惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

The Cloudflare Blog
U
Unit 42
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
腾讯CDC
罗磊的独立博客
博客园 - 聂微东
博客园_首页
雷峰网
雷峰网
云风的 BLOG
云风的 BLOG
Jina AI
Jina AI
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
D
DataBreaches.Net
The GitHub Blog
The GitHub Blog
人人都是产品经理
人人都是产品经理
Y
Y Combinator Blog
量子位
Microsoft Azure Blog
Microsoft Azure Blog
阮一峰的网络日志
阮一峰的网络日志
小众软件
小众软件
月光博客
月光博客
T
The Exploit Database - CXSecurity.com
Google DeepMind News
Google DeepMind News
H
Help Net Security
O
OpenAI News
Blog — PlanetScale
Blog — PlanetScale
S
Security Affairs
S
Security @ Cisco Blogs
Microsoft Security Blog
Microsoft Security Blog
T
The Blog of Author Tim Ferriss
AI
AI
MongoDB | Blog
MongoDB | Blog
G
Google Developers Blog
MyScale Blog
MyScale Blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
D
Docker
Hugging Face - Blog
Hugging Face - Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
S
Schneier on Security
Cloudbric
Cloudbric
H
Heimdal Security Blog
J
Java Code Geeks
N
News and Events Feed by Topic
Hacker News - Newest:
Hacker News - Newest: "LLM"
宝玉的分享
宝玉的分享
有赞技术团队
有赞技术团队
S
SegmentFault 最新的问题
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
爱范儿
爱范儿
I
Intezer
GbyAI
GbyAI

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
一文搞懂企业渗透测试
科技云报到 · 2023-08-25 · via 人人都是产品经理

越来越多企业开始重视网络安全建设,这个过程中,渗透测试的开展便提上了企业日程。那么,企业应该如何正确开展渗透测试工作?本篇文章里,作者对渗透测试的特征、方法、流程和误区进行了分析,一起来看看吧。

随着网络安全形势的愈加严峻,如今企业也越来越重视网络安全建设,定期开展渗透测试正在成为一种趋势。

网络安全渗透测试,能够帮助企业从攻击者的角度思考,快速了解企业在网络防御方面的不足。通过梳理企业的IT资产、寻找漏洞和攻击路径,以便更好地修复或应对风险。

尽管开展渗透测试对于企业来说非常重要,但是很多企业在准备制定渗透测试计划时,对于渗透测试服务的理解和需求,往往与真实服务情况存在着很多偏差。

那么,企业该如何正确认知渗透测试工作,并有效避免误区?

一、渗透测试的关键特征

对于一些企业的安全团队而言,很难将渗透测试与漏洞测试、漏洞悬赏以及新兴的BAS(入侵和攻击模拟)技术区分开来。确实,这些安全技术和服务在很多方面都存在重叠,但它们也都有着自己的特点。

从本质上讲,渗透测试是一个主要依靠安全专家或团队以人工方式模仿攻击者的真实攻击行为,其目的是在数字化基础设施的不同层级,找到进入可以攻破目标网络的最有效方法。

漏洞测试,主要是为了在寻找软件应用系统中的缺陷,并帮助组织了解如何解决它们。而漏洞悬赏计划通常仅限于移动或web应用程序,可能与真正的入侵行为并不匹配。

漏洞赏金猎人的目标只是尽快找到漏洞并提交报告以获得奖励,而不是深入调查问题与解决问题。

入侵和攻击模拟(BAS)是一项新兴的安全防护技术。它遵循“扫描、漏洞利用和不断重复”的设计逻辑,依赖于自动化执行测试的工具,几乎不需要安全人员的参与。

BAS项目本质上是连续的,并且会随着网络的变化动态地产生测试结果。

总的来说,渗透测试相比其他类似的安全技术,具有两个关键性特征:首先,它是由人类完成的,在很大程度上取决于人工进攻战术;其次,它默认所有的数字化系统都会存在安全缺陷,需要全面的安全评估,并根据受到攻击后的危害程度确定修复的优先级。

二、考虑价值而不是成本

根据测试方法和目标的不同,渗透测试通常分为外部测试、内部测试、盲测、针对性测试等。

然而,很多企业为了节省成本,往往会选择收费更便宜的测试提供商和测试方式,并认为各种类型测试的结果会很相似,但事实并非如此。

首先,与大多数服务一样,渗透测试的程度差异很大,既有覆盖网络所有区域的广泛测试,也有针对网络中少数区域的非广泛测试。

其次,提供渗透测试服务的公司很多,这些公司都有各自的优势和弱点,他们的技术也各有千秋,呈现测试结果的方式也有好有坏。企业有必要确保所选测试团队的能力能够满足测试需要。

随着数字化转型的深入,各种数据资产对企业而言是无价的,一旦数据被非法泄露,组织的商誉会受到严重损害。

而如果攻击者的目标是为了勒索钱财,他们索要的赎金数额通常也会远高于渗透测试的成本预算。

因此,考虑到与网络攻击造成的经济损失相比,投入到渗透测试的成本可以说是微不足道的。企业应该根据实际需求,专注于寻找从测试中获得的价值,而不是成本。

三、渗透测试的方法和流程

1. 渗透测试方法

  • 黑盒测试:将测试对象看作一个黑盒子,安全不考虑测试对象的内部结构;
  • 白盒测试:把测试对象看作一个打开的盒子,测试人员一句测试对象内部逻辑结构相关的信息,设计或选择测试用例;
  • 灰盒测试:介于白盒与黑盒之间,是基于对测试对象内部细节有限认知的软件测试方法。

2. 渗透测试目标

主机操作系统的测试、数据库系统的测试、应用系统的测试、网络设备的测试。

3. 渗透测试过程

渗透测试有一个执行标准(PTES),其核心理念是通过建立起进行渗透测试所需要的基本准则基线,来定义一次真正的渗透测试过程。

标准将渗透测试过程分为七个阶段,依次为:前期交互阶段、情报收集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透攻击阶段、报告阶段。

1)前期交互阶段

在前期交互阶段,渗透测试团队与客户组织主要进行交互讨论。该阶段通常涉及收集客户需求、准备测试计划、定义测试范围与边界、定义业务目标、项目管理与规划等活动。

渗透测试首先必须将实施方法、实施时间 、实施人员,实施工具等具体的实施方案提交给客户,并得到客户的相应书面委托和授权。

应该做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。

2)信息收集分析阶段

信息收集是每一步渗透攻击的前提,通过信息收集可以有针对性的制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。

这一步主要包括白盒收集、人力资源情报、踩点、寻找外网入口以及识别防御机制。

3)威胁建模阶段

威胁建模主要使用情报搜集阶段所活的到的信息,来标识出目标系统上可能存在的安全漏洞与弱点。

在威胁建模阶段,通常需要将客户组织作为敌手来看待,然后以攻击者的视角和思维来尝试利用目标系统的弱点。

此阶段的工作主要为:业务流程分析、威胁对手/社区分析、威胁对手/社区分析。

4)漏洞分析阶段

漏洞分析阶段主要是从前面几个环节获取的信息分析和理解,哪些攻击途径是可行的。

特别需要重点分析端口和漏洞扫描结果,提取到的服务“旗帜”信息,以及在情报收集环节中得到的其他关键信息。

5)渗透攻击阶段

渗透攻击主要是针对目标系统实施深入研究和测试的渗透攻击,并不是进行大量漫无目的的渗透测试。

6)后渗透攻击阶段

后渗透攻击阶段主要是从已经攻陷了的客户组织系统标识出关键的基础设施,寻找最具有价值信息和资产。主要包括:基础设施分析、高价值目标识别、掠夺敏感信息、掩踪灭迹、权限维持。

7)渗透测试报告

报告是渗透测试过程中最为重要的因素,将使用报告文档来交流在渗透测试过程中做了哪些,如何做的,以及最为重要的就是告诉客户组织如何修复所发现的安全漏洞与弱点。

四、渗透测试的误区

从测试中获得一个好的结果只是一个良好的开始,但企业不应该沾沾自喜,这也不代表企业的网络安全防护工作高枕无忧。

只要组织的数字化系统还在运行,它就时刻会面临各种不断出现的新威胁。网络犯罪分子会不停地寻找系统中的漏洞,如果渗透测试间隔时间长,他们就有机会领先于企业发现可利用的新漏洞。

良好的测试结果只是肯定了过去建设的成绩,并激励组织继续重视在安全方面的投入。因此,企业应该持续性进行渗透测试,以消除新出现的威胁,并确保系统没有威胁。

此外,关于渗透测试还有一个长期存在的误区,那就是外部人员执行渗透测试会比内部人员更有效,其原因是外部人员对企业的数字化系统并不熟悉,因此会更加客观。

虽然客观性是渗透测试有效性的关键,但了解业务系统并不就意味着不客观。

其实渗透测试可由企业内部员工、专业服务商或其他第三方机构完成。渗透测试由标准程序和性能度量组成,只要测试者能够严格遵循测试指导原则,测试结果就是有效的。

对于企业而言,选择的重点不应该放在聘请外部或内部测试者上,而是应该放在寻找能够出色完成工作的测试者上。

五、结语

随着网络安全威胁的不断扩展与升级, 渗透测试目前已经成为现代企业组织主动识别安全漏洞与潜在风险的关键过程。

但不幸的是,仍然有很多组织并未认识到主动评估安全态势的价值,而一些组织尽管开展了渗透测试工作,但主要目的也只是为了满足合规要求。

但不管企业开展渗透测试的目的是什么,只要测试结果能被用于做出有意义的改变,这项工作就是成功和有效的。

企业应该从测试的关键发现中吸取教训,并采取适当的行动来加强组织的安全防御。

本文由@科技云报到 原创发布于人人都是产品经理。未经许可,禁止转载。

题图来自 Pixabay,基于 CC0 协议

该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。提供信息存储空间服务。