📅 最后修改于: 2020-12-06 10:28:37 🧑 作者: Mango
最近,政府和私人组织都将网络安全作为一项战略重点。网络罪犯经常通过使用不同的攻击媒介,将政府和私人组织作为软目标。不幸的是,由于缺乏有效的政策,标准和信息系统的复杂性,网络罪犯拥有大量目标,他们也正在成功利用该系统并窃取信息。
渗透测试是可以用来减轻网络攻击风险的一种策略。渗透测试的成功取决于有效且一致的评估方法。
我们有多种与渗透测试相关的评估方法。使用方法的好处是,它可以使评估人员始终如一地评估环境。以下是一些重要的方法-
开源安全测试方法手册(OSSTMM)
开放式Web应用程序安全项目(OWASP)
美国国家标准技术研究院(NIST)
渗透测试执行标准(PTES)
顾名思义,PTES(渗透测试执行标准)是一种渗透测试的评估方法。它涵盖了与渗透测试有关的所有内容。在PTES中,我们有许多技术准则,涉及评估者可能遇到的不同环境。这是新的评估人员使用PTES的最大优势,因为技术准则提出了在行业标准工具中解决和评估环境的建议。
在以下部分中,我们将学习PTES的不同阶段。
渗透测试执行标准(PTES)包含七个阶段。这些阶段涵盖了与渗透测试相关的所有内容-从最初的沟通和笔测试背后的推理,到情报收集和威胁建模阶段,其中测试人员在幕后进行工作。通过漏洞研究,利用和后期利用,可以更好地了解受测组织。在这里,测试人员的技术安全专业知识与业务参与的理解,以及最终的报告,以对客户有意义并为其提供最大价值的方式,至关重要地结合在一起。
我们将在后续部分中了解PTES的七个阶段-
这是PTES的第一个也是非常重要的阶段。此阶段的主要目的是解释可用的工具和技术,这些工具和技术有助于成功进行渗透测试的预接合步骤。实施此阶段时的任何错误都可能对其余评估产生重大影响。此阶段包括以下内容-
此阶段开始的第一部分是组织创建评估请求。向评估者提供了一份提案请求(RFP)文件,其中包含有关环境,所需评估种类和组织期望的详细信息。
现在,根据RFP文件,将有多个评估公司或单个有限责任公司(LLC)竞标,竞标的一方将与所要求的工作相匹配,价格和其他一些特定参数将中标。
现在,中标的组织和一方将签署“参与书”(EL)的合同。该信函将包含工作说明书(SOW)和最终产品。
一旦签署了EL,就可以开始对示波器进行微调。这样的会议可以帮助组织和当事人调整特定范围。范围会议的主要目标是讨论将要测试的内容。
客户可能会尝试扩大范围,以扩大或扩大承诺的工作水平,以获取超出其承诺支付的费用的范围。因此,由于时间和资源的原因,应仔细考虑对原始范围的修改。还必须以某种文件形式完成,例如电子邮件,签名文件或授权信等。
在与客户进行初步沟通期间,客户必须回答几个问题才能正确估计参与范围。这些问题旨在更好地了解客户希望从渗透测试中获得什么;为什么客户希望针对其环境进行渗透测试;以及他们是否希望在渗透测试期间进行某些类型的测试。
参与前阶段的最后一部分是确定进行测试的程序。有多种测试策略,例如白盒,黑盒,灰盒,双盲测试可供选择。
以下是可能要求评估的一些示例-
情报收集是PTES的第二阶段,在该阶段,我们针对目标执行初步调查,以收集尽可能多的信息,以便在漏洞评估和开发阶段穿透目标时利用这些信息。它可以帮助组织确定评估团队的外部风险。我们可以将信息收集分为以下三个级别:
自动化工具几乎可以完全获得此级别的信息。 1级信息收集工作应符合合规性要求。
可以使用级别1的自动化工具以及一些手动分析来获得此级别的信息。此级别需要对业务有很好的了解,包括诸如地理位置,业务关系,组织结构图等信息。第2级信息收集工作应适合满足合规性要求以及诸如长期安全策略,收购较小的制造商等
最高级的渗透测试中使用此级别的信息收集。 1级和2级的所有信息以及大量的手动分析对于3级信息的收集是必需的。
这是PTES的第三阶段。威胁建模方法是正确执行渗透测试所必需的。威胁建模可以用作渗透测试的一部分,也可以基于多种因素而面临威胁。如果我们将威胁建模用作渗透测试的一部分,则在第二阶段收集的信息将回滚到第一阶段。
以下步骤构成了威胁建模阶段-
收集必要的相关信息。
需要识别和分类主要和次要资产。
需要对威胁和威胁社区进行识别和分类。
需要针对主要和次要资产映射威胁社区。
下表列出了相关威胁社区和代理及其在组织中的位置-
| Location | Internal | External |
|---|---|---|
| Threat agents/communities | Employees | Business Partners |
| Management persons | Contractors | |
| Administrators(Network, System) | Competitors | |
| Engineers | Suppliers | |
| Technicians | Nation States | |
| General user community | Hackers |
在进行威胁建模评估时,我们需要记住,威胁的位置可以位于内部。它只需要一封网络钓鱼电子邮件或一名受烦的员工,就可以通过广播凭据来保护组织的安全。
这是PTES的第四阶段,评估人员将确定可行的目标以进行进一步测试。在PTES的前三个阶段中,仅提取了有关组织的详细信息,而评估者并未动用任何资源进行测试。这是PTES最耗时的阶段。
以下几个阶段构成了漏洞分析-
可以将其定义为发现主机和服务的系统和应用程序中的错误(例如配置错误和不安全的应用程序设计)的过程。在进行漏洞分析之前,测试人员必须适当确定测试范围和所需结果。漏洞测试可以是以下几种类型:
我们将在后面的部分中详细讨论这两种类型。
它涉及与要测试的安全漏洞的组件直接交互。这些组件可以处于较低级别,例如网络设备上的TCP堆栈,也可以处于较高级别,例如基于Web的界面。主动测试可以通过以下两种方式完成-
它利用该软件与目标交互,检查响应并根据这些响应确定组件中是否存在漏洞。可以通过以下事实认识到自动主动测试与手动主动测试相比的重要性:如果系统上有成千上万个TCP端口,而我们需要手动连接所有这些TCP端口进行测试,则将花费大量时间。但是,使用自动化工具进行操作可以减少大量时间和人工需求。网络漏洞扫描,端口扫描,横幅广告抓取,Web应用程序扫描可以借助自动的主动测试工具来完成。
与自动主动测试相比,手动有效测试更为有效。误差范围始终存在于自动化过程或技术中。因此,始终建议对目标系统上可用的每个协议或服务执行手动直接连接,以验证自动化测试的结果。
被动测试不涉及与组件的直接交互。可以借助以下两种技术来实现它-
此技术涉及查看描述文件的数据,而不是文件本身的数据。例如,MS字文件包含有关作者的姓名,公司名称,文档的最后修改和保存日期和时间的元数据。如果攻击者可以被动访问元数据,则将存在安全问题。
可以将其定义为用于连接到内部网络并捕获数据以进行脱机分析的技术。它主要用于将“数据泄漏”捕获到交换网络中。
在进行漏洞测试之后,非常有必要对发现进行验证。可以借助以下技术来完成-
如果评估者正在使用多个自动化工具进行漏洞测试,然后为了验证结果,非常有必要在这些工具之间建立关联。如果工具之间没有这种相关性,则发现可能会变得复杂。它可以细分为项目的特定关联和项目的类别关联。
验证也可以借助协议来完成。 VPN,Citrix,DNS,Web,邮件服务器可用于验证结果。
在发现并确认系统中的漏洞之后,至关重要的是确定问题标识的准确性,并研究在渗透测试范围内漏洞的潜在可利用性。研究可以公开进行,也可以私下进行。在进行公共研究时,漏洞数据库和供应商咨询可用于验证所报告问题的准确性。另一方面,在进行私人研究时,可以设置副本环境,并且可以应用诸如模糊测试或测试配置之类的技术来验证所报告问题的准确性。
这是PTES的第五阶段。此阶段的重点是通过绕过安全限制来访问系统或资源。在此阶段,先前阶段完成的所有工作都会导致获得系统访问权限。以下是用于访问系统的一些常用术语-
在开发阶段的系统登录可以通过代码,远程利用,创建利用,绕过防病毒的帮助来完成,也可以像通过弱凭据进行记录一样简单。在获得访问权限之后,即在确定主要入口点之后,评估者必须专注于识别高价值目标资产。如果漏洞分析阶段已正确完成,则应遵守高价值目标列表。最终,攻击媒介应考虑成功概率和对组织的最大影响。
这是PTES的第六阶段。评估者在此阶段进行以下活动-
在此阶段完成对渗透测试期间使用的整个基础结构的分析。例如,可以在接口,路由,DNS服务器,缓存的DNS条目,代理服务器等的帮助下完成网络或网络配置的分析。
它可以定义为从目标主机获取信息。此信息与预评估阶段中定义的目标有关。可以从已安装的程序,系统上的特定服务器(例如数据库服务器,打印机等)获得此信息。
在此活动下,评估人员需要对所有可能的渗透路径进行制图和测试,以便可以进行控制强度的测量,即从组织中检测和阻止敏感信息。
此活动包括安装需要身份验证的后门程序,在需要时重新启动后门程序以及使用复杂密码创建备用帐户。
顾名思义,此过程涵盖了渗透测试完成后清理系统的要求。此活动包括返回到原始值系统设置,应用程序配置参数,以及删除所有已安装的后门程序和创建的任何用户帐户。
这是PTES的最后也是最重要的阶段。在这里,客户根据渗透测试完成后的最终报告付款。该报告基本上是评估者对系统所做发现的反映。以下是一份好的报告的基本部分-
这是一份向读者传达有关渗透测试的特定目标和测试活动的高级发现的报告。目标听众可以是首席咨询顾问委员会的成员。
报告必须包含一个故事情节,该故事情节将说明参与期间的工作,实际的安全发现或弱点以及组织已建立的积极控制措施。
概念验证或技术报告必须包括测试的技术细节以及在参与前练习中商定为关键成功指标的所有方面/组件。技术报告部分将详细描述测试的范围,信息,攻击路径,影响和补救建议。