评估方法

近来,政府和私营组织都将网络安全作为战略重点.网络犯罪分子经常使用不同的攻击媒介使政府和私人组织成为他们的软目标.遗憾的是,由于缺乏有效的政策,标准和信息系统的复杂性,网络犯罪分子拥有大量目标,他们在利用系统和窃取信息方面也取得了成功.

渗透测试是一种可用于降低网络攻击风险的策略.渗透测试的成功取决于有效的&一致的评估方法.

我们有各种与渗透测试相关的评估方法.使用方法的好处是它允许评估者一致地评估环境.以下是一些重要的方法 :

  • 开源安全测试方法手册(OSSTMM)

  • 打开Web应用程序安全项目(OWASP)

  • 美国国家标准与技术研究院(NIST)

  • 渗透测试执行标准(PTES)

什么是PTES?

PTES,渗透测试执行标准,顾名思义是渗透测试的评估方法.它涵盖了与渗透测试相关的所有内容.我们在PTES中有许多与评估员可能遇到的不同环境相关的技术指南.这是新评估员使用PTES的最大优势,因为技术指南提出了在行业标准工具中解决和评估环境的建议.

在下一节中,我们将了解不同的阶段PTES的七个阶段

PTES的七个阶段

渗透测试执行标准(PTES)由七个阶段组成.这些阶段涵盖了与渗透测试相关的所有内容 - 从最初的沟通和背后的推理,到测试人员在幕后工作的情报收集和威胁建模阶段.通过漏洞研究,利用和后期利用,可以更好地了解被测组织.在这里,测试人员的技术安全专业知识与业务对参与的理解紧密结合,最后与报告相结合,报告以对客户有意义并为其提供最大价值的方式捕获整个流程./p>

我们将在后续章节中了解PTES的七个阶段 :

参与前交互阶段

<这是PTES的第一个也是非常重要的阶段.此阶段的主要目的是解释可用的工具和技术,这有助于渗透测试的成功预接合步骤.实施此阶段时的任何错误都会对评估的其余部分产生重大影响.此阶段包括以下 :

评估请求

此阶段开始的第一部分是创建请求组织的评估.提供征求建议书(RFP)文件,其中包含有关环境,所需评估类型和组织期望的详细信息.

招标

现在,根据 RFP 文件,多家评估公司或个人有限责任公司(LLC)将竞标该竞标方,其投标与工作相匹配请求,价格和一些其他特定参数将获胜.

签署订婚信(EL)

现在,组织和党,谁赢了出价,将签署订婚信(EL)合同.这封信将包含工作陈述(SOW)和最终产品.

确定会议范围

一旦EL已签名,范围的微调可以开始.此类会议有助于组织和党对特定范围进行微调.范围界定会议的主要目标是讨论将要测试的内容.

处理范围蔓延

范围蔓延是客户可能尝试的增加或延长承诺的工作水平,以获得超出其承诺支付的费用.这就是为什么由于时间和资源应该仔细考虑对原始范围的修改.它还必须以某种文件形式填写,如电子邮件,签名文件或授权书等.

调查问卷

在与客户的初次沟通中,为了正确估计参与范围,客户必须回答几个问题.这些问题旨在更好地了解客户希望从渗透测试中获得什么;为什么客户希望针对他们的环境进行渗透测试;并且,他们是否想要在渗透测试期间进行某些类型的测试.

进行测试的方式

预备的最后部分参与阶段是决定进行测试的程序.有各种测试策略,如白盒,黑盒,灰盒,双盲测试可供选择.

以下是可能需要和减去的评估的几个例子;

  • 网络渗透测试

  • 网络应用程序渗透测试

  • 无线网络渗透测试

  • 物理渗透测试

  • 社会工程

  • 网络钓鱼

  • 互联网协议语音(VOIP)

  • 内部网络

  • 外部网络

情报收集阶段

情报收集,PTES的第二阶段,我们对目标进行初步调查,以收集尽可能多的信息,以便在穿透时使用漏洞评估和开发阶段的目标.它可以帮助组织确定评估团队的外部风险.我们可以将信息收集划分为以下三个级别 :

级别1信息收集

自动化工具几乎可以完全获得此级别的信息. 1级信息收集工作应该适合于满足合规性要求.

2级信息收集

通过使用自动化可以获得此级别的信息1级工具以及一些手动分析.这个级别需要对业务有一个很好的理解,包括物理位置,业务关系,组织结构图等信息.第2级信息收集工作应该适合满足合规性要求以及其他需求,如长期安全策略,收购规模较小的制造商等

3级信息收集

此级别的信息收集用于最先进的渗透测试. 3级信息收集需要1级和2级的所有信息以及大量的人工分析.

威胁建模阶段

这是PTES的第三阶段.正确执行渗透测试需要威胁建模方法.威胁建模可以用作渗透测试的一部分,或者可以基于许多因素来面对.如果我们使用威胁建模作为渗透测试的一部分,那么在第二阶段收集的信息将回滚到第一阶段.

以下步骤构成威胁建模阶段 :

  • 收集必要且相关的信息.

  • 需要识别和分类主要和&二级资产.

  • 需要识别和分类威胁&威胁社区.

  • 需要将威胁社区映射到主要和&次要资产.

威胁社区&代理商

下表列出了相关威胁社区和代理商及其在组织中的位置 :

位置内部外部
威胁代理/社区 员工业务伙伴
管理人员承包商
管理员(网络,系统)竞争对手
工程师供应商
技术人员Nation States
一般用户社区黑客

在进行威胁建模评估时,我们需要记住威胁的位置可以是内部的.它只需要一个网络钓鱼电子邮件或一个恼火的员工通过广播凭证来保持组织的安全.

漏洞分析阶段

这是PTES的第四阶段,评估员将确定进一步测试的可行目标.在PTES的前三个阶段中,仅提取了有关组织的详细信息,评估员未触及任何测试资源.这是PTES最耗时的阶段.

以下阶段构成漏洞分析 :

漏洞测试

它可以被定义为在主机和服务的系统和应用程序中发现诸如配置错误和不安全的应用程序设计之类的缺陷的过程.在进行漏洞分析之前,测试人员必须正确地确定测试范围和预期结漏洞测试可以是以下类型 :

  • 有效测试

  • 被动测试

我们将在后面的章节中详细讨论这两种类型.

有效测试

它涉及与正在测试的组件的安全漏洞直接交互.组件可以是低级别的,例如网络设备上的TCP堆栈,或者是高级别的组件,例如基于web的接口.主动测试可以通过以下两种方式完成 :

自动主动测试

它利用软件与目标进行交互,检查响应和根据这些响应确定组件中是否存在漏洞.与手动主动测试相比,自动主动测试的重要性可以从以下事实实现:如果系统上有数千个TCP端口,并且我们需要手动连接所有这些端口以进行测试,则需要相当长的时间.但是,使用自动化工具执行此操作可以减少大量的时间和人力需求.网络漏洞扫描,端口扫描,横幅抓取,Web应用程序扫描可以在自动化主动测试工具的帮助下完成.

手动主动测试

与自动化主动测试相比,手动有效测试更有效.自动化流程或技术始终存在误差范围.这就是为什么始终建议对目标系统上可用的每个协议或服务执行手动直接连接以验证自动测试的结果.

被动测试

被动测试不涉及与组件的直接交互.它可以在以下两种技术的帮助下实现 :

元数据分析

这种技术涉及查看描述文件的数据而不是而不是文件本身的数据.例如,MS word文件具有其作者姓名,公司名称,上次修改和保存文档的日期和时间方面的元数据.如果攻击者可以获得对元数据的被动访问,则会出现安全问题.

流量监控

它可能被定义为连接到的技术内部网络和捕获数据以进行离线分析.它主要用于捕获"泄漏数据"到交换网络上.

验证

漏洞测试后,验证结果是非常必要的.它可以借助以下技术完成并减去;

工具之间的相关性

如果评估员使用多个自动化工具进行漏洞测试,那么为了验证结果,有必要在这些工具之间建立关联.如果工具之间没有这种相关性,那么调查结果会变得复杂.它可以分解为项目的特定相关性和项目的分类相关性.

协议特定验证

验证可以在协议的帮助下完成也. VPN,Citrix,DNS,Web,邮件服务器可用于验证调查结果.

研究

在查找和验证漏洞后系统必须确定问题识别的准确性,并在渗透测试范围内研究漏洞的潜在可利用性.研究可以公开或私下进行.在进行公共研究时,可以使用漏洞数据库和供应商建议来验证报告问题的准确性.另一方面,在进行私人研究时,可以设置副本环境,并且可以应用模糊测试或测试配置等技术来验证报告问题的准确性.

开发阶段

这是PTES的第五阶段.此阶段的重点是绕过安全限制来获取对系统或资源的访问权限.在此阶段,前几个阶段完成的所有工作都可以获得系统的访问权限.以下是用于获取系统访问权限的一些常用术语 :

1、Popped

2、Shelled

3、破解

4、被利用

登录系统,在开发阶段,可以借助代码,远程利用,创建漏洞,绕过防病毒来完成,也可以像通过弱凭据进行日志记录一样简单.在获得访问权之后,即在识别主要入口点之后,评估者必须专注于识别高价值目标资产.如果漏洞分析阶段已正确完成,则应符合高值目标列表.最终,攻击向量应考虑到成功概率和对组织的最大影响.

开发后阶段

这是第六阶段PTES.评估员在此阶段进行以下活动 :

基础设施分析

在此阶段对渗透测试期间使用的整个基础设施进行分析.例如,可以借助接口,路由,DNS服务器,缓存DNS条目,代理服务器等来完成网络或网络配置分析.

Pillaging

可以定义为从目标主机获取信息.该信息与预评估阶段中定义的目标相关.此信息可以从已安装的程序,系统上的特定服务器(如数据库服务器,打印机等)获取.

数据泄露

在此活动下评估员需要对所有可能的渗透路径进行映射和测试,以便可以进行控制强度测量,即检测和阻止组织中的敏感信息.

创建持久性

此活动包括安装需要身份验证的后门,在需要时重新启动后门以及创建具有复杂密码的备用帐户.

清理

顾名思义,这个过程涵盖了渗透测试完成后清理系统的要求.此活动包括返回原始值系统设置,应用程序配置参数以及删除所有已安装的后门和创建的任何用户帐户.

报告

这是PTES的最后也是最重要的阶段.在此,客户在完成渗透测试后根据最终报告付款.该报告基本上反映了评估员对系统所做的调查结果.以下是良好报告的基本部分 :

执行摘要

这是一份报告,向读者传达有关报告的具体目标渗透测试和测试练习的高水平发现.目标受众可以是首席套房顾问委员会的成员.

故事情节

报告必须包含故事情节,这将解释所做的事情在参与期间,实际的安全调查结果或弱点以及组织已建立的积极控制措施.

概念证明/技术报告

概念或技术报告必须包括测试的技术细节以及在参与前练习中作为关键成功指标达成一致的所有方面/组成部分.技术报告部分将详细描述测试的范围,信息,攻击路径,影响和补救建议.