69久久精品无码一区二区|99在线精品免费视频九九视|亚洲中文字幕91视频|亚洲精品成人片在线观看

產(chǎn)品描述


滲透測(cè)試旨在證明,網(wǎng)絡(luò)防御機(jī)制的運(yùn)行與你認(rèn)為的一樣良好。往往系統(tǒng)和網(wǎng)絡(luò)管理員視審查人員或滲透人員為敵人,但實(shí)際上他們卻是朋友。到位的滲透測(cè)試可以證明你的防御確實(shí)有效,或者查出問題,幫助你阻擋未來攻擊。出錢請(qǐng)自己知道的人來發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞,總比讓自己不知道的人發(fā)現(xiàn)漏洞好得多。
測(cè)試方法
有些滲透測(cè)試人員通過使用兩套掃描器進(jìn)行安全評(píng)估。這些工具至少能夠使整個(gè)過程實(shí)現(xiàn)部分自動(dòng)化,這樣,技術(shù)嫻熟的專業(yè)人員就可以專注于所發(fā)現(xiàn)的問題。如果探查得更深入,則需要連接到任何可疑服務(wù),某些情況下,還要利用漏洞。
商用漏洞掃描工具在實(shí)際應(yīng)用中存在一個(gè)重要的問題:如果它所做的測(cè)試未能獲得肯定答案,許多產(chǎn)品往往會(huì)隱藏測(cè)試結(jié)果。譬如,有一款知名掃描器就存在這樣的缺點(diǎn):要是它無法進(jìn)入Cisco路由器,或者無法用SNMP獲得其軟件版本號(hào),它就不會(huì)做出這樣的警告:該路由器容易受到某些拒絕服務(wù)(DoS)攻擊。如果不知道掃描器隱藏了某些信息(譬如它無法對(duì)某種漏洞進(jìn)行測(cè)試),你可能誤以為網(wǎng)絡(luò)是安全的,而實(shí)際上,網(wǎng)絡(luò)的安全狀況可能是危險(xiǎn)的。
除了找到合適工具以及具備資質(zhì)的組織進(jìn)行滲透測(cè)試外,還應(yīng)該準(zhǔn)確確定測(cè)試范圍。攻擊者會(huì)借助社會(huì)工程學(xué)、偷竊、賄賂或者破門而入等手法,獲得有關(guān)信息。真正的攻擊者是不會(huì)僅僅滿足于攻擊某個(gè)企業(yè)網(wǎng)絡(luò)的。通過該網(wǎng)絡(luò)再攻擊其它公司往往是**的慣用伎倆。攻擊者甚至?xí)ㄟ^這種方法進(jìn)入企業(yè)的ISP。
為了從滲透測(cè)試上獲得*大價(jià)值,應(yīng)該向測(cè)試組織提供盡可能詳細(xì)的信息。這些組織同時(shí)會(huì)簽署保密協(xié)議,這樣,你就可以更放心地共享策略、程序及有關(guān)網(wǎng)絡(luò)的其它關(guān)鍵信息。
專業(yè)服務(wù)
滲透測(cè)試有時(shí)是作為外部審查的一部分而進(jìn)行的。這種測(cè)試需要探查系統(tǒng),以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù),并檢查這些網(wǎng)絡(luò)服務(wù)有無漏洞。你可以用漏洞掃描器完成這些任務(wù),但往往專業(yè)人士用的是不同的工具,而且他們比較熟悉這類替代性工具。
滲透測(cè)試的作用一方面在于,解釋所用工具在探查過程中所得到的結(jié)果。只要手頭有漏洞掃描器,誰都可以利用這種工具探查防火墻或者是網(wǎng)絡(luò)的某些部分。但很少有人能全面地了解漏洞掃描器得到的結(jié)果,更別提另外進(jìn)行測(cè)試,并證實(shí)漏洞掃描器所得報(bào)告的準(zhǔn)確性了。
打一個(gè)比方來解釋滲透測(cè)試的必要性。假設(shè)你要修建一座金庫(kù),并且你按照建設(shè)規(guī)范將金庫(kù)建好了。此時(shí)是否就可以將金庫(kù)立即投入使用呢?肯定不是!因?yàn)檫€不清楚整個(gè)金庫(kù)系統(tǒng)的安全性如何,是否能夠確保存放在金庫(kù)的貴重東西萬無一失。那么此時(shí)該如何做?可以請(qǐng)一些行業(yè)中安全方面的專家對(duì)這個(gè)金庫(kù)進(jìn)行全面檢測(cè)和評(píng)估,比如檢查金庫(kù)門是否容易被破壞,檢查金庫(kù)的報(bào)警系統(tǒng)是否在異常出現(xiàn)的時(shí)候及時(shí)報(bào)警,檢查所有的門、窗、通道等重點(diǎn)易突破的部位是否牢不可破,檢查金庫(kù)的管理安全制度、視頻安防監(jiān)控系統(tǒng)、出入口控制等等。甚至?xí)?qǐng)專人模擬入侵金庫(kù),驗(yàn)證金庫(kù)的實(shí)際安全性,期望發(fā)現(xiàn)存在的問題。 這個(gè)過程就好比是對(duì)金庫(kù)的滲透測(cè)試。這里金庫(kù)就像是我們的信息系統(tǒng),各種測(cè)試、檢查、模擬入侵就是滲透測(cè)試。
包頭滲透測(cè)試
如今,大多數(shù)攻擊進(jìn)行的是*基本的漏洞掃描,如果攻擊得逞,目標(biāo)就岌岌可危。如果攻擊者企圖對(duì)你站點(diǎn)進(jìn)行漏洞掃描,他就會(huì)獲得大量的防火墻日志消息,而監(jiān)控網(wǎng)絡(luò)的任何入侵檢測(cè)系統(tǒng)(IDS)也會(huì)開始發(fā)送有關(guān)當(dāng)前攻擊的警報(bào)。如果你還沒有試過,不妨利用漏洞掃描器結(jié)合IDS對(duì)網(wǎng)絡(luò)來一番試驗(yàn)。別忘了首先獲得對(duì)方的許可,因?yàn)?,運(yùn)行漏洞掃描器會(huì)使IDS引發(fā)警報(bào)。
包頭滲透測(cè)試
滲透測(cè)試也許是你的網(wǎng)絡(luò)防御工具箱當(dāng)中的重要武器之一。應(yīng)該視之為各種安全審查的一部分,但要確保審查人員勝任這項(xiàng)工作。
也許你可能還是有疑問:我定期更新安全策略和程序,時(shí)時(shí)給系統(tǒng)打補(bǔ)丁,并采用了安全軟件,以確保所有補(bǔ)丁都已打上,還需要滲透測(cè)試嗎?需要!這些措施就好像是金庫(kù)建設(shè)時(shí)的金庫(kù)建設(shè)規(guī)范要求,你按照要求來建設(shè)并不表示可以高枕無憂。而請(qǐng)專業(yè)滲透測(cè)試人員(一般來自外部的專業(yè)安全服務(wù)公司)進(jìn)行審查或滲透測(cè)試就好像是金庫(kù)建設(shè)后的安全檢測(cè)、評(píng)估和模擬入侵演習(xí),來獨(dú)立地檢查你的網(wǎng)絡(luò)安全策略和安全狀態(tài)是否達(dá)到了期望。滲透測(cè)試能夠通過識(shí)別安全問題來幫助了解當(dāng)前的安全狀況。到位的滲透測(cè)試可以證明你的防御確實(shí)有效,或者查出問題,幫助你阻擋可能潛在的攻擊。提前發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞,并進(jìn)行必要的修補(bǔ),就像是未雨綢繆;而被其他人發(fā)現(xiàn)漏洞并利用漏洞攻擊系統(tǒng),發(fā)生安全事故后的補(bǔ)救,就像是亡羊補(bǔ)牢。很明顯未雨綢繆勝過亡羊補(bǔ)牢。
滲透測(cè)試能夠通過識(shí)別安全問題來幫助一個(gè)單位理解當(dāng)前的安全狀況。這使促使許多單位開發(fā)操作規(guī)劃來減少攻擊或誤用的威脅。
撰寫良好的滲透測(cè)試結(jié)果可以幫助管理人員建立可靠的商業(yè)案例,以便證明所增加的安全性預(yù)算或者將安全性問題傳達(dá)到高級(jí)管理層。

-/gbadeeb/-

http://mmsped.com

產(chǎn)品推薦

宁陵县| 长岭县| 沙河市| 肥乡县| 桃园县| 隆德县| 凌海市| 平遥县| 阜南县| 广平县| 石河子市| 泉州市| 隆安县| 清远市| 宁安市| 南丰县| 奉贤区| 平陆县| 丰镇市| 贵南县| 宝丰县| 延安市| 成安县| 咸丰县| 辰溪县| 广德县| 光山县| 珲春市| 宁陕县| 庄浪县| 遂溪县| 保德县| 鹤山市| 历史| 天峨县| 阜康市| 清原| 东城区| 聂荣县| 上杭县| 威宁|