風(fēng)險評估是網(wǎng)絡(luò)安全整體方案的一部分，并且是許多IT(互聯(lián)網(wǎng)技術(shù))標(biāo)準(zhǔn)的要求。滲透測試是評估網(wǎng)絡(luò)安全風(fēng)險的最常見(也是經(jīng)常需要)的方法之一。滲透測試在風(fēng)險評估中起著很重要的作用：全面的測試可幫助您識別、評估風(fēng)險并確定其優(yōu)先級。

在本文中，我們討論用于風(fēng)險評估的三種常見的安全測試類型，并對它們的優(yōu)缺點進行了分析。我們還將調(diào)查滲透測試的類型和階段，并共享優(yōu)秀實踐，以使網(wǎng)絡(luò)安全風(fēng)險評估更加有效。

[[341750]]

網(wǎng)絡(luò)安全風(fēng)險評估

風(fēng)險評估是一個過程，包括：

• 識別可能對組織造成任何損害的漏洞，威脅和風(fēng)險
• 評估風(fēng)險發(fā)生的概率
• 根據(jù)風(fēng)險嚴(yán)重程度和發(fā)生的可能性確定緩解優(yōu)先級

在風(fēng)險管理中，評估之前先確定風(fēng)險的背景，然后對這些風(fēng)險作出響應(yīng)和監(jiān)控。

NIST Special Publication 800-39定義的風(fēng)險管理

評估風(fēng)險和威脅是改善網(wǎng)絡(luò)安全的最重要步驟之一。這是一個持續(xù)的過程，可以幫助您評估安全控制，檢測問題并評估其影響。進行評估有幾個主要原因：

• 為了防止黑客入侵，數(shù)據(jù)泄露和數(shù)據(jù)丟失。定期檢查網(wǎng)絡(luò)安全控件可以使您在黑客利用漏洞之前檢測并關(guān)閉漏洞。
• 檢查網(wǎng)絡(luò)安全性。獨立的風(fēng)險評估可對網(wǎng)絡(luò)的安全控制進行檢查。它可以幫助您更新有關(guān)受保護環(huán)境的知識，尤其是在進行重大更改(例如部署新軟件，安裝新硬件或移至新位置)之后。
• 提高決策能力。確定風(fēng)險帶來的影響是風(fēng)險評估的重要組成部分。此信息對于做出與網(wǎng)絡(luò)安全有關(guān)的進一步?jīng)Q策很有用，比如預(yù)算，計劃改進，確定修復(fù)的優(yōu)先順序等。
• 減少網(wǎng)絡(luò)安全支出。評估是一個既費時又費錢的過程。但從長遠來看，它可以防止數(shù)據(jù)泄露、黑客攻擊和違反法規(guī)遵性，從而使您免受更嚴(yán)重的損失。
• 確保合規(guī)。風(fēng)險管理是許多法律、法規(guī)和標(biāo)準(zhǔn)的一部分，包括NIST Special Publications，HIPAA，PCI DSS和GDPR。不遵守與您的業(yè)務(wù)有關(guān)的規(guī)定可能會導(dǎo)致巨額罰款。

有效風(fēng)險評估的三個階段

風(fēng)險評估的程序和工具對于每個組織和項目都是獨一無二的。然而，在任何情況下都必須實施三個階段。

風(fēng)險評估的三個基本階段

第一步是確定您需要保護的內(nèi)容。這是一個可由安全團隊執(zhí)行的管理程序。該活動的結(jié)果是需要保護所有的數(shù)據(jù)和資源的列表。通常，此列表包括：

• 客戶/客戶和員工的個人身份信息
• 財務(wù)數(shù)據(jù)
• 商業(yè)和工業(yè)秘密
• 關(guān)鍵基礎(chǔ)設(shè)施
• 其他……

風(fēng)險評估的第二階段是檢測漏洞。在網(wǎng)絡(luò)安全中，這可以通過漏洞掃描來實現(xiàn)，漏洞掃描是一種基于已知軟件和硬件缺陷來識別安全系統(tǒng)中問題的自動化過程。

通過此分析，您將獲得環(huán)境中的漏洞列表。

風(fēng)險評估的第三個也是最后一個階段是定義威脅并評估風(fēng)險。在此階段，您需要：

• 分析發(fā)現(xiàn)的漏洞
• 找出可能的漏洞
• 估計發(fā)生風(fēng)險的可能性
• 評估風(fēng)險發(fā)生后對業(yè)務(wù)的潛在后果

風(fēng)險評估的結(jié)果是按風(fēng)險的嚴(yán)重程度和對業(yè)務(wù)的影響優(yōu)先級的風(fēng)險列表。此列表是進行風(fēng)險緩解活動、優(yōu)先考慮安全修復(fù)和實施新的安全控制的基礎(chǔ)。但在編制這份清單之前，我們需要選擇一種評估風(fēng)險的方法。

有三種流行的方法可以進行第三階段的風(fēng)險評估。在下一部分中，我們將分析選擇每種方法的功能，工作流程以及原因。

比較常見的風(fēng)險評估方法

有很多可用于風(fēng)險評估的安全實踐和方法。最受歡迎的三個是：

• 滲透測試
• 紅隊測試
• 基于風(fēng)險的測試

讓我們了解一下這些測試方法的優(yōu)缺點，以及它們之間的區(qū)別。

風(fēng)險評估的安全測試方法

滲透測試使用多種手動技術(shù)和自動化工具來模擬對組織的網(wǎng)絡(luò)安全系統(tǒng)和應(yīng)用程序的攻擊。在此過程中，測試人員確定漏洞的可能利用情況，并估計它們可能造成的潛在損害。滲透測試可能還包括漏洞掃描。滲透測試的主要目標(biāo)是確定和評估組織的所有網(wǎng)絡(luò)安全威脅和風(fēng)險。

紅隊測試與滲透測試有很多共同點。這種方法還可以模擬對受保護環(huán)境的攻擊，但是這種攻擊更具針對性、可控性和直觀性。測試團隊不會利用所有漏洞，而是選擇他們想要獲取的數(shù)據(jù)類型，要利用哪些安全問題以及如何模擬高級威脅攻擊者的行為。紅隊只能由第三方測試團隊進行，因為重點是要從外部獲取安全控制。紅隊測試最流行的用例之一是評估滲透測試后所做的安全性改進。但是使用這種類型的測試來檢查整個受保護的環(huán)境是不合理的。

基于風(fēng)險的測試是一種安全測試方法，它根據(jù)發(fā)現(xiàn)的威脅和風(fēng)險對活動進行優(yōu)先級排序。通過這種方法，測試人員和安全專家可以就潛在風(fēng)險達成共識，并根據(jù)影響程度對其進行分級。當(dāng)項目有嚴(yán)格的時間限制或者您需要緊急的風(fēng)險評估和安全性改進時，基于風(fēng)險的測試是最好的選擇。

讓我們從風(fēng)險評估的角度比較這些測試方法的有效性。

在這三種方法中，用于網(wǎng)絡(luò)風(fēng)險評估的滲透測試在時間消耗，成本，風(fēng)險覆蓋范圍和結(jié)果方面是最平衡的。另外，定期進行滲透測試是NIST，HIPAA，PCI DSS，GDPR和其他制度的要求。

在進行滲透測試之前，重要的是要了解滲透測試的類型以及此過程的基本工作流程。

滲透測試

除了模擬黑客攻擊之外，還有更多的事情要做。根據(jù)您的要求，期望的結(jié)果和目標(biāo)，您需要選擇適當(dāng)?shù)臐B透測試類型，然后考慮將要使用的方法以及可能遇到的問題。

滲透測試分為三種：

• 白盒測試 -測試團隊完全了解目標(biāo)環(huán)境，包括有關(guān)軟件體系結(jié)構(gòu)和源代碼的知識。他們不需要進行額外的研究或漏洞掃描，從而為更多的測試活動節(jié)省時間。此外，他們只需要證明漏洞利用的可能性，而不是如何利用漏洞。白盒測試可以由內(nèi)部安全專家或第三方供應(yīng)商執(zhí)行。當(dāng)您想針對內(nèi)部攻擊測試安全控件時，這種類型的測試非常有用。白盒測試方法包括DoS攻擊，內(nèi)存取證，物理侵入，逆向工程，模糊測試等。
• 黑盒測試 -測試團隊幾乎不了解環(huán)境。因此，他們必須使用任何可公開訪問的信息進行滲透。換句話說，這種滲透測試模擬了外部黑客攻擊。黑盒測試需要花費大量時間，但可以提供最客觀的安全漏洞和風(fēng)險評估。您需要一個外部組織來進行這種滲透測試。而且，您的IT專家必須不知道他們正在接受測試。黑盒測試人員使用與白盒測試人員相同的方法，只是增加了物理攻擊。他們還利用漏洞掃描，社會工程，暴力破解和特權(quán)升級，以及創(chuàng)建或使用現(xiàn)有的惡意軟件來滲透受保護的環(huán)境。
• 灰盒測試 —它是白盒測試和黑盒測試的結(jié)合版，測試團隊在滲透的環(huán)境中獲得有限的數(shù)據(jù)。例如，您可以為測試人員提供所用應(yīng)用程序的文檔，但不提供訪問憑據(jù)或源代碼。與黑盒測試相比，此類測試花費的時間相對較少;與白盒測試相比，僅提供部分代碼覆蓋?；液袦y試也必須由第三方進行。進行這種類型的安全評估的測試人員會使用白盒測試和黑盒測結(jié)合的方法。

三種滲透測試

這些測試類型都有自己的工作流程。然而，與風(fēng)險評估程序類似，任何持久性測試共有三個階段。

首先，攻擊前有一個準(zhǔn)備階段：映射網(wǎng)絡(luò)和外圍環(huán)境、掃描端口、研究漏洞利用和已知漏洞、選擇工具等。在白盒測試中，此階段還包括收集目標(biāo)組織及其員工的信息。準(zhǔn)備是滲透測試最耗時的階段，但也是最重要的。

在攻擊階段，測試人員試圖破壞目標(biāo)網(wǎng)絡(luò)：破壞受保護的外圍設(shè)備、獲取或升級權(quán)限、訪問數(shù)據(jù)和清除痕跡。

最后，攻擊后階段包括評估潛在損害并報告滲透測試過程的結(jié)果。此類報告總結(jié)了風(fēng)險評估過程，通常包括：

• 發(fā)現(xiàn)的漏洞(如果掃描它們屬于滲透測試的范圍)
• 測試期間使用的方法和工具的說明
• 漏洞列表(已使用和可能的)
• 分析這些漏洞可能帶來的風(fēng)險
• 評估發(fā)現(xiàn)的風(fēng)險可能對業(yè)務(wù)造成的影響

使用此報告，您可以繼續(xù)進行風(fēng)險管理的下一階段：風(fēng)險緩解和控制。例如，使用滲透測試結(jié)果，您可以：

• 評估安全控制的當(dāng)前狀態(tài)
• 觀察您的安全團隊對黑客攻擊的反應(yīng)
• 有理由增加您的網(wǎng)絡(luò)安全預(yù)算
• 定義安全改進并確定其優(yōu)先級
• 創(chuàng)建修補程序并采取長期的緩解措施

如我們所見，滲透測試是評估網(wǎng)絡(luò)安全控制和風(fēng)險的好方法。但是，請務(wù)必牢記滲透測試的風(fēng)險。讓我們在下一部分中了解它們。

本文翻譯自：https://www.apriorit.com/dev-blog/676-cybersecurity-risk-assessment-with-pentesting

接下篇《滲透測試評估風(fēng)險的簡要指南Part 2》