话说第一次世界大战期间,德军大举进攻。但对方防御体系日益增强,德军无力突破,付出了数量惊人的伤亡。痛定思痛后,德军开始用小股作战单位,利用对方防御的间隙和接合部,渗透到其防御体系中,打击重要目标、切断交通线,割裂防御部署之间的关系,为正面的攻击创造条件。这一战术被称为“渗透战术”。
“渗透”词典释义:渗入透过,比喻某种事物或势力逐渐进入其他方面。
在IT互联网领域,渗透是一个专业的网络技术词汇,它有两种含义:网络渗透(Network Penetration)和渗透测试(Penetration Test)。二者所指同一内容,即研究如何一步步的攻击入侵某个大型网络主机服务器群组。但从目的和初衷去看二者是一匪一警的关系,前者是攻击者的非法行为,后者则是安全人员通过模拟入侵攻击,进而寻找最佳安全防护方案的正当手段。
所以说“渗透行为”是一把锋利的双刃剑,既能给网络系统造成严重破坏,也可以为维护网络安全做出巨大贡献。
无孔不入的网络渗透
面对越来越多的攻击事件,网络管理员们采取了大量积极、有效的应对措施,大大提高了网络的安全性,使黑客很难直接攻破一个防御到位的网络系统。于是,黑客也改变了策略,他们似乎很好的继承了一战德军的渗透战术,在一个个看似安全的网络系统上,耐心的寻找到一个个小漏洞、小缺口、小缺陷,然后一步一步地渗透、渗透、再渗透,最终进入网络系统的核心,瓦解掉整条安全防线。
普通的网络攻击通常是利用WEB服务器漏洞入侵网站,进行更改网页、网页挂马等操作,攻击目标随机、目的单一,相对而言防守较容易。渗透攻击则不同,其攻击目标明确,目的也比较复杂,比如攻击特定企业、窃取商业机密、进行网络破坏等。攻击者实施非常系统的攻击步骤,攻击手段也不限于简单的Web脚本漏洞攻击,而是综合运用如嗅探、远程溢出、ARP欺骗等多种攻击方式,逐步控制网络。
渗透攻击可谓无孔不入,危害巨大,且极难防范。而多数管理员由于缺乏丰富的网络攻防经验和专业的攻防技能知识,无法及时发现漏洞,这时就需要请专业的安全人员来一场攻防演练,也就是渗透测试。
必不可少的攻防演习-渗透测试
类似战场上检验防线的实战演习,通过对网络进行“攻防演练”,可以检验防御体系的完善程度,这种“攻防演练”由专业的安全服务人员实施,他们使用渗透技术手段对目标系统发起模拟攻击,这种模拟攻击行为就是渗透测试。
渗透测试的目的在于充分挖掘和暴露系统的弱点,从而让管理人员了解其系统所面临的威胁。由于紧贴“实战”,渗透测试的模拟攻击往往能暴露出一条甚至多条被忽视的漏洞,进而发现整个网络系统的威胁。
通常来说,如果网络防线在模拟攻击中“失守”,根源一般不是因为某一个系统的某个单一问题所致,而是由一系列看似没有关联而又不严重的缺陷组合所致。此类缺陷组合恰恰是最容易被管理员忽略,被渗透攻击者利用的。专业的测试人员却可以靠丰富的经验和技能将它们进行串联并展示出来,以此明确系统中的安全隐患点。
渗透测试可有效督促网络管理员,不放过任何一处小的缺陷,从而降低整体风险。此外,部分行业监管部门对于新业务系统有上线前安全测试、检测、评估的要求,而渗透测试完成后形成的《系统渗透测试报告》,是应用系统上线前所需的重要技术合规性文件。因此,不论从系统的安全性还是合规性来说,渗透测试都是网络安全工作中不可或缺的一环。
网络安全,“渗透”一下
为了保障网络和系统的安全,现在就着手来一场渗透测试吧!渗透测试需要由第三方信息安全机构开展,以保障专业性、合规性及测试结果的独立公正客观。在对网络安全有着极高要求的银行业,网络系统的渗透测试一般会委托中国金融认证中心(CFCA)下属的信息安全实验室实施。CFCA信息安全实验室的渗透团队由一批在信息安全领域从业6年以上的技术骨干组成,项目实施经验丰富,目前已为数十家全国性、外资银行及城商行和大批企事业单位提供了渗透测试服务。
根据CFCA信息安全实验室的测试人员介绍,渗透测试的范围主要包括了操作系统、数据库、应用服务的已知漏洞、不安全配置以及 Web 应用程序的常见漏洞、常见的业务安全测试。以业务安全测试为例,如果系统有涉及支付、交易的业务功能,测试人员会对业务过程中产生的数据包进行抓取,对交易、支付过程中的订单号及交易数量、金额、日期、用户等所有能影响支付结果的参数数据进行模拟篡改攻击,逐一挖掘这些业务功能是否存在漏洞。
在完成系统各个部分的渗透测试后,测试人员会出具一份详细的《渗透测试报告》。报告不仅针对每种威胁、漏洞进行详细描述,还包含解决方案和安全建议,为管理员化解威胁、修补漏洞提供重要参考。在网站管理员完成漏洞修复并提出漏洞复查请求的3个工作日内,测试人员将完成漏洞修补的复查工作并提交《漏洞复查报告》。经过渗透测试的网络系统如同经过战火洗礼的防线一样,可以更好的抵御网络渗透攻击。通过与测试人员的学习交流,更能提高网站管理员的专业水平,严谨的完成日常的网络安全维护工作。
本文来源于:网络安全 ,“渗透”一下-变化吧门户
特别声明:以上文章内容仅代表作者本人观点,不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。
- 赞助本站
- 微信扫一扫
-
- 加入Q群
- QQ扫一扫
-
评论