目录:
视频: AMAI OKOLE.flv (十一月 2024)
大多数IT专业人员只能在假设他们的网络受到黑客保护的情况下度过每一天。 如果您是其中的一员,那么您可能会满足于所有基础知识,这样一些随机的社交行为者不仅可以登录到您的网络,掠夺您的重要信息,还可以植入一些恶意软件,然后离开。 问题是:确定吗?
简而言之,您需要让自己被黑客入侵,以便知道自己的弱点在哪里,然后您需要修复那些(希望是)白帽黑客所发现的东西。 白帽黑客是您想要测试网络保护质量而又不涉及真正的坏蛋或黑帽黑客的人。 白帽黑客所做的就是尽一切可能探查您的网络防御,并一路评估和记录您的安全性。 这就是所谓的渗透测试或“笔测试”,许多IT专业人员都不知道,您不必立即聘请昂贵的专家来进行测试。 您可以自己开始渗透测试的基础。
2018年IT和安全专业人员的最高优先任务
(图片来源:Statista)
“ 渗透测试:黑客动手入门”一 书的作者乔治亚·魏德曼说:“最重要的实际上是漏洞评估,风险评估。” Weidman还是Shevirah(一家专门从事渗透测试的安全公司)的创始人兼首席技术官(CTO)。 “那些被忽略了。当公司具有基本漏洞时,它们会在渗透测试上浪费大量金钱。” 她说,组织应该做的第一件事是执行基本漏洞测试,然后在继续进行渗透测试之前修复漏洞。 她说:“渗透测试不应该是您的第一步。”
魏德曼还建议确保您的公司已采取安全意识的第一步,包括网络钓鱼和社会工程方面的培训。 她指出,如果有人放弃获得访问权限的凭据,仍然可以渗透最安全的网络。 好的渗透测试人员在开始任何实际测试之前会检查所有这些内容。
魏德曼说:“如果他们对员工的安全意识培训有兴趣,那就设置自己的网络钓鱼测试。” “您不必为此付出钱,这是人们进入的最大方式之一。” 她说,还会通过短信和社交媒体使用网络钓鱼。
测试您的密码
魏德曼说,下一步是测试组织的密码和身份管理功能。 她说:“下载Active Directory的哈希密码,并使用密码测试人员进行测试。这是我们在渗透测试中所做的事情。”
根据Weidman的说法,用于密码测试的重要工具包括Hashcat和John Ripper密码破解程序,她说这是渗透测试中常用的工具。 她说,除了检查来自Microsoft Azure Active Directory的密码外,还可以使用诸如Wireshark之类的网络协议分析器在网络上嗅探它们。 此处的目标是确保您的用户的凭据没有使用容易猜到的密码,例如“ password”。
在检查网络流量时,应查找“链接本地多播名称解析(LLMNR)”,并确保在可能的情况下将其禁用。 Weidman说,您可以使用LLMNR捕获密码哈希。 她说:“我在网络上收听并获取哈希,然后将其破解。”
验证机器
魏德曼说,一旦她破解了密码,便会使用它们对网络上的计算机进行身份验证。 她说:“可能会有一个本地管理员,因为他们的映像都相同。” “希望有一个域管理员。”
魏德曼获得管理员凭据后,便可以使用这些凭据进入计算机上的秘密区域。 她说有时会进行二级身份验证,因此她也需要破解这些密码。
魏德曼说,如果您自己进行渗透测试,那么您应该小心。 她说:“当进行渗透测试时,我会竭尽全力不破坏任何东西,没有百分百确定没有任何问题。”
避免下载恶意软件
Weidman说,一个非常有用的渗透测试工具是Metasploit免费版,但她警告不要从互联网下载漏洞利用程序,因为它也可能包含恶意软件。 她警告说:“不要无意中攻击自己。” 她说,用于测试的漏洞利用经常包含会攻击您的恶意软件。
- 2019年最佳密码管理器2019年最佳密码管理器
- 适用于2019的最佳恶意软件删除和保护软件适用于2019的最佳恶意软件删除和保护软件
- 2019年最佳企业勒索软件防护2019年最佳企业勒索软件防护
顺便说一句,Microsoft还为Windows提供了一个名为Microsoft安全合规性工具包v1.0的Windows漏洞评估工具,它支持Microsoft Windows 10,Windows Server 2012R2和Office 2016。
魏德曼告诫不要以为渗透是某种深层的黑魔法。 她说,相反,重要的是首先涵盖基础知识。 她说:“每个人都参加渗透测试,因为它有一个性感的名字。” “但是找到低下的果实并首先修复它具有很多价值。”
