滲透性測(cè)試是信息安全人員模擬黑客攻擊,用來(lái)發(fā)現(xiàn)信息安全防御體系中漏洞的一種常用方法。但它不同于真正的黑客攻擊。首先,黑客入侵大多是悄無(wú)聲息的,像間諜一樣秘密進(jìn)行,而滲透性測(cè)試事先要與用戶(hù)簽訂好協(xié)議;其次,滲透測(cè)試是為了發(fā)現(xiàn)、驗(yàn)證安全漏洞的影響而進(jìn)行的,注重入侵者可能的通道,并非關(guān)注用戶(hù)的敏感信息內(nèi)容。所以,滲透性測(cè)試時(shí)一種安全服務(wù),簡(jiǎn)稱(chēng)滲透服務(wù)。
國(guó)內(nèi)滲透服務(wù)開(kāi)展不好的原因:
1、技術(shù)性要求很高。滲透與實(shí)際的入侵是同樣的思路,需要滲透者有很強(qiáng)的逆向思維,有一定漏洞挖掘的能力,僅僅使用常規(guī)的入侵手段,面對(duì)安全意識(shí)較強(qiáng)的用戶(hù),滲透效果會(huì)很不理想;用最新的“0Day”資源去做滲透,成本又過(guò)高,同時(shí),這種方法會(huì)給用戶(hù)帶來(lái)心理上的恐慌。要得到用戶(hù)的認(rèn)可需要掌握好這個(gè)“度”,當(dāng)然沒(méi)有深厚的技術(shù)功底,就只能被擋在服務(wù)大門(mén)的外邊了;
2、用戶(hù)的糾結(jié)。作為企業(yè)信息安全的管理人員,當(dāng)然不希望自己辛苦建立的安全防御體系被說(shuō)成千瘡百孔;花錢(qián)請(qǐng)人來(lái)做滲透,無(wú)疑是自己要“上京趕考”,很煎熬啊;若滲透沒(méi)有成果,又無(wú)法向領(lǐng)導(dǎo)解釋這樣的服務(wù)的必要性,無(wú)法驗(yàn)證自己安全工作的成績(jī),不暴露問(wèn)題的嚴(yán)重性,安全保障工作也難以得到領(lǐng)導(dǎo)的重視。所以,心情是復(fù)雜的;如何衡量滲透服務(wù)的效果是面臨的首要問(wèn)題;
3、用戶(hù)領(lǐng)導(dǎo)的顧慮。用滲透的方式檢驗(yàn)?zāi)壳暗陌踩烙w系是否堅(jiān)固,好比是“實(shí)戰(zhàn)演習(xí)”,顯然是有必要的。但是滲透畢竟是從自己不知道的地方進(jìn)入到自己網(wǎng)絡(luò)的內(nèi)部,對(duì)于滲透者的工作的可控性是有難度的,滲透者除了給自己最后匯報(bào)的,是否還知道了其他的什么?孰輕孰重,領(lǐng)導(dǎo)肯定是有顧慮的;
4、滲透者的糾結(jié)。滲透是為了驗(yàn)證用戶(hù)防御體系的缺陷,每次滲透服務(wù)后,把發(fā)現(xiàn)的漏洞通告給用戶(hù),當(dāng)然希望用戶(hù)堵上它,可是下一次來(lái)滲透的時(shí)候,又需要再發(fā)現(xiàn)新的漏洞,否則就無(wú)法滲透成功,而發(fā)現(xiàn)有價(jià)值的漏洞不是一件容易的事情,即使你技術(shù)再好,也有很多偶然的成分;因此滲透者很糾結(jié),知道了的全說(shuō)出來(lái),以后工作會(huì)越來(lái)越挑戰(zhàn)極限,畢竟這是商業(yè);知道的不全說(shuō),對(duì)用戶(hù)似乎很不公平,也違背了信息安全人員的職業(yè)道德。另外,驗(yàn)證的畢竟部分漏洞,未驗(yàn)證的漏洞也不少,也許是時(shí)間上的不充裕,也可能是自己還沒(méi)有找到適合的方法,但這不等于別人就做不到,搞技術(shù)的人,心情上很復(fù)雜。
正確定位滲透服務(wù)的目標(biāo):
這項(xiàng)工作的好處是共知的,“養(yǎng)兵千日,用在一時(shí)。”保持安全機(jī)制的有效性,唯一的辦法就是經(jīng)常性的“實(shí)彈演習(xí)”,滲透服務(wù)就是一種“實(shí)彈演習(xí)”。
面對(duì)各方面人員復(fù)雜的心情,關(guān)鍵是正確定位滲透性測(cè)試服務(wù)的具體目標(biāo),定位大家的角色。目標(biāo)清晰了,責(zé)任清楚了,大家的顧慮就可以打消了。
滲透性測(cè)試是一種安全服務(wù),不是黑客入侵的情景再現(xiàn)。
滲透服務(wù)的目標(biāo)應(yīng)該是部分驗(yàn)證安全漏洞可以被利用的程度,利用這些漏洞能給用戶(hù)造成什么樣的損害。簡(jiǎn)單地說(shuō),滲透服務(wù)是確認(rèn)漏洞能給用戶(hù)帶來(lái)的損失有多大,從而可以評(píng)估修復(fù)這些漏洞的代價(jià)是否值得。
通過(guò)滲透服務(wù),用戶(hù)的收益是多方面的:
1、對(duì)信息安全系統(tǒng)整體進(jìn)行了一次“實(shí)戰(zhàn)演練”,在實(shí)戰(zhàn)中鍛煉安全維護(hù)團(tuán)隊(duì)?wèi)?yīng)變的能力;
2、系統(tǒng)評(píng)估了業(yè)務(wù)系統(tǒng),在技術(shù)與運(yùn)維方面的實(shí)際水平,管理者清楚了目前的防御體系可以抵御什么級(jí)別的入侵攻擊;
3、發(fā)現(xiàn)安全管理與系統(tǒng)防護(hù)中的漏洞,可以有針對(duì)性地進(jìn)行加固與整改;
4、若定期地進(jìn)行滲透服務(wù),不僅可以逐步提高系統(tǒng)安全的防御能力,而且可以保持管理人員的警覺(jué)性,增強(qiáng)防范意識(shí);
如何確定滲透服務(wù)的考核目標(biāo):
很多滲透測(cè)試服務(wù)(目前與安全評(píng)估服務(wù)一起提供的有很多)給用戶(hù)的報(bào)告就是一大堆的漏洞列表,告訴你要打補(bǔ)丁,買(mǎi)設(shè)備,以及一些很虛的安全管理建議。用戶(hù)往往對(duì)這些漏洞的威脅不了解,面對(duì)如此多數(shù)量的、稀奇古怪的漏洞根本不知所措。第一,因?yàn)榕掠绊憳I(yè)務(wù)運(yùn)行,不能全部打上補(bǔ)丁,哪些必須打,哪些可以不打,總是一本糊涂賬;第二,即使打上補(bǔ)丁,心里也不踏實(shí),漏斗就少了嗎?下次檢查又是同樣多的漏洞,好想補(bǔ)丁永遠(yuǎn)也補(bǔ)不完。
其實(shí)發(fā)現(xiàn)漏洞只是服務(wù)的第一步,驗(yàn)證哪些漏洞是可以被利用的,可以被利用到什么程度,才是滲透服務(wù)真正應(yīng)該回答的,比如能獲取系統(tǒng)管理員權(quán)限,能篡改系統(tǒng)數(shù)據(jù),能植入木馬等等,這樣用戶(hù)對(duì)漏洞的威脅就有切身的體會(huì)了。
滲透服務(wù)是模擬黑客入侵,但不是真正的入侵,作為商業(yè)服務(wù),用戶(hù)如何確定滲透服務(wù)的考核目標(biāo)呢?我們先來(lái)分析一下黑客攻擊的方式。
