测试网络的外围很重要,但攻击者可能已经位于网络内部。攻击者可能是一位有不满情绪的员工,或者是利用防火墙内服务和周边安全防御的外部人员。如果要测试内部安全控制,那么您需要考虑多个方面,包括各种内部测试、您可能希望使用的测试技术和测试员工的重要性(社会工程测试)。
一个单位的内部网络可能会受到各种方式的检测、分析和攻击。一些最常见的内部测试类型包括:
• 内部攻击:这种渗透测试技术可以模拟由授权个人发起的恶意活动,他有组织网络的合法连接。例如,如果访问规则太过于宽松,那么IT管理员就可能将其他人挡在网络之外。
• 外部攻击:这种渗透测试技术会检查外部人员通过宽松的服务访问内部。它可能会攻击超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、结构化查询语言(SQL)、远程桌面(RDP)或其他服务。有一些在线服务专门会销售受限企业资源的访问权限。
• 盗取设备攻击:这种攻击接近于物理攻击,因为它针对于组织的设备。它可能会专门盗取CEO的笔记本电脑、智能手机、复印机或单位的备份磁带。无论是什么设备,其目标都一样:提取重要信息、用户名和密码。
• 物理进入:这种测试技术专门测试组织的物理控制。要对房门、大门、锁、守卫、闭路电视(CCTV)和警报器进行测试,检查它们是否会被绕过。一种常用的方法是使用撞匙打开机械锁,用Arduino板打开电子锁。
• 绕过验证攻击:这种测试技术会寻找无线接入端和调制解调器。其目标是了解系统是否安全,并提供足够的验证控制。如果可以绕过控制,那么道德黑客可能会尝试了解能够获得哪一级别的系统控制。
渗透测试团队的网络知识结构不同,所采用的测试技术也会有所不同
• 墨盒测试可以模拟外部攻击,因为外部人员通常不知道所攻击网络或系统的内部情况。简单地说,安全团队完全不了解目标网络及其系统。攻击者必须收集关于目标的各种信息,然后才能确定它的优缺点。
• 白盒测试则采用与墨盒测试完全相反的方法。这种安全测试的前提是,安全测试人员完全了解网络、系统和基础架构。这种信息允许安全测试人员采用一种更规范化的方法,它不仅能够查看所提供的信息,还能够验证它的准确性。所以,虽然墨盒测试在收集信息时会花费更长的时间,但是白盒测试则在漏洞检测时花费更多时间。
• 灰盒测试有时候指的是只了解部分情况的测试。灰盒测试人员只知道部分的内部结构。
无论采用哪一种渗透测试方法,其目的都是对组织的网络、策略和安全控制进行系统的检查。一个良好的渗透测试还可以检查组织的社会成分。社会工程攻击的目标是组织的员工,其目的是通过操纵员工获得私密信息。近几年来,许多成功的攻击案例都组合使用了社会和技术攻击手段。Ghostnet和Stuxnet就是这样两个例子。如果您需要在执行内部渗透测试之后更新政策,那么一个很好的资源是SANS政策项目。要通过良好的控制、政策和流程对员工进行长期培训,才能够很好地对抗这种攻击手段。