網路安全滲透測試常見的7種型別!

　　網路安全滲透測試的型別有很多，其中比較常見的型別大致分為以下7種：網路滲透測試、社會工程滲透測試、Web應用滲透測試、無線網路滲透測試、物理安全滲透測試、雲端計算滲透測試、紅藍對抗，接下來是具體的內容介紹。

　　1、網路滲透測試

　　如果攻擊者能夠成功闖入公司的網路，其引發的風險將會非常高。網路滲透測試主要指測試人員嘗試繞過防火牆、測試路由器、規避入侵檢測和防禦系統(IPS/IDS)、掃描埠和代理服務，並尋找所有型別的網路漏洞。在實際應用中，網路滲透測試工作主要包括外部網路滲透測試與內部網路滲透測試。

　　2、社會工程滲透測試

　　社會工程是網路犯罪分子用來欺騙使用者洩露憑據或敏感資訊的一種技術。如今，大多數網路安全攻擊會從社會工程、網路釣魚或簡訊網路釣魚開始。攻擊者通常會聯絡員工，透過電子郵件、電話、社交媒體及其他方式瞄準那些擁有管理員或高*訪問許可權的人。透過社會工程滲透測試可以幫助安全團隊預先了解組織的人員安全意識狀態，並在社會工程攻擊期間和之後測試組織安全團隊的反應和支援能力。

　　3、web應用滲透測試

　　基於Web的應用程式對於幾乎每家組織的運營都至關重要。Web應用程式滲透測試側重於透過Web應用程式呈現給攻擊者的攻擊面。這些測試型別旨在評估Web應用程式的安全性，並尋找攻擊性方法來訪問敏感資料，或獲得對Web應用程式的控制許可權。在此評估期間，組織通常會向測試人員提供憑據訪問許可權，以審查整個應用程式。

　　4、無線網路滲透測試

　　現代企業會高度依賴無線網路來連線端點和物聯網裝置等，無線網路已成為網路犯罪分子的熱門目標，但其應用安全性卻常被企業所忽視。覆蓋無線安全的滲透測試必須面面俱到，無線網路測試人員需要尋找無線加密中已知的缺陷，試圖破解金鑰，誘使使用者向雙面惡魔接入點或被攻擊者控制的資料夾提供憑據，並暴力破解登入詳細資訊。惡意接入點掃描可以透過物理位置和經過身份驗證的無線分段測試完成這些評估型別，以確定攻擊者在成功連線到環境後可以訪問的內容。

　　5、物理安全滲透測試

　　並非公司面臨的所有威脅都是由外部網路應用所引起，特別是在邊緣計算興起後，很多企業會在接近業務運營的地方建立資料分中心，面向這些中心的物理環境安全測試已變得更加重要。

　　在物理環境安全測試中，測試人員將會模擬驗證大門的安全系統、門禁卡、門鎖、攝像頭和感測器，並嘗試冒充工作人員。他們還會驗證當攻擊者可以物理訪問計算裝置、資料中心網路和邊緣計算網路時，企業數字化應用系統的安全係數會如何變化。這類測試通常會在安全團隊大多數成員完全不知情的情況下執行。

　　6、雲端計算滲透測試

　　私有云和公共雲的廣泛應用為現代企業組織帶來了諸多好處，但也給網路犯罪分子帶來了機會。許多組織在雲端都存放了大量關鍵業務資料資產，如果這些資產遭到破壞，會導致業務運營的癱瘓。

　　雖然雲供應商會為企業提供功能強大的配套安全服務，但云滲透測試對企業組織已必不可少。雲端滲透測試需要提前通知雲提供商，因為系統的某些區域可能禁止白帽駭客訪問。

　　雲端的滲透測試必須遵守雲服務商給出的統一滲透測試演練規則。而在開始進行測試前，組織也需要詳細填寫雲端計算安全滲透測試申請表。雲滲透測試的內容主要包括檢查雲環境的安全性、應用程式及API、訪問、儲存、加密、虛擬機器、作業系統及更新、安全外殼(SSH)、遠端桌面協議(RDP)遠端管理以及錯誤配置和密碼。

　　7、紅藍對抗測試

　　受軍事演習活動的啟發，在網路安全領域也開始流行基於實戰背景的攻防對抗測試演練活動，會組織專業的測試紅隊充當攻擊者，而藍隊主要由企業現有的安全團隊組成。這種整體式對抗性測試方法能夠確保滲透測試的真實性和有效性，不僅可以評估安全缺陷、漏洞和威脅，還可以評估安全團隊的反應能力。