滲透測(cè)試是通過受信任的滲透測(cè)試人員/安全專家模擬對(duì)應(yīng)用程序的實(shí)時(shí)網(wǎng)絡(luò)攻擊來評(píng)估安全措施的強(qiáng)度和有效性的過程。這些攻擊是在安全條件下由測(cè)試人員使用正確組合的滲透測(cè)試工具手動(dòng)模擬的。筆測(cè)試是綜合應(yīng)用程序安全測(cè)試和整體 Web 應(yīng)用程序安全性的關(guān)鍵部分。
為什么減少欺詐至關(guān)重要?
近年來備受矚目的跨行業(yè)攻擊浪潮突顯出,即使是雅虎和 Facebook 等全球科技巨頭也無法完全免于成為攻擊者的目標(biāo)。雖然大企業(yè)擁有從攻擊中恢復(fù)的資源和影響力,但眾所周知,60% 的中小型企業(yè)會(huì)在遭受攻擊后 6 個(gè)月內(nèi)倒閉。
欺詐的影響在財(cái)務(wù)成本、法律影響、消費(fèi)者信任侵蝕和聲譽(yù)損害方面是巨大的。一次攻擊的全球平均成本為 392 萬美元,而美國是網(wǎng)絡(luò)攻擊成本最高的國家,每次違規(guī)的平均成本高達(dá) 819 萬美元。
此外,已知識(shí)別和遏制漏洞所需的時(shí)間為 279 天,這增加了成本。如果在 200 天或更短時(shí)間內(nèi)發(fā)現(xiàn)并控制違規(guī)行為,企業(yè)可以節(jié)省 120 萬美元。然而,通過主動(dòng)掃描和測(cè)試應(yīng)用程序、識(shí)別漏洞并保護(hù)它們,可以極大地減少欺詐的影響和成本。
應(yīng)用滲透測(cè)試如何幫助減少欺詐?
通過自動(dòng)掃描和測(cè)試識(shí)別難以發(fā)現(xiàn)的漏洞。雖然自動(dòng)掃描器在識(shí)別漏洞和安全錯(cuò)誤配置方面注入了速度和敏捷性,但如果沒有手動(dòng)滲透測(cè)試(單獨(dú)或與自動(dòng)化工具結(jié)合使用),某些類別的漏洞根本無法識(shí)別。
- 價(jià)格或其他參數(shù)操縱、權(quán)限提升、業(yè)務(wù)流程旁路等業(yè)務(wù)邏輯缺陷。
- 連鎖攻擊
- 不安全的直接對(duì)象引用 (IDOR) 缺陷
- 零日漏洞利用
- 基于 DOM 的 XSS
在所有這些情況下,由于缺陷的特殊性和復(fù)雜性,無法使用通用方法和自動(dòng)化工具識(shí)別漏洞。經(jīng)過認(rèn)證和值得信賴的安全專家的專業(yè)知識(shí)、非常規(guī)思維和技能對(duì)于有效識(shí)別此類漏洞至關(guān)重要。
了解如何利用漏洞和錯(cuò)誤配置
盡管自動(dòng)掃描器和其他工具可以識(shí)別漏洞和錯(cuò)誤配置,但了解攻擊者可以通過哪些方式實(shí)時(shí)利用它們至關(guān)重要。這是通過可信賴的安全專家進(jìn)行的滲透測(cè)試實(shí)現(xiàn)的。花費(fèi)大量時(shí)間和思想來理解和分析欺詐將如何在現(xiàn)實(shí)生活中展開。例如,某些滲透測(cè)試工具可用于編排盲目 SQLi 并衡量漏洞是否存在并展示其影響。
有效的風(fēng)險(xiǎn)評(píng)估
通過衡量漏洞的影響和潛在威脅實(shí)現(xiàn)的可能性,滲透測(cè)試證明了組織面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)。還可以根據(jù)滲透測(cè)試的結(jié)果對(duì)風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序。
了解人類意識(shí)水平
人是任何組織中最大的弱點(diǎn),尤其是在發(fā)生社會(huì)工程攻擊、詐騙等欺詐的情況下。通過衡量他們對(duì)良好安全實(shí)踐的意識(shí)水平,可以了解和了解各利益相關(guān)者在安全培訓(xùn)/意識(shí)方面的差距,并糾正。例如,滲透測(cè)試人員可能會(huì)向員工/客戶發(fā)送網(wǎng)絡(luò)釣魚電子郵件,或者對(duì)利益相關(guān)者進(jìn)行欺騙以獲取對(duì)公司記錄/機(jī)密數(shù)據(jù)的訪問權(quán)限。
測(cè)試反欺詐安全措施的有效性
滲透測(cè)試使企業(yè)能夠評(píng)估和證明當(dāng)前安全在減輕網(wǎng)絡(luò)欺詐方面的有效性。如果應(yīng)用程序設(shè)計(jì)/業(yè)務(wù)邏輯發(fā)生變化或新增內(nèi)容,這一點(diǎn)尤為重要。
緩解建議
鑒于漏洞識(shí)別只是Web 應(yīng)用程序安全的一部分,因此必須緊隨其后進(jìn)行補(bǔ)救和風(fēng)險(xiǎn)緩解。滲透測(cè)試完成后,將提供詳細(xì)報(bào)告以及滲透測(cè)試人員的建議和可操作的見解,以保護(hù)應(yīng)用程序并加強(qiáng)安全措施。
結(jié)論
從社會(huì)工程攻擊、詐騙和身份盜竊到數(shù)據(jù)泄露、權(quán)限升級(jí)、惡意軟件攻擊等等,欺詐/攻擊向量在快速增長。鑒于漏洞破壞企業(yè)的能力,在應(yīng)用程序安全方面始終需要領(lǐng)先攻擊者一步。滲透測(cè)試是減少欺詐和主動(dòng)網(wǎng)絡(luò)安全的重要武器。
網(wǎng)站資訊
解決方案
關(guān)于我們
