跳转到主要内容
移动世界。

当涉及到组织的网络安全时,有时了解自己弱点的唯一方法就是利用它们。这可以通过一种独特的社会工程形式来实现——被称为渗透测试——这暴露了一个系统最大的漏洞:操作它的人。

研究人员已经证明一些最成功的入侵并不是由复杂的东西来实现的网络攻击反对技术本身。令人惊讶的是,黑客往往可以通过一个剪贴板和一个微笑获得更有价值的信息。这就是为什么渗透测试是如此有价值的练习。

什么是渗透测试?

渗透测试是一种道德黑客行为。组织使用渗透测试来识别和纠正其计算机系统、网络和应用程序中的安全漏洞。

在笔测中,好人试图在坏人有机会之前揭露潜在的问题。

每个组织都有自己的安全风险,所以没有两个渗透测试是完全相同的。但是这个过程的主要结构包括收集关于组织弱点的信息,识别潜在的入口点,并尝试进入。

简而言之,好人试图在坏人有机会之前暴露潜在的问题。想想尼古拉斯·凯奇在电影中窃取的《独立宣言》吧国家宝藏。他这么做不是因为他想这么做;他这么做是为了保护它。

同样的概念也适用于渗透测试。收集有关安全漏洞的信息,然后传递给该组织的管理团队,确保能够制定战略规定,消除未来任何被入侵的机会。

如何进行笔测试?

理想情况下,渗透测试(也称为“笔测试”)是由受过训练的人员每年进行一次白帽黑客-用他们的黑客的能力。这些道德黑客使用与黑帽黑客(坏人)相同的入侵方法,但有一个关键区别:他们是由系统所有者雇佣的,并在获得许可的情况下进行攻击。

渗透测试者通常使用自动化工具,如Nmap和Wireshark它可以快速扫描软件,找出可能破坏整个系统的漏洞。其中许多工具还根据漏洞的严重性对其进行分类,并生成用于提高安全性的详细日志。

可以运行几种类型的模拟攻击。在目标测试中,组织的IT团队与pentester协同工作,并且使用了“亮灯”的方法——组织中的每个人都可以看到测试的运行情况。

还有盲测,即整个组织中只有一到两个人知道正在进行的测试。这可以通过执行“黑盒测试”进一步进行,测试人员不会提前从组织收到任何有用的信息,比如IP地址。

测试可以是内部的,也可以是外部的。外部测试是针对组织的可见资产的,例如他们的电子邮件和web服务器。内部测试模拟来自内部的威胁,这些威胁可能来自具有访问权限的用户。

每一种技术都让负责保护网络系统的员工接受了测试。一旦它们完成了,真正的工作就可以开始了。

测试员的一天生活

渗透测试者不会像詹姆斯·邦德那样穿着燕尾服,在激光光束下翻跟头,或者躲在墙后。他们往往是穿着便装或西装的普通男女,像普通人一样融入人群。

杰森街是其中之一。Street是一名白帽黑客,他使用各种技术来暴露系统的漏洞,多年来一直是渗透测试的大师。他是抢劫银行在贝鲁特他甚至入侵了美国财政部。

“在工作的前两天,我会把自己变成这家公司或公司所经历过的最糟糕的事情。”

杰森街

只要是你能想到的地方,杰森街都有可能闯进去。他的大部分工作都是穿牛仔裤和运动衫。他是其中一个最著名的渗透测试人员在全球的企业和组织中,使用任何来自把兔子扔给橡皮鸭子“粘蜜罐”,菠萝作为他的“办公设备”。

但是斯特里特的一些与众不同之处让他在笔测试字段。他没有像许多其他渗透者那样,简单地写一份详细描述暴露的漏洞的报告,而是更进一步。在一份工作结束时,斯特里特希望让她的老公知道这样他就可以直接教育那些他妥协的人。

他解释说:“在工作的前两天,我会成为这家公司或公司里发生过的最糟糕的事情。但到了最后一天,我实际上会设法让自己被抓住。”我是唯一愿意走到这一步的人,因为我想和每一个我妥协过的人谈谈,告诉他们哪里出了问题,并教育他们未来该怎么做。”

斯特里特希望能被抓起来,这样他就可以直接教育那些被他出卖的人。

斯特里特的使命是通过教育来阻止黑客犯罪。他的工作不仅帮助了世界各地无数的企业,也帮助了他接触过的个人,教会他们有关可能危及家庭生活的威胁。

他相信渗透测试的力量和有效性,因为他亲眼目睹了它的工作。“我参加过的最好的活动之一就是今年,”斯特里特说。“前一年我对这家公司进行了测试,今年,他们抓住了我。好几次了。这证明了我去年的工作是有成效的。”

Street就是证明黑客行为可以用来做好事。尽管许多组织可能会对他能如此轻易地通过几个小谎和一个USB驱动器入侵他们的系统感到震惊,但最好在坏人有机会之前暴露安全问题。

“当你生活在一场垃圾箱大火中,你有两个选择。去拿棉花糖,看着它燃烧,或者试着把它扑灭。”这就是我的动力所在。不仅要告诉人们哪里出了问题,还要告诉人们如何改进它。”

编码:第三季

一场看不见的战争正在网络上展开,但新一代的黑客正在奋起反击。提出的明天解锁在新一季的《编码》中,我们将从农场来到太空,与使用技术改变世界的人们见面。

观看更多关于科技创造更美好未来的故事明天解锁YouTube频道

更多的编码

新一代的黑客正在崛起
编码
尼科·塞尔认为黑客可以成为一股向善的力量
尼科出售
编码
尼科·塞尔认为黑客可以成为一股向善的力量
在罪犯劫持了这个术语之后,塞尔的使命是改变我们对黑客的看法。
通过迈克尔·奥谢

在罪犯劫持了这个术语之后,塞尔的使命是改变我们对黑客的看法。

数字侦探
黑客们以寻找失踪人员为乐
黑客们以寻找失踪人员为乐
看现在
数字侦探
黑客们以寻找失踪人员为乐
这位搜救专家发现许多失踪的人没有人在寻找他们。然后他有了一个想法:如果黑客们制作了一个通过互联网寻找失踪人口的游戏呢?
看现在

一个不幸的事实是,任何参与失踪人口案件的人都会很快意识到,世界上失踪人口的数量比可以找到他们的资源还要多。一个人失踪后的最初几天是寻找他们安然无恙的最关键的日子。然而,由于失踪的人往往是自己出现的,这些案件最初并不被给予优先考虑。例外情况是,如果有一个强…

黑客好
白帽黑客正在保护医院免受日益增多的网络攻击
网络攻击
黑客好
白帽黑客正在保护医院免受日益增多的网络攻击
犯罪分子正在利用新冠病毒发动网络攻击。这些志愿者已经联合起来进行反击。

犯罪分子正在利用新冠病毒发动网络攻击。这些志愿者已经联合起来进行反击。

编码
黑客们揭露了政府范围内的犯罪和腐败
黑客们揭露了政府范围内的犯罪和腐败
编码
黑客们揭露了政府范围内的犯罪和腐败
展示了独特的技术能力和顽强的调查性新闻的力量
通过迈克尔·奥谢

展示了独特的技术能力和顽强的调查性新闻的力量

编码
我们谈论黑客是什么意思
我们谈论黑客是什么意思
编码
我们谈论黑客是什么意思
我们以前都听过:“我被黑了!”但这意味着很多事情。我们来看看一些大的。
通过迈克·里格斯

我们以前都听过:“我被黑了!”但这意味着很多事情。我们来看看一些大的。

计算机科学
量子黑客是加密技术最大的威胁吗?
量子黑客
计算机科学
量子黑客是加密技术最大的威胁吗?
虽然一些安全专家准备应对量子黑客,但另一些人认为,《获取信息法案》(EARN IT Act)是我们现在需要解决的对加密的威胁。

虽然一些安全专家准备应对量子黑客,但另一些人认为,《获取信息法案》(EARN IT Act)是我们现在需要解决的对加密的威胁。

黑客好
DEF CON黑客竞相劫持轨道卫星
黑客卫星
黑客好
DEF CON黑客竞相劫持轨道卫星
DEF CON的《太空安全挑战2020》让黑客卫星团队承担了任务。大奖吗?和月亮差不多。

DEF CON的《太空安全挑战2020》让黑客卫星团队承担了任务。大奖吗?和月亮差不多。

DIY科学
黑客们自制卫星追踪器来窃听太空
卫星追踪器
DIY科学
黑客们自制卫星追踪器来窃听太空
NyanSat引导的挑战要求黑客建造一个卫星跟踪器,使低地球轨道卫星更容易进入。

NyanSat引导的挑战要求黑客建造一个卫星跟踪器,使低地球轨道卫星更容易进入。

编码
编码的拖车
编码的拖车
看现在
编码
编码的拖车
见见在安全和隐私战争前线的程序员。
看现在

一场无形的战争正在打响。外国政府正在对大公司进行黑客攻击。大公司正在收集大量的消费者数据。国家安全局监听了一切。但是,拥有强大技术的新一代程序员正在奋起反击。