信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

從攻擊者的角度思考可以更快速了解企業(yè)在網(wǎng)絡(luò)防御方面的不足。網(wǎng)絡(luò)安全滲透測試工作的本質(zhì)就是扮演攻擊性黑客的角色，梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑，以便更好地修復(fù)或應(yīng)對風(fēng)險。定期開展?jié)B透測試對企業(yè)來說很寶貴，然而很多企業(yè)在準(zhǔn)備制定滲透測試計劃時，他們對滲透測試服務(wù)的理解和需求，往往與真實(shí)服務(wù)情況存在著很多偏差。本文梳理總結(jié)了企業(yè)在開展?jié)B透測試工作時普遍存在的認(rèn)知誤區(qū)，并就如何避免這些錯誤給出了建議。

誤區(qū)1

滲透測試總是主動發(fā)起的

開展?jié)B透測試的主要目的是搶在攻擊者之前發(fā)現(xiàn)系統(tǒng)的安全隱患和漏洞，因此滲透測試屬于一種主動式的安全技術(shù)。但就具體的滲透測試工作而言，有時也會是被動發(fā)起的，例如當(dāng)組織在調(diào)查網(wǎng)絡(luò)攻擊的原因時。在網(wǎng)絡(luò)安全事件調(diào)查中，組織可以通過滲透測試以深入了解攻擊的性質(zhì)，并全面掌握該事件是如何發(fā)生的，采用的技術(shù)的是什么，以及攻擊的動機(jī)是什么？因此，盡管大多數(shù)情況下，組織會主動執(zhí)行測試以幫助防止違規(guī)行為。但滲透測試工作并不都是主動發(fā)起的，取證分析期間的滲透測試同樣可以幫助企業(yè)了解發(fā)生了什么，從而幫助組織防止類似的事件再次發(fā)生。

誤區(qū)2

滲透測試就是漏洞掃描

由于滲透測試和漏洞掃描都是為了識別潛在的威脅途徑，因此很多人會將兩者混為一談。但實(shí)際上，漏洞掃描與管理主要包括識別和分類已知漏洞，生成需要注意的優(yōu)先漏洞列表，并推薦修復(fù)它們的方法。而安全威脅非常多樣，并不僅限于安全漏洞的利用。滲透測試側(cè)重于模擬攻擊者的行為，在服務(wù)完成后，測試人員需要生成一份詳細(xì)報告，說明測試過程中是如何破壞安全性以達(dá)到先前商定的目標(biāo)（例如破壞工資系統(tǒng)），并提供相應(yīng)的威脅緩解方案。

誤區(qū)3

滲透測試可以完全自動化

滲透測試自動化在理論上看起來不錯，但在具體實(shí)現(xiàn)中會存在很多問題。為了實(shí)現(xiàn)常態(tài)化、持續(xù)性的安全能力測試，許多企業(yè)開始大量使用自動化技術(shù)驅(qū)動的安全測試方法，但需要指出的是：目前的自動化測試模式大多屬于安全掃描，而非真正的滲透攻擊測試。不可否認(rèn)自動化測試的應(yīng)用價值，但真正的攻擊行為是和機(jī)器模擬入侵有很大差異的。經(jīng)驗、創(chuàng)造力和好奇心是滲透測試的核心，而這都是專業(yè)滲透人員獨(dú)有的。人工測試是大多數(shù)的滲透測試項目不可或缺的，這樣才能更好地從攻擊者視角發(fā)現(xiàn)問題。

誤區(qū)4

滲透測試意味著高成本

企業(yè)開展?jié)B透測試工作需要一定的人力、技術(shù)和資金資源投入。雖然這些資源可能不容易獲取，但它們在預(yù)防威脅方面具有的價值卻值得組織投入心血。因為與網(wǎng)絡(luò)攻擊造成的經(jīng)濟(jì)損失相比，投入到滲透測試的成本可以說是微不足道的。隨著數(shù)字化轉(zhuǎn)型的深入，各種數(shù)據(jù)資產(chǎn)對企業(yè)而言是無價的，一旦數(shù)據(jù)被非法泄露，組織的商譽(yù)會受到嚴(yán)重?fù)p害。而如果攻擊者的目標(biāo)是為了勒索錢財，他們索要的贖金數(shù)額通常也會遠(yuǎn)高于滲透測試的成本預(yù)算。

誤區(qū)5.

滲透測試應(yīng)該由外部人員執(zhí)行

關(guān)于滲透測試有一個長期存在的誤區(qū)是，外部人員執(zhí)行滲透測試會比內(nèi)部人員更有效，其原因是外部人員對企業(yè)的數(shù)字化系統(tǒng)并不熟悉，因此會更加客觀。雖然客觀性是滲透測試有效性的關(guān)鍵，但了解業(yè)務(wù)系統(tǒng)并不就意味著不客觀。

因此，滲透測試可由企業(yè)內(nèi)部員工、專業(yè)服務(wù)商或其他第三方機(jī)構(gòu)完成。滲透測試由標(biāo)準(zhǔn)程序和性能度量組成，只要測試者能夠嚴(yán)格遵循測試指導(dǎo)原則，測試結(jié)果就是有效的。對于企業(yè)而言，選擇的重點(diǎn)不應(yīng)該放在聘請外部或內(nèi)部測試者上，而是應(yīng)該放在尋找能夠出色完成工作的測試者上。

誤區(qū)6

滲透測試是階段性的工作

很多企業(yè)認(rèn)為，滲透測試只需要階段性開展就可以，因為一次測試的報告結(jié)果將會長期有效。在網(wǎng)絡(luò)空間千變?nèi)f化的發(fā)展態(tài)勢下，這種認(rèn)知將給企業(yè)帶來一定的安全風(fēng)險。由于網(wǎng)絡(luò)犯罪分子會不停地尋找系統(tǒng)中的漏洞，如果滲透測試間隔時間長，他們就有機(jī)會領(lǐng)先于企業(yè)發(fā)現(xiàn)可利用的新漏洞。傳統(tǒng)的滲透測試是按照固定的時間表進(jìn)行的，屬于定期評估的概念。持續(xù)滲透測試則是一個不斷掃描系統(tǒng)以發(fā)現(xiàn)漏洞的過程，會變得越來越重要。

誤區(qū)7

滲透測試僅用于發(fā)現(xiàn)技術(shù)缺陷

滲透測試的目的是發(fā)現(xiàn)組織安全防護(hù)體系中的不足。在測試中，測試方可以應(yīng)用包括社會工程方式在內(nèi)的多種方法。因此，在滲透測試之前，通常會確定是否需要專門評估某項技術(shù)的安全性。在實(shí)際應(yīng)用中，測試工程師可能會被授權(quán)做更多事情，例如掃描社交媒體以獲取可利用的信息，或嘗試通過電子郵件從用戶那里獲取敏感數(shù)據(jù)，甚至嘗試欺騙獲取用戶的賬號權(quán)限等。

誤區(qū)8

所有滲透測試都大同小異

從本質(zhì)上講，滲透測試是一個主要依靠安全專家或團(tuán)隊以人工方式模仿攻擊者的真實(shí)攻擊行為，其目的是在數(shù)字化基礎(chǔ)設(shè)施的不同層級找到進(jìn)入可以攻破目標(biāo)網(wǎng)絡(luò)的最有效方法。根據(jù)測試方法和目標(biāo)的不同，滲透測試通常分為外部測試、內(nèi)部測試、盲測、針對性測試等。

很多企業(yè)為了節(jié)省成本，往往會選擇收費(fèi)更便宜的測試提供商和測試方式，并認(rèn)為各種類型測試的結(jié)果會很相似，但事實(shí)并非如此。與大多數(shù)服務(wù)一樣，滲透測試的程度差異很大，既有覆蓋網(wǎng)絡(luò)所有區(qū)域的廣泛測試，也有針對網(wǎng)絡(luò)中少數(shù)區(qū)域的非廣泛測試。企業(yè)應(yīng)該根據(jù)實(shí)際需求，專注于尋找從測試中獲得的價值，而不是成本。

誤區(qū)9

良好的測試結(jié)果意味著沒有問題

從測試中獲得一個好的結(jié)果只是一個良好的開始，但組織不應(yīng)該沾沾自喜，這也不代表企業(yè)的網(wǎng)絡(luò)安全防護(hù)工作高枕無憂。只要組織的數(shù)字化系統(tǒng)還在運(yùn)行，它就時刻會面臨各種不斷出現(xiàn)的新威脅。良好的測試結(jié)果只是肯定了過去建設(shè)的成績，并激勵組織繼續(xù)重視在安全方面的投入。企業(yè)應(yīng)該持續(xù)性進(jìn)行滲透測試，以消除新出現(xiàn)的威脅，并確保系統(tǒng)沒有威脅。

誤區(qū)10.

滲透測試只適用于企業(yè)用戶

有一種觀念認(rèn)為滲透測試是面向企業(yè)用戶的，而不適用于個人用戶，這是一種廣泛的誤解。滲透測試的目的是保護(hù)數(shù)據(jù)，而并非只有企業(yè)才擁有敏感數(shù)據(jù)，現(xiàn)代社會的每個人都會有大量的隱私數(shù)據(jù)，比如銀行信息、信用卡詳細(xì)信息和醫(yī)療記錄等。攻擊者同樣會利用個人信息化應(yīng)用的漏洞來訪問并濫用數(shù)據(jù)。因此，我們每個人都應(yīng)該提高數(shù)據(jù)安全和隱私保護(hù)的防范意識，在有條件的情況下，通過滲透測試來檢驗各種數(shù)據(jù)的安全性和可靠性。