滲透性測試是信息安全人員模擬黑客攻擊,用來發現信息安全防御體系中漏洞的一種常用方法。但它不同于真正的黑客攻擊。首先,黑客入侵大多是悄無聲息的,像間諜一樣秘密進行,而滲透性測試事先要與用戶簽訂好協議;其次,滲透測試是為了發現、驗證安全漏洞的影響而進行的,注重入侵者可能的通道,并非關注用戶的敏感信息內容。所以,滲透性測試時一種安全服務,簡稱滲透服務。
國內滲透服務開展不好的原因:
1、技術性要求很高。滲透與實際的入侵是同樣的思路,需要滲透者有很強的逆向思維,有一定漏洞挖掘的能力,僅僅使用常規的入侵手段,面對安全意識較強的用戶,滲透效果會很不理想;用最新的“0Day”資源去做滲透,成本又過高,同時,這種方法會給用戶帶來心理上的恐慌。要得到用戶的認可需要掌握好這個“度”,當然沒有深厚的技術功底,就只能被擋在服務大門的外邊了;
2、用戶的糾結。作為企業信息安全的管理人員,當然不希望自己辛苦建立的安全防御體系被說成千瘡百孔;花錢請人來做滲透,無疑是自己要“上京趕考”,很煎熬啊;若滲透沒有成果,又無法向領導解釋這樣的服務的必要性,無法驗證自己安全工作的成績,不暴露問題的嚴重性,安全保障工作也難以得到領導的重視。所以,心情是復雜的;如何衡量滲透服務的效果是面臨的首要問題;
3、用戶領導的顧慮。用滲透的方式檢驗目前的安全防御體系是否堅固,好比是“實戰演習”,顯然是有必要的。但是滲透畢竟是從自己不知道的地方進入到自己網絡的內部,對于滲透者的工作的可控性是有難度的,滲透者除了給自己最后匯報的,是否還知道了其他的什么?孰輕孰重,領導肯定是有顧慮的;
4、滲透者的糾結。滲透是為了驗證用戶防御體系的缺陷,每次滲透服務后,把發現的漏洞通告給用戶,當然希望用戶堵上它,可是下一次來滲透的時候,又需要再發現新的漏洞,否則就無法滲透成功,而發現有價值的漏洞不是一件容易的事情,即使你技術再好,也有很多偶然的成分;因此滲透者很糾結,知道了的全說出來,以后工作會越來越挑戰極限,畢竟這是商業;知道的不全說,對用戶似乎很不公平,也違背了信息安全人員的職業道德。另外,驗證的畢竟部分漏洞,未驗證的漏洞也不少,也許是時間上的不充裕,也可能是自己還沒有找到適合的方法,但這不等于別人就做不到,搞技術的人,心情上很復雜。
正確定位滲透服務的目標:
這項工作的好處是共知的,“養兵千日,用在一時。”保持安全機制的有效性,唯一的辦法就是經常性的“實彈演習”,滲透服務就是一種“實彈演習”。
面對各方面人員復雜的心情,關鍵是正確定位滲透性測試服務的具體目標,定位大家的角色。目標清晰了,責任清楚了,大家的顧慮就可以打消了。
滲透性測試是一種安全服務,不是黑客入侵的情景再現。
滲透服務的目標應該是部分驗證安全漏洞可以被利用的程度,利用這些漏洞能給用戶造成什么樣的損害。簡單地說,滲透服務是確認漏洞能給用戶帶來的損失有多大,從而可以評估修復這些漏洞的代價是否值得。
通過滲透服務,用戶的收益是多方面的:
1、對信息安全系統整體進行了一次“實戰演練”,在實戰中鍛煉安全維護團隊應變的能力;
2、系統評估了業務系統,在技術與運維方面的實際水平,管理者清楚了目前的防御體系可以抵御什么級別的入侵攻擊;
3、發現安全管理與系統防護中的漏洞,可以有針對性地進行加固與整改;
4、若定期地進行滲透服務,不僅可以逐步提高系統安全的防御能力,而且可以保持管理人員的警覺性,增強防范意識;
如何確定滲透服務的考核目標:
很多滲透測試服務(目前與安全評估服務一起提供的有很多)給用戶的報告就是一大堆的漏洞列表,告訴你要打補丁,買設備,以及一些很虛的安全管理建議。用戶往往對這些漏洞的威脅不了解,面對如此多數量的、稀奇古怪的漏洞根本不知所措。第一,因為怕影響業務運行,不能全部打上補丁,哪些必須打,哪些可以不打,總是一本糊涂賬;第二,即使打上補丁,心里也不踏實,漏斗就少了嗎?下次檢查又是同樣多的漏洞,好想補丁永遠也補不完。
其實發現漏洞只是服務的第一步,驗證哪些漏洞是可以被利用的,可以被利用到什么程度,才是滲透服務真正應該回答的,比如能獲取系統管理員權限,能篡改系統數據,能植入木馬等等,這樣用戶對漏洞的威脅就有切身的體會了。
滲透服務是模擬黑客入侵,但不是真正的入侵,作為商業服務,用戶如何確定滲透服務的考核目標呢?我們先來分析一下黑客攻擊的方式。
