3.4.1 外部测试战略

这些战略包括试图从外部(即从组织网络外部)入侵组织。在这种情况下,出于测试目的,网络攻击将针对可公开访问的资源。例如,针对防火墙目标开展DDoS攻击,从而使合法通信量无法流入组织的网络。电子邮件服务器也可作为攻击目标,以试图干扰组织内的电子邮件通信。以Web服务器为目标的攻击还包括尝试查找错误放置的文件,如存储在可公开访问的文件夹中的敏感信息。其他常见的目标包括通常暴露在公众面前的域名服务器和入侵检测系统。除技术系统外,外部测试战略还包括针对员工或用户的攻击。此类攻击可以通过社交媒体平台、电子邮件和电话进行。常用的攻击方法是社会工程学,通过说服目标分享敏感细节或寄钱支付不存在的服务。