安全測(cè)試不同于滲透測(cè)試,滲透測(cè)試側(cè)重于幾個(gè)點(diǎn)的穿透攻擊,而安全測(cè)試是側(cè)重于對(duì)安全威脅的建模,系統(tǒng)的對(duì)來(lái)自各個(gè)方面,各個(gè)層面威脅的全面考量。這里就跟大家聊聊滲透測(cè)試與安全測(cè)試的區(qū)別。
CDN防御策略:http://www.bxgb88.com/network/cdn.html
滲透測(cè)試與安全測(cè)試的區(qū)別:
安全測(cè)試可以告訴您,您的系統(tǒng)可能會(huì)來(lái)自哪個(gè)方面的威脅,正在遭受哪些威脅,以及您的系統(tǒng)已經(jīng)可抵御什么樣的威脅。當(dāng)然,安全測(cè)試涵蓋滲透測(cè)試的部分內(nèi)容。安全測(cè)試與滲透測(cè)試的區(qū)別主要在:
滲透測(cè)試(Penetration
test)即安全工程師模擬黑客,在合法授權(quán)范圍內(nèi),通過(guò)信息搜集、漏洞挖掘、權(quán)限提升等行為,對(duì)目標(biāo)對(duì)象進(jìn)行安全測(cè)試(或攻擊),最終找出安全風(fēng)險(xiǎn)并輸出測(cè)試報(bào)告。
從上面這句話可以看出,我們并沒(méi)有對(duì)「目標(biāo)對(duì)象」進(jìn)行范圍限制,而當(dāng)前人類的 IT 基礎(chǔ)設(shè)施就涵蓋了
Web、移動(dòng)、云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等各個(gè)領(lǐng)域,這樣的話,滲透測(cè)試的對(duì)象有可能是企業(yè)網(wǎng)站、業(yè)務(wù)系統(tǒng)、移動(dòng) APP、WiFi 熱點(diǎn)、Docker
容器、AI 機(jī)器人……
因此,滲透測(cè)試的核心思想,其實(shí)就是一個(gè),即:萬(wàn)物即可 Hack !
而 「Web 安全」的技術(shù)范疇,核心點(diǎn)主要是圍繞 Web 技術(shù)展開(kāi),涉及客戶端、服務(wù)端、數(shù)據(jù)庫(kù)、通信協(xié)議等安全問(wèn)題。
在我們實(shí)際的 紅藍(lán)對(duì)抗 或 滲透測(cè)試 項(xiàng)目中,Web 安全僅僅是一個(gè)口子… 畢竟,在 IT 互聯(lián)網(wǎng)時(shí)代,任何一家有數(shù)據(jù)價(jià)值的企業(yè),或多或少都會(huì)通過(guò)
Web 站點(diǎn)提供服務(wù)。
從 Hacker 工作流來(lái)看:只要有攻擊面,就有可能拿下 -> 只要拿下 Web,就有可能拿下主機(jī) -> 只要拿下主機(jī),就有可能到內(nèi)網(wǎng)
……
滲透測(cè)試與安全測(cè)試的區(qū)別:
Web 安全僅僅是滲透測(cè)試的一個(gè)小分支。滲透測(cè)試考慮的是以黑客方法,從單點(diǎn)上找到利用途徑,證明你有問(wèn)題,幫助客戶提高認(rèn)識(shí),也能解決急迫的一些問(wèn)題,但無(wú)法也不能去針對(duì)系統(tǒng)做完備性的安全測(cè)
試,所以難以解決系統(tǒng)自身實(shí)質(zhì)性的安全問(wèn)題,所以提供滲透測(cè)試的廠商一般都是自己買什么防護(hù)設(shè)備,以自己防護(hù)設(shè)備針對(duì)的威脅為主要滲透點(diǎn),找到你有類似的
問(wèn)題,解決方案就以賣對(duì)應(yīng)的防護(hù)設(shè)備作為手段,針對(duì)具體的威脅,通過(guò)防護(hù)設(shè)備采取被動(dòng)的防護(hù)。而安全測(cè)試的廠商,則從整體系統(tǒng)
架構(gòu),安全編碼,安全測(cè)試,安全測(cè)試覆蓋性,安全度量等多個(gè)因素去考慮問(wèn)題,提出的解決方法則是逐步幫助客戶引入安全開(kāi)發(fā)過(guò)程,提供相應(yīng)的工具支撐,目標(biāo)
是最后讓客戶提升業(yè)務(wù)系統(tǒng)自身實(shí)質(zhì)性安全問(wèn)題。
安全測(cè)試首先會(huì)對(duì)被測(cè)試系統(tǒng)做系統(tǒng)分析,分析其架構(gòu),軟件體系以及程序部署等等,然后再對(duì)被測(cè)系統(tǒng)做系統(tǒng)安全分析,在這之后會(huì)對(duì)系統(tǒng)進(jìn)行安全建模,明確本系統(tǒng)可能來(lái)自的各個(gè)潛在威脅,之后需要剖析系統(tǒng),確認(rèn)有哪些攻擊界面,根據(jù)測(cè)試方案進(jìn)行測(cè)試。
安全測(cè)試只關(guān)注漏洞的可利用性分析,但不關(guān)注漏洞如何被真實(shí)利用的技術(shù),這當(dāng)中有幾個(gè)因素:
1、成本因素:對(duì)攻擊者來(lái)說(shuō),利用漏洞的收益是系統(tǒng)所保護(hù)的資產(chǎn),所以可以投入更多的成本來(lái)研究漏洞的利用,包括時(shí)間,人員,手段。但是對(duì)安全測(cè)試來(lái)說(shuō),整個(gè)收
益是客戶愿意投入的成本,系統(tǒng)所保護(hù)的資產(chǎn)遠(yuǎn)大于系統(tǒng)開(kāi)發(fā)投入,安全投入又只占系統(tǒng)開(kāi)發(fā)投入的百分之三左右,所以從成本角度考慮,安全測(cè)試只關(guān)注評(píng)估漏洞
被利用的可能性,而不應(yīng)該具體去研究漏洞如何被利用且展示給客戶。
2、視角因素:安全測(cè)試是幫助客戶降低安全威脅,減少安全漏洞。本身是一種防護(hù)技術(shù),盡量發(fā)現(xiàn)安全問(wèn)題并指導(dǎo)客戶修復(fù)安全問(wèn)題是關(guān)鍵,沿著的路徑是發(fā)現(xiàn)
安全問(wèn)題->分析評(píng)估安全問(wèn)題-〉提出修補(bǔ)建議-〉度量安全,而不是以攻擊者視角發(fā)現(xiàn)安全問(wèn)題-〉利用安全問(wèn)題-〉獲得非法收益的路徑。對(duì)防護(hù)方最
有價(jià)值的是發(fā)現(xiàn)問(wèn)題,解決問(wèn)題,而不是發(fā)現(xiàn)問(wèn)題,利用問(wèn)題。防護(hù)方關(guān)注都漏洞是否可被利用確定安全漏洞和修復(fù)級(jí)別就夠了,研究再多的具體攻擊利用技術(shù),對(duì)
操作系統(tǒng)級(jí)別的防護(hù)是有意義的,但是對(duì)普通應(yīng)用系統(tǒng)的開(kāi)發(fā)與使用者則是無(wú)價(jià)值的。
3、假定因素:客戶面臨的風(fēng)險(xiǎn)不僅來(lái)自于外部,也可能來(lái)自于攻擊者通過(guò)客戶端主機(jī)的滲透(如通過(guò)對(duì)某員工筆記本掛馬再接入內(nèi)網(wǎng)的方式),還有可能來(lái)自于內(nèi)部。安
全要保護(hù)全面的安全,我們不能假定攻擊者路徑就一定處于同滲透測(cè)試一樣的純外部嚴(yán)密防護(hù)中,也無(wú)法假定攻擊者通過(guò)時(shí)間積累社工或自身特性(員工)獲取到一
些信息。同時(shí)攻擊利用技術(shù)發(fā)展到現(xiàn)在,已經(jīng)和具體應(yīng)用的特性結(jié)合起來(lái),攻擊者時(shí)刻有可能發(fā)現(xiàn)以前我們認(rèn)為低危,不好利用的漏洞的利用方法。因此安全測(cè)試關(guān)
注點(diǎn)是業(yè)務(wù)系統(tǒng)在失去所有外部防護(hù)之后,自身實(shí)現(xiàn)的安全性,關(guān)注高覆蓋的安全測(cè)試和安全度量,而不是單一的滲透測(cè)試。
通過(guò)上面的技術(shù)和招聘需求分析,我們就可以得出一點(diǎn),即:只要搞定了 Web 安全,基本就能找到工作,并且還可以基于此深入學(xué)習(xí)滲透測(cè)試。
如果你是新手甚至是零基礎(chǔ)的話,建議從 Web 安全學(xué)起。相比其他方向,Web
安全對(duì)新手友好、學(xué)習(xí)資源眾多,當(dāng)前的招聘市場(chǎng)需求也足夠廣闊,稱得上「投入時(shí)間較短找到工作較易」。
關(guān)于滲透測(cè)試與安全測(cè)試的區(qū)別就介紹到這里。當(dāng)然,安全技術(shù)也好,滲透測(cè)試也罷, Web
安全僅僅是我們踏入這個(gè)圈子的口子,再此基礎(chǔ)上,不斷持續(xù)學(xué)習(xí)努力成為全棧,才是真道理。
上一篇:
CSRF攻擊原理,如何防范
下一篇:
云服務(wù)器的購(gòu)買需要注意以下兩點(diǎn)
