如何执行渗透测试和漏洞评估


由Shomiron Dasgupta先生,首席执行官& Founder, DNIF.

漏洞评估(VA)和 渗透测试(通常缩短为“Pentesting”)是有效的技术 用于识别和消除软件系统中的风险。在IT安全中,一个 漏洞是软件系统中的一种漏洞或弱链接。尽管 渗透测试是对模拟的软件系统的计划攻击 真实攻击者使用的方法,漏洞评估是使用 自动扫描仪以定位设计,实现和其他的漏洞 系统的方面可以危及敏感信息的安全性。

设定目标

得到最多 出于波比和VA,您需要先建立目标。目标设置, 这个过程的第一阶段是你的机会定义你想要的东西 在开始工作之前实现。例如,您可以决定运行一个 在将其推出之前,对新的或更新的应用程序进行渗透测试 所有系统。这样,您可以确保应用程序不会打开 您的网络攻击。

相比之下,自动性质 漏洞评估使其更适合定期,主动使用。你 可以使用这些评估的结果来最小化暴露的表面积 攻击,降低成功攻击的潜在伤害 time.

要设置适当的目标,您需要收集有关要测试资产的数据 及其相关的风险水平。这些资产可能包括端点设备, 服务器,防火墙甚至整个网络。 广泛地,您想确定哪些资产 具有受攻击影响的最高风险。

需要考虑的额外风险因素 包括开放端口,活动服务和访问任何给定的用户 资产。最小化这些风险因素减少了可用的选项 attackers.

执行测试

下一步是执行测试 你的选择。通常,渗透测试是一种手动方法,而在 漏洞评估更依赖于自动化工具。在渗透中 测试,安全专家使用各种软件来识别漏洞 在逻辑,库和攻击的函数中。在漏洞中 评估,自动化工具将各种输入传递给应用程序或 正在测试的系统。它记录了它收到检查的响应 可以被利用的漏洞,导致任意代码执行或 另一个安全事件。

无论如何,那些执行测试的人 应该了解任何与业务相关的合规要求并确定 执行测试的最佳时间和日期。

完成

要结束测试,测试仪必须 逆转在模拟攻击过程中进行的任何变化,返回 网络到原始状态。资产正在测试的重要性和 所执行的测试的发现可以形成发展和发展的基础 实施风险缓解技术。最终结果是一种网络 更难以攻击。


DNIF.,Shomiron Dasgupta,创始人兼首席执行官是一家经验丰富的入侵分析师,并在十多年来建造威胁检测系统。多年来,他在DDOS缓解,交通异常,协作检测系统,追踪工具,大数据,实时鱼缸,多层相关,报告技术,审计系统,框架,并行处理和可衡量的安全性上工作。