真正的实现安全的防护----高级渗透测试的重要性和流程

网络安全的重要性

法律要求

《网络安全法》已在2017年6月1日起正式施行，对企业加强网络安全建设提出了要求和约束。

1. 明确企业角色

    《网络安全法》根据企业用户网络的重要性分为网络运营者和关键基础设施运营者。“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理”，都适用《网络安全法》。当今互联网时代，几乎每个企业都拥有对外提供服务的网站，也就意味着几乎每个企业都应关注并遵守网络安全法中网络运营者的相关法律规定。

2.明确监管部门

    管理归属网信部门，企业需积极配合。第八条明确规定了网信部门是负责统筹和监督网络安全工作的机构。电信主管部门、公安部门和其他机关部门在各自职责范围内负责网络安全保护和监督管理工作。

   3. 明确责任人

第二十一、三十四条要求企业要明确网络责任人。出现安全事故，直接负责人需要承担责任并且接受法律处罚。建议企业的IT负责人重点关注《网络安全法》法律法规，并且推动企业网络安全建设。

高级渗透测试的重要性

互联网大背景下，每个企业都可能会遭受到黑客等非法入侵，造成企业或个人数据的泄露。而传统的安全防护手段，仅仅局限于用硬件或软件等安全产品来进行安全防护，企业无法辨别是否做到了真正有效的安全防护。非法入侵者，可以用很多种方法来绕过传统的安全防护，企业花费很大的安全投入很难应对非法入侵。一旦入侵者的入侵成功，造成了信息泄露，企业相关责任人将会承担相应法律处罚。高级渗透测试，对客户的系统安全进行全方位的人工诊断，模拟攻击者入侵且使用最高等级的智能渗透策略，获取敏感数据或服务器权限，呈现客户系统防御的真实情况，并提供专业的渗透报告及修复建议。高级渗透测试是最接近“实战”的网络“攻击”测试手段，能发现客户的网络安全最薄弱的环节，对客户的网络安全防护做到“对症下药”，可以降低客户的网络安全的防护产品的投入，大大提高安全防护水平。很多企业没有建立安全团队或者自有安全团队的能力偏低，造成企业对自身网络安全问题的认知不足，对已经发生或者正在发生，即将发生的网络攻击无法判别，这些现状使得渗透测试的需求越来越广泛。

渗透测试应用场景：

有线上资金业务往来的行业（如金融，电商，支付，酒店，医疗，零售，教育，政府互联网行业等行业）：

确保客户的企业资金不被盗刷、挪用、转移。

客户系统上有订单，支付等交互应用的行业（如电商，支付平台，零售，酒店，医院，酒店，游戏等行业）：

可以防止信息被篡改、泄露、导致经济名誉损失

客户系统上有个人注册信息（如医院，游戏，金融行业，教育，酒店，互联网平台等）：

可以防止注册信息不被泄露、非法使用。

所有有网络安全风险的企业：

行业规范、网络安全法、等级保护测评

高级渗透流程

1. 技术侦查阶段：通过DNS侦查，子域名枚举，端口扫描，目录枚举等技术手段，收集被检测对象的信息。

2. 社会工程侦查： 弱口令采集，数据泄露查找，客户邮箱收集，公告仓库分析等手段，分析和查找薄弱环节。

3. 根据搜集到的信息，进行分析建模。

4. 公开漏洞匹配：服务器漏洞匹配，web漏洞匹配等

5. 漏洞挖掘分析：此步骤是最为关键的步骤，可以突破客户的网络安全防护，由渗透工程师进行人力渗透。

6. 进阶测试

7. 证据再搜集

8. 根据前期所有的过程和结果，进行风险评估。

9. 生成报告：报告里包含渗透手段，漏洞描述，渗透结果呈现，漏洞修复方案建议等。