网络安全 2021年08月04日
在几年的时间里,渗透测试(或过去被称为“道德黑客”)已经从只有大型组织才有规律地做的事情变成了现在甚至推荐给最小的中小企业的评估类型。对于某些人来说,这种变化是由合规性提高来解释的,但最大的因素是破坏性网络攻击的急剧增长,尽管网络安全投资达到创纪录水平,但这些攻击仍在继续困扰着组织。
这似乎是一个悖论:Gartner 预测,到 2021 年,传统信息安全系统的支出将达到 1500 亿美元,比去年增长 12.4%。至少 15 年来,支出一直在像这样增长,但它应该阻止的问题却越来越严重。怎么会这样?
一种可能性是,虽然网络安全技术修复了已知问题,但它并未解决那些没人预料到的隐形问题。这些弱点只出现在现实世界的条件下,在这种情况下,网络犯罪分子比防御者更擅长发现。 Infosec 提供了许多这种现象的例子,包括未修补的软件漏洞(数量也急剧增加)、意外错误配置、薄弱或老化的安全策略、安全性差的帐户、未记录的网络访问以及员工行为松懈。
有大量证据表明,错误配置、疏忽和幼稚的安全行为是许多网络攻击的根本原因,而不是攻击者的任何超级复杂性。例如,勒索软件攻击通常依赖于相当基本的安全性故障,而这些故障本可以被阻止,例如泄露(并可能重复使用)的密码,据报道,这些密码有助于最近对美国殖民地管道的破坏性攻击。
渗透测试有什么帮助?
渗透测试试图通过模拟真正的攻击者如何搜索和利用它们来发现这些问题,通常将较小的弱点链接在一起以扩大危害。通常,每个测试都辅以自动化漏洞扫描,以检测最常见的软件缺陷、错误配置和疏忽。在流程结束时,客户会收到一份详细说明弱点的报告,其中包含每个对组织构成的风险的分析和排名,以及建议修复的结论部分。
渗透测试的类型
渗透测试在不同程度的深度上进行,这取决于测试的目的或目的。外部测试从公众的角度寻找防火墙之外的弱点,而内部测试则假设攻击者已经在网络内部站稳脚跟。后者曾经是可选的,现在被认为是必不可少的,因为它模拟了越来越多的攻击如何展开,无论是由于恶意内部人员还是因为攻击者通过网络钓鱼或弱密码安全性破坏了员工或特权帐户。它还有助于分析攻击者从受感染系统转移到其他资源的难易程度。
黑盒测试和红队
更高级的渗透测试包括黑盒测试,其中测试人员在不了解网络防御的情况下以与攻击者相同的方式探测网络。对于大型组织来说,另一个越来越受欢迎的选择是红队,它涉及对组织的各个方面进行扩展测试,包括在长达数周或数月的长时间内进行的物理安全、员工行为和内部流程。
渗透测试是如何发生的
外部测试从与商定的目标和参与规则 (RoE) 相关的信息收集开始,然后是对组织面向公众的系统的侦察。然后,他们开始使用开源工具(Nmap、Nessus、Cobalt Strike、Metasploit)以及他们自己的客户脚本和手动技术的组合来扫描常见的缺陷和弱点。如果发现弱点,就会尝试在不被发现的情况下利用它,然后尝试横向移动到组织网络中其他地方的新服务器。每个步骤都记录在最终渗透测试报告中,该报告按优先级顺序解释了修复和缓解措施。
中小企业可以自己做渗透测试吗?
理论上,组织可以自己做到这一点,但雇用独立测试人员被视为最佳实践,因为它可以避免利益冲突和内部政治等问题。如果需要传递坏消息,冷静的外部审计始终是最好的方法。许多测试还需要专业技能和经验。
渗透测试有风险还是非法?
测试的目标及其参数总是事先与客户详细商定,包括同意进行某些可能违反英国法律的行动。测试人员正在寻找弱点,并且不会在此过程中以破坏性的方式利用它们或破坏数据。这是由参与规则管理的,该规则记录了测试人员如何保护他们在测试期间遇到的任何敏感数据以及与内部 IT 团队沟通的程序。
渗透测试有限制吗?
一个问题是,理想情况下,组织应该至少进行两次渗透测试,第一个是发现弱点,第二个是稍后评估它们是否已修复。网络也会随着时间而变化,这意味着即使是这种评估也会很快过时。所有这些都意味着至少每年一次,可能每两年一次检查,这会增加前期成本。
另一个问题是,向中小企业提供的那种渗透测试不太可能找到所有弱点。其中一些取决于测试的范围,这可能是非常基本的,但也因为其他弱点领域(例如员工对网络钓鱼攻击的抵抗力)不属于此类评估的一部分。中小企业应该在渗透测试方面走多远?可以说,要解决这个问题,首先需要进行彻底的风险评估,将评估成本与攻击成本联系起来。
渗透测试真的有必要吗?
要回答这个问题,组织需要评估勒索软件之类的攻击的影响,这些攻击可能会导致其运营中断数天、数周或更长时间。网络保险不太可能涵盖所有这些成本,并且有强有力的证据表明,即使他们支付了费用,受攻击的组织也很少恢复所有数据。这可能会对声誉和合规性的损失产生长期影响。渗透测试不会消除网络攻击的风险,但会显着降低风险。
结论
虽然渗透测试对于组织来说可能是一种非常有价值的工具,但并不能保证能够抵御所有网络风险。因此,明智的策略应该是多种措施的组合,这些措施相结合以提供复合效应,在大多数领导者需要考虑的预算和资源限制范围内保护组织。
一个好的起点是确保员工了解风险、如何发现风险以及如何避免风险。我们的网络安全电子学习课程是确保您的员工了解关键原则的一种经济高效的方式。同时,通过使用第三方认证来评估您组织的系统和流程——从 Cyber?? Essentials 和 Cyber?? Essentials Plus 到 ISO 27001,可以提供额外的便利。如果您想讨论这些选项中的任何一个,请联系我们今天或在这里索取报价。