风险评估是网络安全总体规划的一部分,是许多IT(互联网技术)标准要求。渗透测试是评估网络安全风险最常见的方法之一。渗透测试在风险评估中起着非常重要的作用:综合测试可以帮助您识别、评估风险并确定其优先级。
本文讨论了三种常见的风险评估安全测试类型,并分析了它们的优缺点。我们还将调查渗透测试的类型和阶段,并分享优秀的实践,使网络安全风险评估更有效。
网络安全风险评估
包括:
- 识别可能对组织造成任何损害的漏洞、威胁和风险
- 评估风险发生的概率
- 缓解优先级根据风险的严重程度和可能性确定
NIST Special Publication 800-39风险管理的定义
评估风险和威胁是改善网络安全的最重要步骤之一。这是一个帮助您评估安全控制、检测问题和影响的持续过程。评估的主要原因有几个:
- 数据泄露和数据丢失是为了防止黑客入侵。定期检查网络安全控制器可以让您在黑客使用漏洞之前检测并关闭漏洞。
- 检查网络安全。独立的风险评估可以检查网络的安全控制。它可以帮助您更新受保护环境的知识,特别是在重大变更(如部署新软件、安装新硬件或移动到新位置)后。
- 提高决策能力。确定风险的影响是风险评估的重要组成部分。这些信息对进一步做出与网络安全相关的决策非常有用,如预算、计划改进、修复优先级的确定等。
- 减少网络安全支出。评估是一个耗时且昂贵的过程。但从长远来看,它可以防止数据泄露、黑客攻击和违反法律法规,从而避免更严重的损失。
- 确保合规。风险管理是许多法律、法规和标准的一部分,包括NIST Special Publications,HIPAA,PCI DSS和GDPR。不遵守与您的业务有关的规定可能会导致巨额罚款。
风险评估的程序和工具对每个组织和项目都是独一无二的。但是,必须在任何情况下实施三个阶段。
风险评估的三个基本阶段
第一步是确定您需要保护的内容。这是一个可由安全团队执行的管理程序。该活动的结果是需要保护所有的数据和资源的列表。通常,此列表包括:
- 客户/客户和员工的个人身份信息
- 财务数据
- 商业和工业秘密
- 关键基础设施
- 其他……
通过这种分析,您将获得环境中的漏洞列表。
第三和最后一阶段是定义威胁和评估风险。在这个阶段,你需要:
- 分析发现的漏洞
- 找出可能的漏洞
- 估计风险的可能性
- 评估风险发生后业务的潜在后果
有三种流行的方法可以进行第三阶段的风险评估。在下一部分中,我们将分析选择每种方法的功能,工作流程以及原因。
常见的风险评估方法
有许多安全实践和方法可用于风险评估。最受欢迎的三个是:
- 渗透测试
- 红队测试
- 基于风险的测试
风险评估的安全测试方法
渗透测试使用多种手动技术和自动化工具来模拟对组织的网络安全系统和应用程序的攻击。在此过程中,测试人员确定漏洞的可能利用情况,并估计它们可能造成的潜在损害。渗透测试可能还包括漏洞扫描。渗透测试的主要目标是确定和评估组织的所有网络安全威胁和风险。
红队测试和渗透测试有很多共同点。这种方法也可以模拟对受保护环境的攻击,但更有针对性、可控性和直观性。测试团队不会利用所有的漏洞,而是选择他们想要获得的数据类型,使用哪些安全问题,以及如何模拟高级威胁攻击者的行为。红队只能由第三方测试团队进行,因为重点是从外部获得安全控制。红队测试最流行的用例之一是评估渗透测试后的安全改进。但使用这种类型的测试来检查整个受保护的环境是不合理的。
基于风险的测试是一种根据发现的威胁和风险优先考虑活动的安全测试方法。通过这种方法,测试人员和安全专家可以就潜在风险达成共识,并根据影响程度对其进行分类。当项目有严格的时间限制或需要紧急风险评估和安全改进时,基于风险的测试是最佳选择。
让我们从风险评估的角度来比较这些测试方法的有效性。
在这三种方法中,网络风险评估的渗透测试是时间消耗、成本、风险覆盖范围和结果最平衡的方法。此外,定期的渗透测试是NIST,HIPAA,PCI DSS,GDPR以及其他制度的要求。
在进行渗透试验之前,了解渗透试验的类型和这一过程的基本工作过程是很重要的。
渗透测试
除了模拟黑客攻击,还有更多的事情要做。根据您的要求、预期的结果和目标,您需要选择合适的渗透测试类型,然后考虑要使用的方法和可能的问题。
渗透试验分为三种:
- -测试团队完全了解目标环境,包括软件系统结构和源代码。他们不需要额外的研究或扫描漏洞,以节省更多的测试活动的时间。此外,他们只需要证明使用漏洞的可能性,而不是如何使用漏洞。白盒测试可由内部安全专家或第三方供应商进行。当您想测试内部攻击的安全控制器时,这种测试非常有用。白盒测试包括DoS攻击、内存取证、物理入侵、逆向工程、模糊测试等。
- 。黑盒测试-测试团队几乎不了解环境。因此,他们必须使用任何可以公开访问的信息进行渗透。换句话说,这种渗透测试模拟了外部黑客攻击。黑盒测试需要很多时间,但它可以提供最客观的安全漏洞和风险评估。您需要一个外部组织来进行这种渗透测试。而且,你的IT专家必须不知道他们正在接受测试。黑盒测试人员使用与白盒测试人员相同的方法,但增加了物理攻击。他们还使用漏洞扫描、社会工程、暴力破解和特权升级,以及创建或使用现有的恶意软件来渗透受保护的环境。
- —它是白盒测试和黑盒测试的组合版本,测试团队在渗透环境中获得有限的数据。例如,您可以在不提供访问凭证或源代码的情况下为测试人员提供应用程序文档。与黑盒测试相比,这种测试花费的时间相对较少;与白盒测试相比,只提供部分代码覆盖。灰盒测试也必须由第三方进行。进行这类安全评估的测试人员将使用白盒测试和黑盒测试相结合的方法。
三种渗透试验
这些测试类型都有自己的工作流程。然而,类似于风险评估程序,任何持久性测试都有三个阶段。
首先,攻击前有一个准备阶段:映射网络和周边环境、扫描端口、研究漏洞利用和已知漏洞、选择工具等。在白盒测试中,这一阶段还包括收集目标组织及其员工的信息。准备是渗透测试最耗时的阶段,但也是最重要的。
在攻击阶段,测试人员试图破坏受保护的外围设备、获取或升级权限、访问数据和清除痕迹。
最后,攻击后阶段包括评估潜在损伤并报告渗透测试结果。这些报告总结了风险评估过程,通常包括:
- 发现的漏洞(如果扫描属于渗透试验范围)
- 测试过程中使用的方法和工具说明
- 漏洞列表(已使用和可能)
- 分析这些漏洞可能带来的风险
- 评估发现的风险可能对业务有影响造成的影响
- 评估安全控制的当前状态
- 观察你的安全团队对黑客攻击的反应
- 有理由增加你的网络安全预算
- 定义安全改进,确定优先级
- 创建修复程序,并采取长期缓解措施
本文翻译自:https://www.apriorit.com/dev-blog/676-cybersecurity-risk-assessment-with-pentesting
接下来的简要指南是渗透测试评估风险Part 2》