渗透测试（pentesting）：是什么以及何时做

要知道你的防御是否扛得住，最好的办法是在真正的攻击者动手之前，让人在受控条件下尝试攻破它们。这就是渗透测试（pentest）：一种经过授权、专业的攻击模拟，主动寻找你系统中的漏洞，以便你能加以修复。与自动扫描不同，渗透测试结合了工具与人类的创造力，像真正的攻击者那样把多个缺陷串联起来，发现工具单独看不到的东西。

在本文中，我们将说明什么是渗透测试、有哪些类型、流程是怎样的，以及何时适合进行。

渗透测试是什么、不是什么

渗透测试是一种进攻性的安全评估：经授权的专业人员（常被称为道德黑客）在你的许可下、在约定的规则范围内尝试攻破你的系统，并记录他们是如何做到的。它不是简单的漏洞扫描器，扫描器只会列出潜在缺陷；渗透测试会真正验证这些缺陷、展示其真实影响，并排除误报。其结果是一幅关于攻击者究竟能走多远的诚实画面。

渗透测试的类型

根据范围和起始信息的不同，渗透测试有多种分类方式：

• 黑盒：团队在没有任何信息的情况下开始，如同真正的外部攻击者。
• 灰盒：在掌握一定信息或有限凭据的情况下开始。
• 白盒：完全访问代码与架构，以进行深入分析。
• 外部：针对暴露在互联网上的系统。
• 内部：模拟一个已经身处网络内部的攻击者。
• Web应用、移动应用或基础设施渗透测试，视目标而定。

流程是怎样的

专业的渗透测试遵循明确划分的阶段：首先约定范围和交战规则（什么可以碰、什么不可以），然后是侦察和漏洞识别、受控利用以证明影响，最后是撰写报告。那份报告才是真正的交付物：它详述每一项发现、其严重程度、如何复现，最重要的是如何修复，并按优先级排列，让团队知道该从哪里着手。

为什么扫描还不够

许多企业以为有了自动扫描器就高枕无忧，但两者差别巨大。扫描器逐一发现已知漏洞；渗透测试人员则把它们串联起来，把多个小缺陷组合成一次大范围的访问，并像攻击者那样思考。此外，扫描器会产生大量误报，且不理解你的业务背景。渗透测试带来人类的判断力，能区分一个理论上的缺陷和一个真正危及你数据的缺陷。

渗透测试之后会发生什么

渗透测试并不随报告交付而结束：真正降低风险的部分才刚刚开始。有了按优先级排列的发现，团队应先修复关键和高影响的漏洞，再处理较低严重程度的，并为每项修复制定计划。一个好的做法是在应用修复后进行一次重新评估（retest），以确认缺陷确实已被堵上，且解决方案没有引入新问题。没有这一修复与验证阶段，渗透测试就只停留在有诊断却无治疗，所投入的资金也无法转化为真正的安全。

何时做以及多久做一次

有几个进行渗透测试的关键时机：推出新产品或新应用之前、基础设施发生重大变更之后、为满足某项法规或认证、以及定期进行（至少每年一次），因为威胁和系统都在变化。安全不是一种状态，而是一个过程：渗透测试是时间中的一张快照，应当定期重拍，才能让这张快照持续真实。

在AxiomTech，我们针对应用、基础设施和网络进行专业的渗透测试，提供清晰且按优先级排列的报告，让你确切知道该修复什么。如果你想知道攻击者究竟能走多远，让我们聊聊并界定范围。