渗透性测试方法是信息安全审计项目开发、实施过程中必须遵循的规则、惯例和过程。人们在评估网络、应用、系统或三者结合的安全状况时,不断地摸索各种实用的思想和成熟的做法,总结出一整套理论——渗透测试方法论。渗漏试验方法(黑箱试验、白箱试验弱点评估和渗漏试验)。
黑盒子测试在进行黑盒子测试时,安全审计师从外部评估网络基础设施的安全性,而不清楚被测单位的内部技术结构。黑盒测试能够在渗透测试的每个阶段,借助现实世界的黑客技术,暴露出目标的安全问题,甚至能够揭露别人还没有发现的安全漏洞。渗透性测试人员应该能够理解安全漏洞,并将它们按风险级别(高、中、低)进行分类和排序。一个成熟的渗透测试专家应该能够识别出所有可能引发安全事故的攻击模式。在黑盒测试中,测试人员完成了所有的测试工作后,就会整理与测试对象的安全状况相关的必要信息,并用业务语言将确定的风险进行描述,然后将其汇总成书面报告。
黑盒子测试的市场价格一般比白盒子测试高。白箱测试,白箱测试审核员能够获取被测单位的各种内部数据,甚至不公开数据,因此渗透测试员的视野更加开阔。如果用白盒测试来评估安全漏洞,测试人员可以用最少的工作量来获得最高的评估精度。从被测系统环境本身入手进行白盒测试,完全消除内部安全问题。这样,就增加了从单位外渗透的难度。黑盒子测试就不能这么做。白色盒子测试和黑色盒子测试所需的步骤数量相同。除此之外,如果能够把白盒测试和常规研发周期结合起来,就可以尽快消除所有的安全隐患,避免入侵者发现甚至利用安全漏洞。因此,白盒测试的时间、成本,以及发现、解决安全漏洞的技术门槛都比黑盒测试低得多。
易损性评估与渗透测试相结合,易损性评估利用对企业资产安全受到威胁的情况和程度的分析,对内外安全控制的安全性进行评估。这是一种技术上的信息系统评估,它不仅揭示了现有预防措施中存在的风险,而且还提出了多种补救策略,并对它们进行比较。内部漏洞评估能够确保内部系统的安全,而外部漏洞评估则能够验证边界保护(perimeterdefenses)。不管是内部漏洞评估还是外部漏洞评估,评估人员都会采用不同的攻击方式对网络资产进行严格的安全测试,从而验证信息系统处理安全威胁的能力,并确定应对措施的有效性。
测试过程、测试工具以及不同类型的漏洞评估所需的自动化测试技术也是如此。可利用综合安全漏洞控制(vulnerabilitymanagededuce)平台实现这一目标。安全漏洞管理平台现在具有自动更新的漏洞数据库,能够对不同类型的网络设备进行测试,并且不影响配置管理和变更管理的完整性。漏洞评估与渗透测试之间最大的不同之处在于:渗透测试不仅识别目标系统中的弱点,还设计了漏洞利用、权限升级以及目标系统中的访问维护。换言之,脆弱性评估虽然能够充分地发现系统中的缺陷,但并没有考虑评估这些缺陷对系统的危害。除此之外,相对来说于脆弱性评估来说,渗透测试更偏向于入侵,会有意采用各种技术手段来利用安全漏洞;因此,渗透测试可能对生产环境产生实际的破坏作用。并且漏洞评估以非入侵方式,定性、定量地识别出已知的安全漏洞。