻擊模式。當測試人員完成黑盒測試的所有測試工作後,他們將整理與測試對象的安全狀態相關的必要信息,用業務語言描述這些已識別的風險,然後將其匯總成書面報告。黑盒測試的市場報價通常高於白盒測試。
2.白盒測試
白盒測試的審計人員可以獲得被測單位的各種內部信息甚至保密,因此滲透測試人員的視野更加廣闊。如果使用白盒測試來評估安全漏洞,測試人員可以用最小的工作量實現最高的評估準確性。白盒測試從被測試的系統環境本身開始,並完全消除內部安全問題,從而增加了從單元外部滲透系統的難度。黑盒測試做不到這壹點。白盒測試所需的步驟數量與黑盒測試相當。此外,如果白盒測試可以與傳統的R&D生命周期相結合,則可以在入侵者發現甚至利用安全漏洞之前盡早消除所有安全風險。這使得白盒測試的時間和成本,以及發現和解決安全漏洞的技術門檻都低於黑盒測試。