云渗透测试

云渗透测试使公司能够加强其云环境的安全性，防止其系统受到可避免的破坏，并继续遵守其行业法规。通过帮助识别安全程序中的漏洞、风险和差距来实现这一点。提供可行的补救建议，可让安全团队根据其最大的业务风险，来确定活动的优先次序并处理安全问题。

具体而言，云渗透测试

• 有助于提高公司对业务风险的整体可见性
• 有助于识别漏洞
• 展示已识别的漏洞被利用后可能产生的影响
• 提供明确的补救建议，以修复漏洞并减轻其相关风险

云环境中的渗透测试通常集中在三个主要考虑因素上。

• 内部云环境
• 云边界
• 本地云基础设施的管理

测试采用三步流程。

1. 评估：在评估阶段，测试人员执行初始发现活动，以识别安全程序中的漏洞、风险、差距，以及安全团队的总体需求和目标。
2. 利用：在利用阶段，测试人员使用他们在评估期间收集的信息来确定要使用哪种渗透测试方法。部署了适当的测试方法后，测试人员密切监控云环境，以了解它如何响应攻击、现有安全工具检测攻击的能力，以及整体安全程序和实践的全面性。酌情执行补救活动，以解决任何已识别的安全漏洞。
3. 验证：在验证阶段，测试人员将评审上一个阶段执行的补救活动。该评审旨在确保已准确应用适当的补救措施，并确保整体安全计划和实践符合行业最佳实践。

云渗透测试有三种类型。确定要使用哪种类型的测试，取决于所测试系统的具体需求和要求。所有这三种形式都涉及测试人员像攻击者那样“戳戳”系统，以便识别系统中真实和可利用的弱点。

• 透明盒测试：测试人员对云环境具有管理员级别的访问权限，使他们能够最全面地访问和了解他们试图破坏的系统。
• 半透明盒测试：测试人员对自己试图破解的系统有一些了解。
  
• 非透明盒测试：测试人员在开始测试活动之前对云系统不了解或未访问过。
  

传统和云渗透测试的主要区别在于执行测试的环境；云渗透测试与传统渗透测试相同，但却是在云服务上执行的测试。

此外，云环境来自云服务提供商（例如 AWS 和 GCP）。这些云提供商对渗透测试应如何进行有严格的指南。云提供商的安全活动和您自己的渗透测试相结合，使安全状况更加完美。在传统环境中（本地），您自己就可以负责执行安全活动。

云环境中最常发现的一些威胁包括

• 安全漏洞
• 数据泄露
• 恶意软件/勒索软件
• 供应链漏洞
• 身份、凭据或访问权限管理薄弱
• 不安全的接口和 API
• 不当使用云服务

各组织都在将其应用负载转移到云，以增加灵活性，缩短产品上市时间并降低成本。无论您是在开发云原生应用还是将现有应用迁移到云，Synopsys 都可以帮助您在不牺牲安全性的前提下提高创新性、可靠性和效率。

Synopsys 按需提供的渗透测试使安全团队能够处理探索性风险分析和业务逻辑测试，帮助您系统地发现和消除业务关键漏洞。