系列| 编码的
黑客揭露他如何抢劫银行

在渗透测试中,像Jayson E。他们受雇来故意损害一家企业。这是怎么做到的。

当涉及到组织网络安全时,有时了解自己弱点的唯一方法就是利用它们。这可以通过一种独特的社会工程形式来实现,即渗透测试–这暴露了系统最大的弱点:操作它的人。

研究人员已经证明一些最成功的违规行为不是由老练的网络攻击反对技术本身。令人惊讶的是,黑客通常只需一个剪贴板和一个微笑就可以进一步获取有价值的信息。这就是为什么渗透测试是如此有价值的练习。

什么是渗透测试?

渗透测试是一种道德黑客行为。组织使用渗透测试来识别和纠正其计算机系统、网络和应用程序中的安全弱点。

每个组织都有自己的安全风险,因此没有两个渗透测试是完全相同的。但是这个过程的主要结构包括收集关于组织弱点的信息,识别潜在的切入点,以及尝试闯入。

简言之,好人试图在坏人得到机会之前暴露潜在的问题。想想尼古拉斯·凯奇在影片中窃取独立宣言国宝. 他做这件事不是因为他想做;他这样做是为了保护它。

当涉及到渗透测试时,同样的概念也适用。收集有关安全弱点的信息,然后传递给组织的管理团队,确保可以制定战略规定,以消除将来闯入的任何机会。

笔试是如何进行的?

理想情况下,渗透测试(也称为“笔试”)由受过培训的人员每年进行一次白帽黑客–使用他们的黑客攻击永远的能力。这些有道德的黑客使用与黑帽黑客(坏人)相同的破解方法,有一个关键区别:他们受雇于系统所有者,在获得许可的情况下执行攻击。

Pentesters通常使用自动化工具,如Nmap和钢丝鲨,快速扫描软件中可能破坏整个系统的漏洞。其中许多工具还根据漏洞的严重性对其进行分类,并生成可用于提高安全性的详细日志。

可以运行几种类型的模拟攻击。在有针对性的测试中,组织的IT团队与pentester协同工作,并使用“亮起灯”的方法—组织中的每个人都可以看到测试在运行。

然后是盲测试,整个组织中只有一到两个人知道测试正在进行。这可以通过执行“黑盒测试”来进一步实现,测试人员不会事先从组织收到任何有用的信息,例如IP地址。

测试可以是内部的,也可以是外部的。外部测试面向组织的可见资产,如电子邮件和web服务器。内部测试模拟来自内部的威胁,这些威胁可能来自具有访问权限的用户。

这些技术中的每一项都让负责保护网络系统的员工受到考验。一旦完成,真正的工作就可以开始了。

五旬斋生活中的一天

彭特斯不像詹姆斯·邦德那样穿着燕尾服,在激光光束下翻筋斗,躲在墙后。他们往往是穿着街头服装或西装的普通男女,像另一个普通的乔一样融入人群。

杰森街是其中之一。Street是一名白帽黑客,他使用各种技术暴露系统的漏洞,多年来一直是渗透测试的大师。他被抢了贝鲁特的银行,危害波士顿的保险公司,甚至入侵美国财政部。

随便你说,杰森街可能已经闯入了。在他的大部分工作中,他都穿着牛仔裤和运动衫。他是其中一个最知名的渗透测试仪在全球各地的企业和组织中,使用把兔子打成橡皮鸭蜜罐到菠萝作为他的“办公设备”

但这条街有点与众不同,这让他在世界上独一无二笔式测试现场。他不再像许多其他戊酸酯那样简单地写一份报告,详细说明暴露的漏洞,而是更进一步。在一份工作结束时,Street希望被抓住这样他就可以直接教育那些妥协的人。

“在工作期间,我会把头两天的时间花在这家企业或公司有史以来最糟糕的事情上,”他解释道,“但在最后一天,我真的会试图被抓住。我是唯一一个会走那么远的人,因为我想和我妥协的每一个人谈谈,告诉他们哪里出了问题,并教育他们今后该怎么做。”

Street的任务是通过教育阻止黑客犯罪。他的工作不仅帮助了世界各地无数的企业,也帮助了与他交往的个人,教会他们可能危及家庭生活的威胁。

他相信渗透测试的力量和有效性,因为他亲眼目睹了它的作用。”“我参加过的最好的一次约会是今年,”斯特里特说前年我曾对公司进行笔试,今年,他们抓住了我。好几次。这说明我去年的工作是有效的。”

街道就是证明黑客可以用来做好事. 虽然他能轻易地通过一些谎言和一个USB驱动器渗透到他们的系统中,这可能会让许多组织感到震惊,但最好在一个坏演员得到机会之前暴露安全问题。

“当你生活在垃圾箱火灾中,你有两个选择。“去买棉花糖,看着它燃烧,或者试着把它扑灭,”Street说这就是我的动力。不仅仅是告诉人们哪里坏了,而是告诉人们如何让它变得更好。”

订阅自由思考伟大的故事