14、信息系统安全测试与业务连续性规划

信息系统安全测试与业务连续性规划

1. 渗透测试中的痕迹掩盖

在成功的渗透测试中，掩盖痕迹是至关重要的，因为这正是攻击者会采取的行动。一名熟练的攻击者不会触发安全运营中心的警报。所以，在渗透测试过程中，我们要像真正的攻击者一样谨慎地掩盖自己的痕迹，使测试场景尽可能接近真实攻击。

在网络层面，掩盖痕迹的一个例子是使用反向 HTTPS 外壳。在这种情况下，测试人员会在受攻击的机器上安装软件，使该机器定期向测试人员的命令和控制设备发送请求。对于内部监控团队来说，这看起来就像普通的安全 Web 流量，但实际上是受攻击系统在等待测试人员/攻击者的命令。

2. 漏洞评估与渗透测试的区别

漏洞评估和渗透测试存在显著差异。漏洞评估的主要目的是确定被评估目标设备上是否存在漏洞，而渗透测试则关注这些漏洞是否可被利用来访问系统，并进一步获取组织的敏感信息。

从工作流程来看，漏洞评估在渗透测试的扫描阶段就结束了。在漏洞评估中，发现漏洞后会与技术团队合作进行修复；而渗透测试人员会继续测试，试图攻破目标系统并控制它。

渗透测试还能展示底层信息系统中的信息安全漏洞可能导致敏感数据的泄露。其关键在于，测试人员不仅要能够访问信息系统，还要利用这种访问权限深入企业网络，获取敏感信息。而漏洞评估无法提供这种程度的信息安全可见性。

3. 新闻中的成功攻击案例

我们进行大量测试的目的是确保组织的信息系统免受攻击。以下是一些公开报道的攻击案例，如果相关组织提前进行了漏洞测试和修复，这些攻击本可以避免。

3.1 销售点系统攻击

销售点（POS）系统即收银机。你可能会疑惑，收银