企业如何做好信息安全,全面提高网络安全水平?
信息收集是渗透测试的重要步骤。通过细致的信息收集,可以了解企业的网络拓扑结构、安全设备、系统版本及漏洞等关键信息。
第一步:了解你的目标
在进行信息收集时,首先应该了解目标企业主营业务、技术特点、IT基础设施等基本信息。通过目标企业的官方网站、社交媒体、百度词条等途径获取信息。针对银行及互联网金融机构,应该了解其产品及服务、用户画像、市场份额、有无违规等情况。
第二步:从外到内渗透测试
在信息搜集阶段,通过公开的信息寻找企业的网络拓扑结构与服务零件的所在位置。应该清晰的梳理出企业的所拥有的子域名。通过网络扫描、端口扫描、服务识别、主机操作系统识别、漏洞扫描等技术手段来发现已知漏洞和潜在的漏洞。掌握了漏洞的情况后,方便随后的攻击行为。
第三步:对目标系统进行利用
在获取到了关键的网络设备信息、端口服务和主机资产信息后,我们就可以开始着手攻击了。可以选择使用可利用的漏洞进行渗透测试,同时测试漏洞的可利用性、成功率及复杂度。也可以使用一些通用性的攻击手段,如社会工程学、钓鱼邮件等,来进行人为渗透测试攻击,最后收集攻击后的输出信息和技术手段,汇总制定出企业合理的安全应急措施。