網路安全行業里說的滲透測試(penetration test,pentest)是實施安全評估(即審計)的具體手段。
滲透測試可能是單獨進行的一項工作,也可能是產品系統在研發生命周期里 IT 安全風險管理的一個組成部分。產品的安全性並不完全取決於 IT 方面的技術因素,還會受到與該產品有關的最佳安全實踐的影響。具體而言,增強產品安全性的工作涉及安全需求分析、風險分析、威脅建模、代碼審查和運營安全。
通常認為,滲透測試是安全評估最終的也是最具侵犯性的形式,它必須由符合資質的專業人士實施。在進行評估之前,有關人員可能了解也可能不了解目標的具體情況。滲透測試可用於評估所有的IT基礎設施,包括應用程序、網路設備、操作系統、通信設備、物理安全和人類心理學。滲透測試的工作成果就是一份滲透測試報告。這種報告分為多個部分闡述在當前的目標系統里找到的安全弱點,並且會討論可行的對抗措施和其他改進建議。充分應用滲透測試方法論,有助於測試人員在滲透測試的各個階段深入理解並透徹分析當前存在的防禦措施。
滲透測試的種類
雖然滲透測試各種各樣,但是業內普遍將其劃分為兩類:白盒測試和黑盒測試。
1、黑盒測試
在進行黑盒測試時,安全審計員在不清楚被測單位的內部技術構造的情況下,從外部評估網路基礎設施的安全性。在滲透測試的各個階段,黑盒測試藉助真實世界的黑客技術,暴露出目標的安全問題,甚至可以揭露尚未被他人利用的安全弱點。滲透測試人員應能理解安全弱點,將之分類並按照風險級別(高、中、低)對其排序。通常來說,風險級別取決於相關弱點可能形成的危害的大小。老練的滲透測試專家應能確定可引發安全事故的所有攻擊模式。當測試人員完成黑盒測試的所有測試工作之後,他們會把與測試對象安全狀況有關的必要信息進行整理,並使用業務的語言描述這些被識別出來的風險,繼而將之匯總為書面報告。黑盒測試的市場報價通常會高於白盒測試。
2、白盒測試
白盒測試的審計員可以獲取被測單位的各種內部資料甚至不公開資料,所以滲透測試人員的視野更為開闊。若以白盒測試的方法評估安全漏洞,測試人員可以以最小的工作量達到最高的評估精確度。白盒測試從被測系統環境自身出發,全面消除內部安全問題,從而增加了從單位外部滲透系統的難度。黑盒測試起不到這樣的作用。白盒測試所需的步驟數目與黑盒測試不相上下。另外,若能將白盒測試與常規的研發生命周期相結合,就可以在入侵者發現甚至利用安全弱點之前,盡可能最早地消除全部安全隱患。這使得白盒測試的時間、成本,以及發現、解決安全弱點的技術門檻都全面低於黑盒測試。
