滲透測試是指安全專業(yè)人員在企業(yè)的許可下，對其網(wǎng)絡(luò)或數(shù)字化系統(tǒng)進行模擬攻擊并評估其安全性。然而，很多企業(yè)在準備開展?jié)B透測試工作時，他們對滲透測試服務(wù)的理解和需求，往往與現(xiàn)實情況存在著很多偏差和誤區(qū)。因此，要做好滲透測試并不容易。研究人員認為，組織只要做好以下幾點，才能夠?qū)崿F(xiàn)高質(zhì)量的滲透測試，并產(chǎn)生積極的安全紅利，而不是浪費時間和資源。

01準確認知滲透測試 

對于一些企業(yè)的安全團隊而言，很難將滲透測試與漏洞測試、漏洞懸賞以及新興的BAS（入侵和攻擊模擬）技術(shù)區(qū)分開來。確實，這些安全技術(shù)和服務(wù)在很多方面都存在重疊，但它們也都有著自己的特點。

從本質(zhì)上講，滲透測試是一個主要依靠安全專家或團隊以人工方式模仿攻擊者的真實攻擊行為，其目的是在數(shù)字化基礎(chǔ)設(shè)施的不同層級找到進入可以攻破目標網(wǎng)絡(luò)的最有效方法。漏洞測試，主要是為了在尋找軟件應用系統(tǒng)中的缺陷，并幫助組織了解如何解決它們。而漏洞懸賞計劃通常僅限于移動或web應用程序，可能與真正的入侵行為并不匹配。漏洞賞金獵人的目標只是盡快找到漏洞并提交報告以獲得獎勵，而不是深入調(diào)查問題與解決問題。

入侵和攻擊模擬（BAS）是一項新興的安全防護技術(shù)。它遵循“掃描、漏洞利用和不斷重復”的設(shè)計邏輯，依賴于自動化執(zhí)行測試的工具，幾乎不需要安全人員的參與。BAS項目本質(zhì)上是連續(xù)的，并且會隨著網(wǎng)絡(luò)的變化動態(tài)地產(chǎn)生測試結(jié)果。

總的來說，滲透測試相比其他類似的安全技術(shù)，具有兩個關(guān)鍵性特征：首先，它是由人類完成的，在很大程度上取決于人工進攻戰(zhàn)術(shù)；其次，它默認所有的數(shù)字化系統(tǒng)都會存在安全缺陷，需要全面的安全評估，并根據(jù)受到攻擊后的危害程度確定修復的優(yōu)先級。

02選擇專業(yè)的測試團隊

提供滲透測試服務(wù)的公司很多。這些公司都有各自的優(yōu)勢和弱點，他們的技術(shù)也各有千秋，呈現(xiàn)測試結(jié)果的方式也有好有壞。企業(yè)有必要確保所選測試團隊的能力能夠滿足測試需要，在選擇時需要考慮以下因素： 

背景和專業(yè)知識。企業(yè)可以通過已完成的項目來評價測試團隊的資質(zhì)和專業(yè)能力，有很多滲透測試團隊在導引用戶需求上頗有心得，但他們執(zhí)行測試計劃的專業(yè)技能卻遠遠不足。企業(yè)在選擇滲透測試團隊時，應將專業(yè)技術(shù)作為首要的考量因素；

完備的測試流程。企業(yè)要充分了解測試相關(guān)的數(shù)據(jù)將會如何傳輸、存儲以及將保留多長時間。此外，還要了解測試報告的詳細程度，以及它是否涵蓋了足夠的漏洞信息范圍。一份樣本報告可以讓企業(yè)更好地了解測試團隊的專業(yè)化程度。

測試工具包。企業(yè)要確保測試團隊能夠利用廣泛的跨平臺滲透測試軟件，包括網(wǎng)絡(luò)協(xié)議分析、密碼破解解決方案、漏洞掃描和取證分析工具等。

獎項和證書。企業(yè)還可以通過一些主流的第三方認證來進行選型分析和判斷。

03選擇合適的測試方式 

根據(jù)測試方法和目標的不同，滲透測試通常分為以下集中類型，企業(yè)組織應該根據(jù)自己的實際需求進行選擇。

• 外部滲透測試。滲透測試團隊將從一個遠程位置來評估目標網(wǎng)絡(luò)基礎(chǔ)設(shè)施，完全模擬真實網(wǎng)絡(luò)環(huán)境中的外部攻擊者，采用流行的攻擊技術(shù)與工具，有組織、有步驟地對目標組織進行逐步滲透與入侵，尋找目標網(wǎng)絡(luò)中已知或未知的安全漏洞，并評估這些漏洞的可利用性。
• 內(nèi)部滲透測試。測試團隊可以了解到關(guān)于目標環(huán)境的所有內(nèi)部與底層知識，因此可以用最小的代價發(fā)現(xiàn)和驗證系統(tǒng)中較嚴重的安全漏洞。內(nèi)部測試主要針對心懷不滿的員工、懷有惡意的承包商或已突破企業(yè)網(wǎng)絡(luò)邊界的攻擊者。
• 盲測（blind test）。盲測模擬來自攻擊者端的“真實”攻擊。滲透測試人員不會獲得有關(guān)組織網(wǎng)絡(luò)或系統(tǒng)的任何信息，這迫使他們依賴公開可用的信息或依靠自身技能收集的信息。而企業(yè)大部分的IT和安全人員也并不知道正在進行滲透測試的事實，以確保測試過程中的真實性。
• 針對性測試。針對性測試也稱為“開燈測試”，指的是滲透測試人員和企業(yè)組織的安全人員在某些特定場景中進行模擬“對抗游戲”。針對性測試通常比其他選項需要更少的時間或精力，但不能提供有關(guān)系統(tǒng)安全態(tài)勢的完整視圖。

由于企業(yè)網(wǎng)絡(luò)安全人才的不足，企業(yè)組織往往缺乏能夠有效進行滲透測試的合格專家，因此需要定期使用外部滲透測試人員。當然在實際測試中，組織內(nèi)部員工需要與外部測試團隊密切合作，并在測試過程中發(fā)揮自己的作用，這將拓展他們的安全視野，同時提高技能。

04合理設(shè)置測試時間與頻率

安全滲透測試的持續(xù)時間通常從三周到一個月不等，具體取決于測試任務(wù)的規(guī)模和要求。即使企業(yè)的攻擊面相對較小，也可能需要花費額外的時間對潛在的攻擊入口進行發(fā)現(xiàn)和分析。理想情況下，企業(yè)組織應該在目標應用程序進行重大版本升級或更新，以及部署新的應用系統(tǒng)時進行滲透測試。實踐表明，很多長期持續(xù)的滲透測試工作往往是多余的，企業(yè)組織通常每年執(zhí)行兩到三次這樣的安全測試與分析就足夠了。

05重視編寫測試報告

在一次完整的滲透測試工作流程中，實際上有近一半時間都會用在如何編寫報告上。大量報告實踐表明，編寫一份高質(zhì)量的滲透測試報告需要仔細的計劃、關(guān)注細節(jié)和充分的溝通。對于滲透測試工程師而言，不僅需要具備高超的滲透測試水平，同樣也需要把各種專業(yè)、深奧的安全技術(shù)問題描述得通俗易懂，讓非安全專業(yè)人士也可以理解。

滲透測試報告應該包含之前所有階段之中滲透測試團隊所獲取的關(guān)鍵情報信息、探測和發(fā)掘出的系統(tǒng)安全漏洞、成功滲透攻擊的過程，以及造成業(yè)務(wù)影響后果的攻擊途徑，同時還要站在防御者的角度上，幫助他們分析安全防御體系中的薄弱環(huán)節(jié)、存在的問題，以及修補技術(shù)方案。

結(jié)語

隨著網(wǎng)絡(luò)安全威脅的不斷擴展與升級， 滲透測試目前已經(jīng)成為現(xiàn)代企業(yè)組織主動識別安全漏洞與潛在風險的關(guān)鍵過程。但不幸的是，仍然有很多組織并未認識到主動評估安全態(tài)勢的價值，而一些組織盡管開展了滲透測試工作，但主要目的也只是為了滿足合規(guī)要求。

不管企業(yè)開展?jié)B透測試的目的是什么，只要測試結(jié)果能被用于做出有意義的改變，這項工作就是成功和有效的。滲透測試可以對組織的安全狀況提供有價值的見解，并突出那些需要盡快改進的領(lǐng)域。企業(yè)應該從測試的關(guān)鍵發(fā)現(xiàn)中吸取教訓，并采取適當?shù)男袆觼砑訌娊M織的安全防御。這可能涉及為員工提供額外的網(wǎng)絡(luò)安全培訓和意識計劃，增強安全監(jiān)控和事件響應能力。

原文鏈接：https://www.cybersecurity-insiders.com/looking-at-a-penetration-test-through-the-eyes-of-a-target/