跳转到主要内容
移动世界。

当涉及到组织的网络安全时,有时了解自己弱点的唯一方法就是利用它们。这可以通过一种独特的社会工程形式来实现——被称为渗透测试——这暴露了一个系统最大的漏洞:操作它的人。

研究人员已经证明一些最成功的入侵没有通过复杂进行的网络攻击反对技术本身。令人惊讶的是,黑客往往可以通过一个剪贴板和一个微笑获得更有价值的信息。这就是为什么渗透测试是如此有价值的练习。

什么是渗透测试?

渗透测试是一种道德黑客行为。组织使用渗透测试来识别和纠正其计算机系统、网络和应用程序中的安全漏洞。

在笔测试中,好家伙在糟糕的家伙获得机会之前努力暴露潜在的问题。

每个组织都有自己的安全风险,所以没有两个渗透测试是完全相同的。但是这个过程的主要结构包括收集关于组织弱点的信息,识别潜在的入口点,并尝试进入。

简而言之,良好的家伙试图在坏人获得机会之前揭露潜在的问题。想想尼古拉斯笼偷了电影中独立宣言国家宝藏。他没有这样做,因为他想;他这样做是为了保护它。

在渗透测试方面,同样的概念统治。信息被收集有关安全弱点,然后传递给组织的管理团队,确保可以使战略规定消除未来休息的机会。

如何进行笔测试?

理想情况下,渗透测试(也称为“笔测试”)是由受过训练的人员每年进行一次白帽黑客-用他们的黑客能力好。这些道德黑客使用与黑帽黑客(坏人)突破的相同方法,一个关键区别:它们被系统所有者聘用并通过许可进行攻击。

渗透测试者通常使用自动化工具,如Nmap和Wireshark.它可以快速扫描软件,找出可能破坏整个系统的漏洞。其中许多工具还根据漏洞的严重性对其进行分类,并生成用于提高安全性的详细日志。

可以运行几种类型的模拟攻击。在目标测试中,组织的IT团队与pentester协同工作,并且使用了“亮灯”的方法——组织中的每个人都可以看到测试的运行情况。

还有盲测,即整个组织中只有一到两个人知道正在进行的测试。这可以通过执行“黑盒测试”进一步进行,测试人员不会提前从组织收到任何有用的信息,比如IP地址。

测试可以是内部的,也可以是外部的。外部测试是针对组织的可见资产的,例如他们的电子邮件和web服务器。内部测试模拟来自内部的威胁,这些威胁可能来自具有访问权限的用户。

每一种技术都让负责保护网络系统的员工接受了测试。一旦它们完成了,真正的工作就可以开始了。

浦项赛的生活中的一天

Pentesters没有像詹姆斯邦德一样穿着詹姆斯邦德,在Lazer Beams下的Someraulting和躲在墙上。他们往往是戴着街头衣服或衣服的正常男女,融入人群中,就像另一个普通的乔一样。

杰森街是其中之一。一款白帽黑客使用各种技术来暴露系统的漏洞,街道一直是初级渗透测试仪多年。他抢劫了银行在贝鲁特,妥协的保险机构在波士顿,甚至砍了美国财政部。

“在工作期间,我将花费前两天是这项业务或公司发生的最糟糕的事情。”

杰森街

你叫做它,Jayson街可能闯入它。他的大多数工作都是磨损的牛仔裤和运动衫。他是其中之一最著名的渗透测试人员在全球的企业和组织中,使用任何来自把兔子扔给橡皮鸭子“粘蜜罐”,菠萝作为他的“办公设备”。

但是街道上有一些不同的东西让他成为独特的街道笔测试字段。他没有像许多其他渗透者那样,简单地写一份详细描述暴露的漏洞的报告,而是更进一步。在一份工作结束时,斯特里特希望被抓到因此,他可以直接教育那些他受到损害的人。

“在一份工作中,我将在前两天度过这项业务或公司的最糟糕的事情,”他解释说:“但最后一天我实际上我实际上就会试图抓住。而且我唯一一个将需要它的人之一,因为我想和我妥协的每个人交谈,告诉他们出了什么问题,并在未来做什么。“

斯特里特希望能被抓起来,这样他就可以直接教育那些被他出卖的人。

斯特里特的使命是通过教育来阻止黑客犯罪。他的工作不仅帮助了世界各地无数的企业,也帮助了他接触过的个人,教会他们有关可能危及家庭生活的威胁。

他相信渗透测试的力量和有效性,因为他亲眼目睹了它的工作。“我参加过的最好的活动之一就是今年,”斯特里特说。“前一年我对这家公司进行了测试,今年,他们抓住了我。好几次了。这证明了我去年的工作是有成效的。”

Street就是证明黑客行为可以用来做好事。尽管许多组织可能会对他能如此轻易地通过几个小谎和一个USB驱动器入侵他们的系统感到震惊,但最好在坏人有机会之前暴露安全问题。

“当你住在一个垃圾箱火灾时,你有两种选择。去获得棉花糖并观察它烧伤,或者试图把它放出来,”街头描述。“这就是激励我的原因。不只是在哪里展示它的破碎,而是向人们展示如何让它变得更好。”

编码:第三季

一场看不见的战争正在网络上展开,但新一代的黑客正在奋起反击。提出的明天解锁在新一季的《编码》中,我们将从农场来到太空,与使用技术改变世界的人们见面。

观看更多关于技术的故事,从而创造更美好的未来明天解锁YouTube频道

更多来自编码

新一代的黑客正在崛起
编码
尼科·塞尔认为黑客可以成为一股向善的力量
尼科出售
编码
尼科·塞尔认为黑客可以成为一股向善的力量
在罪犯劫持了这个术语之后,塞尔的使命是改变我们对黑客的看法。
经过迈克尔·奥切亚

在罪犯劫持了这个术语之后,塞尔的使命是改变我们对黑客的看法。

数字侦探
黑客发现失踪的人乐趣
黑客发现失踪的人乐趣
现在看
数字侦探
黑客发现失踪的人乐趣
这个搜索和救援专家发现,许多失踪的人没有人在寻找它们。然后他有一个想法:如果黑客通过互联网发现失踪的人,那么怎么办?
现在看

一个不幸的事实是,任何参与失踪人口案件的人都会很快意识到,世界上失踪人口的数量比可以找到他们的资源还要多。一个人失踪后的最初几天是寻找他们安然无恙的最关键的日子。然而,由于失踪的人往往是自己出现的,这些案件最初并不被给予优先考虑。例外情况是,如果有一个强…

黑客好
白帽黑客正在保护医院免受日益增多的网络攻击
网络攻击
黑客好
白帽黑客正在保护医院免受日益增多的网络攻击
犯罪分子正在利用新冠病毒发动网络攻击。这些志愿者已经联合起来进行反击。

犯罪分子正在利用新冠病毒发动网络攻击。这些志愿者已经联合起来进行反击。

编码
黑客们揭露了政府范围内的犯罪和腐败
黑客们揭露了政府范围内的犯罪和腐败
编码
黑客们揭露了政府范围内的犯罪和腐败
展示了独特的技术能力和顽强的调查性新闻的力量
经过迈克尔·奥切亚

展示了独特的技术能力和顽强的调查性新闻的力量

编码
我们谈论黑客是什么意思
我们谈论黑客是什么意思
编码
我们谈论黑客是什么意思
我们之前都听过它:“我被黑了!”但这可能意味着很多事情。我们看看一些大的人。
经过迈克里格斯

我们之前都听过它:“我被黑了!”但这可能意味着很多事情。我们看看一些大的人。

计算机科学
量子黑客是加密技术最大的威胁吗?
量子黑客
计算机科学
量子黑客是加密技术最大的威胁吗?
虽然一些安全专家准备应对量子黑客,但另一些人认为,《获取信息法案》(EARN IT Act)是我们现在需要解决的对加密的威胁。

虽然一些安全专家准备应对量子黑客,但另一些人认为,《获取信息法案》(EARN IT Act)是我们现在需要解决的对加密的威胁。

黑客好
def con黑客争夺轨道上的卫星
黑客卫星
黑客好
def con黑客争夺轨道上的卫星
DEF CON的空间安全挑战2020与黑客卫星的任务团队。大奖?没有什么比月亮更少。

DEF CON的空间安全挑战2020与黑客卫星的任务团队。大奖?没有什么比月亮更少。

DIY科学
黑客们自制卫星追踪器来窃听太空
卫星跟踪器
DIY科学
黑客们自制卫星追踪器来窃听太空
Nyansat引导挑战要求黑客建立卫星追踪器,使低地球轨道卫星更易于使用。

Nyansat引导挑战要求黑客建立卫星追踪器,使低地球轨道卫星更易于使用。

编码
编码的拖车
编码的拖车
现在看
编码
编码的拖车
通过对安全和隐私的战争的前线符合程序员。
现在看

一场无形的战争正在打响。外国政府正在对大公司进行黑客攻击。大公司正在收集大量的消费者数据。国家安全局监听了一切。但是,拥有强大技术的新一代程序员正在奋起反击。