網(wǎng)絡(luò)安全滲透測(cè)試的類型有很多,，其中比較常見的類型大致分為以下7種：網(wǎng)絡(luò)滲透測(cè)試,、社會(huì)工程滲透測(cè)試、Web應(yīng)用滲透測(cè)試,、無線網(wǎng)絡(luò)滲透測(cè)試,、物理安全滲透測(cè)試、云計(jì)算滲透測(cè)試,、紅藍(lán)對(duì)抗,，接下來是具體的內(nèi)容介紹。

　　1,、網(wǎng)絡(luò)滲透測(cè)試

　　如果攻擊者能夠成功闖入公司的網(wǎng)絡(luò),，其引發(fā)的風(fēng)險(xiǎn)將會(huì)非常高。網(wǎng)絡(luò)滲透測(cè)試主要指測(cè)試人員嘗試?yán)@過防火墻,、測(cè)試路由器,、規(guī)避入侵檢測(cè)和防御系統(tǒng)(IPS/IDS)、掃描端口和代理服務(wù),，并尋找所有類型的網(wǎng)絡(luò)漏洞,。在實(shí)際應(yīng)用中，網(wǎng)絡(luò)滲透測(cè)試工作主要包括外部網(wǎng)絡(luò)滲透測(cè)試與內(nèi)部網(wǎng)絡(luò)滲透測(cè)試,。

　　2、社會(huì)工程滲透測(cè)試

　　社會(huì)工程是網(wǎng)絡(luò)犯罪分子用來欺騙用戶泄露憑據(jù)或敏感信息的一種技術(shù),。如今,，大多數(shù)網(wǎng)絡(luò)安全攻擊會(huì)從社會(huì)工程、網(wǎng)絡(luò)釣魚或短信網(wǎng)絡(luò)釣魚開始,。攻擊者通常會(huì)聯(lián)系員工,，通過電子郵件、電話,、社交媒體及其他方式瞄準(zhǔn)那些擁有管理員或高級(jí)訪問權(quán)限的人,。通過社會(huì)工程滲透測(cè)試可以幫助安全團(tuán)隊(duì)預(yù)先了解組織的人員安全意識(shí)狀態(tài)，并在社會(huì)工程攻擊期間和之后測(cè)試組織安全團(tuán)隊(duì)的反應(yīng)和支持能力,。

　　3,、web應(yīng)用滲透測(cè)試

　　基于Web的應(yīng)用程序?qū)τ趲缀趺考医M織的運(yùn)營(yíng)都至關(guān)重要,。Web應(yīng)用程序滲透測(cè)試側(cè)重于通過Web應(yīng)用程序呈現(xiàn)給攻擊者的攻擊面。這些測(cè)試類型旨在評(píng)估Web應(yīng)用程序的安全性,，并尋找攻擊性方法來訪問敏感數(shù)據(jù),，或獲得對(duì)Web應(yīng)用程序的控制權(quán)限。在此評(píng)估期間,，組織通常會(huì)向測(cè)試人員提供憑據(jù)訪問權(quán)限,，以審查整個(gè)應(yīng)用程序。

　　4,、無線網(wǎng)絡(luò)滲透測(cè)試

　　現(xiàn)代企業(yè)會(huì)高度依賴無線網(wǎng)絡(luò)來連接端點(diǎn)和物聯(lián)網(wǎng)設(shè)備等,，無線網(wǎng)絡(luò)已成為網(wǎng)絡(luò)犯罪分子的熱門目標(biāo)，但其應(yīng)用安全性卻常被企業(yè)所忽視,。覆蓋無線安全的滲透測(cè)試必須面面俱到,，無線網(wǎng)絡(luò)測(cè)試人員需要尋找無線加密中已知的缺陷，試圖破解密鑰,，誘使用戶向雙面惡魔接入點(diǎn)或被攻擊者控制的文件夾提供憑據(jù),，并暴力破解登錄詳細(xì)信息。惡意接入點(diǎn)掃描可以通過物理位置和經(jīng)過身份驗(yàn)證的無線分段測(cè)試完成這些評(píng)估類型,，以確定攻擊者在成功連接到環(huán)境后可以訪問的內(nèi)容,。

　　5、物理安全滲透測(cè)試

　　并非公司面臨的所有威脅都是由外部網(wǎng)絡(luò)應(yīng)用所引起,，特別是在邊緣計(jì)算興起后,，很多企業(yè)會(huì)在接近業(yè)務(wù)運(yùn)營(yíng)的地方建立數(shù)據(jù)分中心，面向這些中心的物理環(huán)境安全測(cè)試已變得更加重要,。

　　在物理環(huán)境安全測(cè)試中,，測(cè)試人員將會(huì)模擬驗(yàn)證大門的安全系統(tǒng)、門禁卡,、門鎖,、攝像頭和傳感器，并嘗試冒充工作人員,。他們還會(huì)驗(yàn)證當(dāng)攻擊者可以物理訪問計(jì)算設(shè)備,、數(shù)據(jù)中心網(wǎng)絡(luò)和邊緣計(jì)算網(wǎng)絡(luò)時(shí)，企業(yè)數(shù)字化應(yīng)用系統(tǒng)的安全系數(shù)會(huì)如何變化,。這類測(cè)試通常會(huì)在安全團(tuán)隊(duì)大多數(shù)成員完全不知情的情況下執(zhí)行,。

　　6、云計(jì)算滲透測(cè)試

　　私有云和公共云的廣泛應(yīng)用為現(xiàn)代企業(yè)組織帶來了諸多好處,，但也給網(wǎng)絡(luò)犯罪分子帶來了機(jī)會(huì),。許多組織在云端都存放了大量關(guān)鍵業(yè)務(wù)數(shù)據(jù)資產(chǎn)，如果這些資產(chǎn)遭到破壞,，會(huì)導(dǎo)致業(yè)務(wù)運(yùn)營(yíng)的癱瘓,。

　　雖然云供應(yīng)商會(huì)為企業(yè)提供功能強(qiáng)大的配套安全服務(wù),，但云滲透測(cè)試對(duì)企業(yè)組織已必不可少。云端滲透測(cè)試需要提前通知云提供商,，因?yàn)橄到y(tǒng)的某些區(qū)域可能禁止白帽黑客訪問,。

　　云端的滲透測(cè)試必須遵守云服務(wù)商給出的統(tǒng)一滲透測(cè)試演練規(guī)則。而在開始進(jìn)行測(cè)試前,，組織也需要詳細(xì)填寫云計(jì)算安全滲透測(cè)試申請(qǐng)表,。云滲透測(cè)試的內(nèi)容主要包括檢查云環(huán)境的安全性、應(yīng)用程序及API,、訪問,、存儲(chǔ)、加密,、虛擬機(jī),、操作系統(tǒng)及更新、安全外殼(SSH),、遠(yuǎn)程桌面協(xié)議(RDP)遠(yuǎn)程管理以及錯(cuò)誤配置和密碼,。

　　7、紅藍(lán)對(duì)抗測(cè)試

　　受軍事演習(xí)活動(dòng)的啟發(fā),，在網(wǎng)絡(luò)安全領(lǐng)域也開始流行基于實(shí)戰(zhàn)背景的攻防對(duì)抗測(cè)試演練活動(dòng),，會(huì)組織專業(yè)的測(cè)試紅隊(duì)充當(dāng)攻擊者，而藍(lán)隊(duì)主要由企業(yè)現(xiàn)有的安全團(tuán)隊(duì)組成,。這種整體式對(duì)抗性測(cè)試方法能夠確保滲透測(cè)試的真實(shí)性和有效性,，不僅可以評(píng)估安全缺陷、漏洞和威脅,，還可以評(píng)估安全團(tuán)隊(duì)的反應(yīng)能力,。