渗透测试,一般是说通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
网络安全红蓝对抗实战演练也叫“红蓝对抗”,也就是说让演练双方互相对抗,在保证业务正常运转的前提下,在真实网络环境中开展实战网络对抗。这样就能够及时发现企业网络资产的真实隐患,检验并提高安全威胁监测发现能力、应急处置能力和安全防护能力。
那么两者之间的差异性到底有哪些?
渗透测试,一般在接到项目任务后,首先对测试目标进行确定,随后确定项目的周期以及测试IP是否加白。在测试过程中,对每一项功能点尽可能都做到测试全面,不留遗漏。一般来说,对于业务功能点较多的以业务漏洞为主进行着重测试,譬如:支付篡改,越权类的增删改查等。但是相应的通用型漏洞也需要测试到,目前来看,大部分的通用型漏洞集中在SQL注入、XSS(反射型居多)以及(任意)文件上传漏洞,对于反序列化漏洞由于今年来开发比较注重,因此目前出现的频率也比较少。在测试完成后,对测试功能点进行核查,看是否有遗漏的地方。如果出现没有中高危漏洞,可以利用扫描器进行主动扫描探测。核对完后,在平台下发的任务中填写漏洞,最终生成报告,修改报告的格式问题以及其他问题点,最终输出PDF格式的报告上传,完成此次渗透测试。
红蓝对抗,简言之,主要是以获得服务器权限为主,但是前期的渗透测试流程,包括信息收集、漏洞探测、漏洞利用等都会涉及。流程方面有相似之处,但是需要自己有自己的方法才能快速获得权限,俗称外网打点能力。而在进入到内网后,后续的渗透称为后渗透,需要的能力更加的细致性。
综上所述,两者之间最大的差异在于测试深度。普通渗透,主要是针对功能性进行安全测试,基本上以发现漏洞为主,不要求进行深入的拿权限和后渗透测试。而攻防演练主要是针对一个点或者多个点的问题是否能更进一步的深入(后渗透),其主要目的是拿到更多服务器、终端的权限,以此来测试一个企业(单位)的网络及应用产品是否会被黑客攻击。
未来更多的偏向于自动化渗透测试,红蓝对抗作为完全模拟外部黑客的攻击进行检测企业安全的一种手段是十分必要的,也是区别于普通渗透测试的亮点所在。因此企业加强红蓝对抗在今后也是十分重要的一个话题。
基于此,腾讯WeTest渗透测试解决方案为用户准备了强大的安全检测分析项,多形态的扫描检测方式。种类丰富的安全分析工具、定制化渗透方案、跨平台支持。渗透测试签署保密协议,渗透测试行为严格遵守相关法律、行业规范。
基于强大的漏洞知识库出具详细的分析报告,腾讯WeTest安全团队联合业内专家给出安全风险分析、等级评判与整改落地方案。
腾讯WeTest渗透测试解决方案为用户准备了8大类、79小类、超10,000+安全检测项,汇聚行业内专家共享主流安全漏洞情报库,具备0day漏洞首发感知响应、扫描检测能力。
使用黑盒+白盒+灰盒多形态的漏洞检测方式,使用上百种渗透测试、漏洞分析工具,从业内真实黑客角度轮换人员模拟攻击,最大程度展现攻击面,发现安全风险。
欢迎前往wetest.qq.com进一步了解和体验腾讯WeTest安全解决方案。即刻加入WeTest官方测试交流群,第一时间了解更多服务资讯。