什么是内部网络分段渗透测试？

网络攻击的规模、范围和复杂性与日俱增。随着黑客及其攻击方法变得越来越复杂，您的企业必须做出相应的响应，否则您的安全边界就会不堪重负。

如今，内部网络分段是将攻击成功风险降至最低、改善数据流和隔离关键支付数据的主要方法之一。

但是，如果您走这条路，支付卡行业数据安全标准（PCI-DSS）的最新版本 3.2 迫使服务提供商每六个月对分段控制进行渗透测试。

下面我们将回顾网络分段的目的，以及渗透测试如何确保网络正确分段和保护。

什么是内部网络分段？

要了解网络分段渗透测试的原因和优点，详细说明网络分段的实际工作原理至关重要。

网络分段将计算机网络拆分为虚拟局域网（VLAN）中的较小网段。它根据安全优先级将应用程序或系统分组并隔离到子网分区中。通过将高安全性网络与安全性较低的网络区分开来，您可以通过以下几种方式显著降低风险：

控制子网之间的流量
阻止整个流量
通过限制流量提高网络性能
本地化网络问题
防止未经授权的网络流量或攻击到达高安全性区域

大多数接收电子支付的组织必须找到一种安全存储持卡人数据（CD）的方法，例如：

卡号
持卡人姓名
有效期
商用车

持卡人数据环境（CDE）是一个网段，旨在保护所有持卡人信息。它受PCI-DSS监管，该部门规定了各种访问限制。

需要渗透测试？了解更多信息。

扁平网络带来的安全威胁

大多数网络都设置为平面网络。每个服务器和工作站都在同一局域网（LAN）上运行，因此网络中的每个应用程序和系统都能够与其他所有内容通信并连接到其他所有内容。

虽然这种做法可能会创造一些效率，但从安全的角度来看，开放性是有害的，因为大多数这些系统不需要交互。提供这种开放的通信渠道会产生黑客或恶意软件可以利用的漏洞。

黑客入侵网络后，他们使用一种称为“透视”的方法，其中他们利用受感染的设备访问其他设备并在整个网络中移动。

如果网络没有分段，一旦黑客突破防火墙，他们就可以转向，然后随意在整个系统中移动。在几小时甚至几分钟内，黑客或恶意代码就可以破坏整个系统，窃取所有关键的私人数据，包括：

社会安全号码
信用卡号
银行账户信息

内部网络分段的类型

如今，每家公司都采用不同的网络分段变体。没有适用于所有企业和网络的通用配置，因为每个企业和网络都有自己的功能和先决条件;但是，许多公司将使用四种主要类型的网络分段：

物理层分段 – 两个网络由物理层隔开，“这意味着物理传输介质发生变化或中断，阻止数据从一个网络遍历到另一个网络。
防火墙分段 – 部署防火墙以通过创建内部区域、将功能区域与敏感区域分开来限制攻击面。当然，实施取决于正确安装和配置数千个防火墙规则。
软件定义网络（SDN） – “将网络控制平面与转发平面分开的一类技术，以实现更自动化的配置和基于策略的网络资源管理。
微分段 – 某些分段不是子网或防火墙，而是依赖于主机工作负载来划分子网。每个工作负载操作系统都有一个本机防火墙，除非明确允许，否则它会阻止流量。

内部渗透测试网络分段

在我们深入研究测试之前，澄清三个基本术语很重要：

CDE 范围内 – 存储、保存、处理和传输专用持卡人数据的 VLAN。此分段需要隔离，具有高安全级别并限制外部访问。
非 CDE 范围内 – 不存储、保存、处理和传输专用持卡人数据，但依赖于 CDE 范围内（如修补程序服务器）的 VLAN。
非 CDE 超出范围 – 不属于前两个类别且应限制与 CDE 范围内分段通信的 VLAN。

渗透测试是保持合规性并确保采取正确措施来保护客户的重要方式。根据PCI 11.3.4：

渗透测试是确认将CDE与其他网络隔离的任何分段是否有效的重要工具。渗透测试应侧重于来自实体网络外部和网络内部但 CDE 外部的分段控制，以确认它们无法通过分段控制来访问 CDE。例如，网络测试和/或扫描开放端口，以验证范围内和范围外网络之间没有连接。

您应该知道，最新版本的PCI-DSS增加了两个新规定：

分段检查必须由独立组织执行，无论是第三方还是合格的内部资源（不管理、维护或设计环境的人员）。
服务提供商必须每六个月执行一次分段检查，并在分段方法或控件发生任何重大更改后执行分段检查。

什么是细分检查？

要检查您的网络分段安全性，您的公司必须执行一系列渗透测试，以确保 CDE 不会与安全性较低的网络通信。这些测试的目的是确认分段按预期工作，并且不存在可能被黑客或恶意程序利用的网络安全漏洞。

渗透测试人员在网络内部运行端口扫描（通常使用 Nmap），以尝试发现 CDE 的 IP 地址。如果他们无法在具有 CDE 访问权限的网络内找到 IP 地址，则验证网段是否正常工作。

尽管分段检查可能失败的原因有多种，但最常见的故障包括：

防火墙配置错误
未移除的旧规则
第三方管理服务错误地添加了访问权限

分段检查提示

如果需要执行网络分段渗透测试，请记住几个注意事项。要遵循的步骤包括：

仔细选择测试仪

如前所述，独立测试人员有两种选择：第三方或内部测试人员。

第三方 – 如果您使用第三方，测试人员必须遵守标准渗透测试程序。如果他们报告问题，请立即修复。之后，记录漏洞和更改，然后通知下一组验证测试。
内部 – 内部测试人员必须在组织上与目标系统的设计分开;他们不能参与设计、维护或管理。然后，测试人员必须遵守批准的渗透测试程序并记录他们的努力。

虽然可以在内部进行测试，但它通常不如寻求外部专家的帮助有效。

制定第三方测试标准

可以通过以下两种方式之一测试网络：物理测试或通过代理设备进行测试。物理位置测试通常是更昂贵的路由，特别是当它与使用 VPN 隧道简单地将测试仪连接到系统相比，它提供的好处很少。

在选择测试人员时，他们必须了解：

内部和外部测试程序和理念
黑帽攻击方式
脚本语言
分段测试
测试工具
操作系统
网络技术
网络前端技术
网络协议
网络接口

确定分段检查的频率

对系统或基础架构的重大更改需要分段检查。什么构成系统的重大变化在很大程度上取决于组织的规模;对小型企业的重大变化对大型企业来说可能是微不足道的。无论你决定什么，重要的是要明确定义它。

除此之外，PCI 还规定进行分段检查：

商户服务提供商每两年一次
商家每年

证明 PCI 合规性

虽然在内部验证您的网络安全防御和分段是否坚不可摧很重要，但该测试也可以向外部人员证明您遵守规则。

证明您符合 PCI 标准的唯一方法是通过严格的文档。

文件应显示：

定期进行所需的测试
无法访问目标安全区域
已采取纠正措施（如果可以达到）
进行了新的测试以验证CA是否有效

如何对网络进行分段？

细分并非易事。在大多数情况下，最好与专家合作，帮助您执行配置设置和测试。无论如何，您可以遵循一些简单的步骤来促进该过程，包括：

分配数据流监视器 – 了解业务运行方式以及卡片数据在组织内的流动位置（例如使用或存储的位置）至关重要。这样做有助于缩小 CDE 的范围。
进行员工访谈 – 无论是会计、销售、客户服务还是 Web 开发，您的员工都可以提供有关随机数据处理的见解。您对卡数据环境了解得越多越好。
创建数据流图 – 为了更好地可视化数据在整个组织中的流动方式，请构建显示卡片数据位置和移动的流程图。
利用卡数据发现工具 – 某些数据可以到达手动搜索无法检测到的系统。各种扫描工具可以帮助梳理整个系统以查找未加密的支付数据。
选择分段方法 – 如前所述，有几种不同的方法可以对 CDE 进行分段，其中最受欢迎的是防火墙分段。

细分的好处

分段是网络安全防御的重要补充，原因有很多，包括：

减少攻击选项 – 如果您无法与机器通信，则几乎不可能破坏它。分段使黑客失明，因此即使他们可以进入网络，他们也无处可去。
增加检测机会 – 当黑客在分段网络之间移动时，他们会增加在内部监控阻塞点被发现的可能性。您的入侵检测系统传感器和防火墙可以在发生错误时提醒您。通过监控阻塞点，您可以使黑客更难在您不知情的情况下不受限制地访问。
提高性能 – 当每个子网的主机较少时，本地流量会减少。通过将广播流量限制到本地子网，可以增加整个网络上的数据流。
更好的遏制 – 即使黑客成功获得访问权限，损害也仅限于该本地子网。每个子网都必须单独被黑客入侵。
黑客攻击变得更加困难 - 窃贼通常会寻找容易的目标。他们想在任何人发现之前进出。网络分段迫使他们破坏多个系统以获得任何有用的东西。每增加一个细分，就会增加成功所需的时间和技能投资，这也增加了他们被困在这个过程中的机会。
分离敏感和易受攻击的计算机 – 大多数公司使用各种不处理敏感数据的功能技术。服务器是漏洞所在，这就是为什么必须将它们分割掉的原因。