歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

企業級滲透測試服務思考

來源:本站整理 作者:佚名 時間:2020-01-31 TAG: 我要投稿

“實戰是檢驗安全的唯一標準”
隨著企業組織的業務規模不斷擴大,信息化運用快速發展,業務與數據安全已經被推上戰爭的高地,成為企業保護自身安全的重中之重,成為企業信息安全官在戰略計劃匯報中不得不謹慎對待的課題。
現階段,全球范圍內的網絡空間對抗加劇,網絡軍事化特征明顯,信息安全正面臨嚴峻的挑戰,國家也愈發重視。今年網絡安全的紅藍對抗為人們安全觀念和意識的轉變帶來了契機,雖然企業安全防御技術爭論不休,但唯一不爭的共識是,企業能夠建立最好的安全防御體系的方式就是通過對抗演練來進行檢驗。
企業市場也不斷涌現紅藍對抗的建設需求,攻防演練得到企業的重視,攻擊視角能幫助防守團隊找到防守視角的盲點,企業級滲透測試服務的采購也成為企業安全團隊思考的問題。
滲透測試服務標準
企業級滲透測試服務,是工程化的項目服務,具有完整的管理流程和標準化服務。盡管滲透測試的方法各不相同,但依然有一些標準化的方法體系規范,而對于企業內部安全部門在提供安全測試服務時,依然有可取之處。
PTES(Penetration Testing Execution Standard)滲透測試執行標準是安全業界在滲透測試技術領域中開發的一個新標準,也是普遍應用比較廣的事實標準,目標是在對滲透測試進行重新定義,新標準的核心理念是通過建立起進行滲透測試所要求的基本準則基線,來定義一次真正的滲透測試過程,已得到安全行業的廣泛認同。

完成更好的滲透測試
高價值的滲透測試活動涉及對現實世界中惡意攻擊者使用的技術進行建模、發現漏洞,并在一定受控環境下,根據提前精心設計的參與規則和協定的范圍,以專業、安全的方式利用這些漏洞。此過程有助于確定業務風險和可能受到攻擊的潛在影響,所有這些都旨在幫助企業組織改善其安全現狀。
以下是安全專家總結的滲透測試某些階段的提示,以幫助您在日常工作中提供更高的業務價值?梢猿蔀榘踩块T在內部提供標準化服務建設時的成熟小建議,同時也可以作為組織尋求企業級滲透測試服務的標準化要求。
1、前期交互:
1.前期溝通時使用話術模板來指導語音會話,以確定參與的范圍和規則。
2.對目標系統(MSSP、云提供商、ISP、共享托管環境、邊界路由器、DNS服務器等)進行獲取信息或進行操作時,請確保您獲得了任何第三方的測試書面許可。
3.在與目標系統方人員交流制定您的規則時討論同時使用黑盒與白盒測試,并指出白盒測試通常提供更詳細的結果、更安全,并提供更好的商業價值。
4.與目標系統人員討論他們在其環境中具有的特殊敏感的信息(例如PII),以及如何在不實際下載的情況下測試對其數據的訪問?紤]嘗試使用植入通用的樣本記錄來演示您的訪問權限,而不是實際的敏感數據。
5.每天與目標系統人員進行電話匯報,交流意見和經驗教訓。如果每天太頻繁,可以考慮每周打2-3次電話。(每周留出1-2小時參加各種CTF比賽,保持你的技能熟練程度。這些比賽包括各大CTF網站提供的免費在線比賽或線下賽,以及其他類對抗比賽。)
2、情報偵察:
1.仔細考慮與第三方服務器和搜索的所有交互(謹慎使用),以確保您不會泄露有關目標的敏感信息或使用他們導致的違反保密協議。您可能需要考慮使用Tor網絡來模糊隱匿您與目標組織的關系。
2.使用谷歌語法搜尋目標網站上常見的辦公類文件,例如(或filetype:):
site: ext:doc |ext:docx | ext:xls | ext:xlsx | ext:pdf
3.記得搜集社交網站,QQ、微信朋友圈、知乎、微博、支付寶生活圈、抖音,安全從業者尤其喜歡安全圈子論壇及Facebook、Twitter,甚至暗網論壇,了解目標員工及其使用的技術。
4.使用Shodan的“net:”命令在目標網絡地址范圍內尋找不尋;蛴腥さ脑O備。此外,使用唯一的頁腳信息(例如目標web頁面上的常見版權通知)通過Shodan使用“html:”查找其他頁面(推薦FOFA和ZoomEye網絡空間搜索引擎)。
5.仔細檢查正在進行測試范圍中包含的所有IP地址是否屬于目標組織,并且無錯誤。使用whois和traceroute檢查地址是否有意義并且實際上屬于目標組織。
6.在公開的信息中,查找目標企業的長期以來的IT管理和信息安全管理員工,看看他們熟悉哪些技術,包括防火墻、開發環境等等。
3、脆弱性分析:
1.掃描目標時,運行tcpdump之類的嗅探器,這樣可以持續驗證掃描器是否仍在正常運行。
2.雖然TCP 445之類的開放端口通常表示目標為一臺Windows機器,但情況并非總是如此。目標可以是Samba守護進程,也可以是另一個基于smb的目標。
3.通過研究如何手動或通過Bash、PowerShell、Nmap腳本 (NSE)或其他腳本檢查問題,驗證發現的漏洞。
4.將根據您已識別的漏洞來確定資產的重要程度,因為這有助于您分配優先級并評估風險。
5.嘗試通過運行不同的探測工具(Nmap、Masscan、Nessus、OpenVAS、PocSuite)來排除誤報,以確認結果。
6.如果您本地正在使用虛擬機進行遠程攻擊,請將其配置為橋接網絡模式,以避免填充NAT表并確保反向shell連接可以成功返回給您。
4、密碼攻擊:
1.根據其網站上的文字信息創建一個針對目標組織微調的字典列表。
2.根據用戶的社交網絡檔案,創建一個針對用戶進行微調的字典列表。
3.當您使用字符規則成功破解密碼時,請將該密碼添加到字典中,以便對該滲透測試進行進一步的密碼攻擊。這樣,如果您遇到相同的密碼以不同的哈希格式出現,則無需等待單詞爆破才能重新發現該密碼。
4.記住,可以使用各種技術收集密碼,包括通用密碼、社工庫、自動化猜測、破解、嗅探和擊鍵記錄。
5.對于密碼猜測,請始終考慮可能的帳戶鎖定策略,并試圖通過使用密碼噴射技術(大量帳戶和數量很少的密碼)來避免它。
6.一旦從目標中獲取密碼哈希值,就啟動密碼破解程序以嘗試破解確定此密碼。不要讓時間浪費流逝,請立即開始破解你已經得到的哈希。
7.有時您不需要密碼進行身份驗證,因為只需使用哈希即可完成工作,例如針對Windows和SMB目標的傳遞哈希攻擊,以及存儲在某些網站的cookie中的密碼哈希值。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 河北快三豹子遗漏 江西多乐彩今天开奖了 广西快3平台下载 十一选五开奖结果天津 河北福利彩票排列五开奖结果 广东快乐十分详细规则 特马开奖结果查询2019 股票大宗交易规则 四川快乐12一定牛走势图 海南飞鱼彩票直播