企業(yè)開展?jié)B透測(cè)試的5個(gè)要素
2023年06月03日
滲透測(cè)試是指安全專業(yè)人員在企業(yè)的許可下�,對(duì)其網(wǎng)絡(luò)或數(shù)字化系統(tǒng)進(jìn)行模擬攻擊并評(píng)估其安全性��。然而�����,很多企業(yè)在準(zhǔn)備開展?jié)B透測(cè)試工作時(shí)���,他們對(duì)滲透測(cè)試服務(wù)的理解和需求,往往與現(xiàn)實(shí)情況存在著很多偏差和誤區(qū)�����。因此����,要做好滲透測(cè)試并不容易。研究人員認(rèn)為��,組織只要做好以下幾點(diǎn)�,才能夠?qū)崿F(xiàn)高質(zhì)量的滲透測(cè)試�,并產(chǎn)生積極的安全紅利,而不是浪費(fèi)時(shí)間和資源��。
01 準(zhǔn)確認(rèn)知滲透測(cè)試
對(duì)于一些企業(yè)的安全團(tuán)隊(duì)而言�����,很難將滲透測(cè)試與漏洞測(cè)試、漏洞懸賞以及新興的BAS(入侵和攻擊模擬)技術(shù)區(qū)分開來�。確實(shí),這些安全技術(shù)和服務(wù)在很多方面都存在重疊�,但它們也都有著自己的特點(diǎn)。
從本質(zhì)上講�,滲透測(cè)試是一個(gè)主要依靠安全專家或團(tuán)隊(duì)以人工方式模仿攻擊者的真實(shí)攻擊行為,其目的是在數(shù)字化基礎(chǔ)設(shè)施的不同層級(jí)找到進(jìn)入可以攻破目標(biāo)網(wǎng)絡(luò)的最有效方法�。漏洞測(cè)試,主要是為了在尋找軟件應(yīng)用系統(tǒng)中的缺陷��,并幫助組織了解如何解決它們���。而漏洞懸賞計(jì)劃通常僅限于移動(dòng)或web應(yīng)用程序��,可能與真正的入侵行為并不匹配�。漏洞賞金獵人的目標(biāo)只是盡快找到漏洞并提交報(bào)告以獲得獎(jiǎng)勵(lì)���,而不是深入調(diào)查問題與解決問題�����。
入侵和攻擊模擬(BAS)是一項(xiàng)新興的安全防護(hù)技術(shù)�����。它遵循“掃描�、漏洞利用和不斷重復(fù)”的設(shè)計(jì)邏輯,依賴于自動(dòng)化執(zhí)行測(cè)試的工具����,幾乎不需要安全人員的參與。BAS項(xiàng)目本質(zhì)上是連續(xù)的�����,并且會(huì)隨著網(wǎng)絡(luò)的變化動(dòng)態(tài)地產(chǎn)生測(cè)試結(jié)果���。
總的來說��,滲透測(cè)試相比其他類似的安全技術(shù)�,具有兩個(gè)關(guān)鍵性特征:首先�����,它是由人類完成的�,在很大程度上取決于人工進(jìn)攻戰(zhàn)術(shù)��;其次,它默認(rèn)所有的數(shù)字化系統(tǒng)都會(huì)存在安全缺陷��,需要全面的安全評(píng)估��,并根據(jù)受到攻擊后的危害程度確定修復(fù)的優(yōu)先級(jí)��。
02 選擇專業(yè)的測(cè)試團(tuán)隊(duì)
提供滲透測(cè)試服務(wù)的公司很多���。這些公司都有各自的優(yōu)勢(shì)和弱點(diǎn)����,他們的技術(shù)也各有千秋����,呈現(xiàn)測(cè)試結(jié)果的方式也有好有壞。企業(yè)有必要確保所選測(cè)試團(tuán)隊(duì)的能力能夠滿足測(cè)試需要�����,在選擇時(shí)需要考慮以下因素:
背景和專業(yè)知識(shí)��。企業(yè)可以通過已完成的項(xiàng)目來評(píng)價(jià)測(cè)試團(tuán)隊(duì)的資質(zhì)和專業(yè)能力��,有很多滲透測(cè)試團(tuán)隊(duì)在導(dǎo)引用戶需求上頗有心得,但他們執(zhí)行測(cè)試計(jì)劃的專業(yè)技能卻遠(yuǎn)遠(yuǎn)不足�����。企業(yè)在選擇滲透測(cè)試團(tuán)隊(duì)時(shí)����,應(yīng)將專業(yè)技術(shù)作為首要的考量因素;
完備的測(cè)試流程�����。企業(yè)要充分了解測(cè)試相關(guān)的數(shù)據(jù)將會(huì)如何傳輸�、存儲(chǔ)以及將保留多長(zhǎng)時(shí)間。此外���,還要了解測(cè)試報(bào)告的詳細(xì)程度��,以及它是否涵蓋了足夠的漏洞信息范圍����。一份樣本報(bào)告可以讓企業(yè)更好地了解測(cè)試團(tuán)隊(duì)的專業(yè)化程度���。
測(cè)試工具包���。企業(yè)要確保測(cè)試團(tuán)隊(duì)能夠利用廣泛的跨平臺(tái)滲透測(cè)試軟件,包括網(wǎng)絡(luò)協(xié)議分析�、密碼破解解決方案、漏洞掃描和取證分析工具等����。
獎(jiǎng)項(xiàng)和證書。企業(yè)還可以通過一些主流的第三方認(rèn)證來進(jìn)行選型分析和判斷���。
根據(jù)測(cè)試方法和目標(biāo)的不同����,滲透測(cè)試通常分為以下集中類型��,企業(yè)組織應(yīng)該根據(jù)自己的實(shí)際需求進(jìn)行選擇����。
外部滲透測(cè)試。滲透測(cè)試團(tuán)隊(duì)將從一個(gè)遠(yuǎn)程位置來評(píng)估目標(biāo)網(wǎng)絡(luò)基礎(chǔ)設(shè)施���,完全模擬真實(shí)網(wǎng)絡(luò)環(huán)境中的外部攻擊者�����,采用流行的攻擊技術(shù)與工具��,有組織����、有步驟地對(duì)目標(biāo)組織進(jìn)行逐步滲透與入侵,尋找目標(biāo)網(wǎng)絡(luò)中已知或未知的安全漏洞�,并評(píng)估這些漏洞的可利用性。
內(nèi)部滲透測(cè)試�����。測(cè)試團(tuán)隊(duì)可以了解到關(guān)于目標(biāo)環(huán)境的所有內(nèi)部與底層知識(shí)����,因此可以用最小的代價(jià)發(fā)現(xiàn)和驗(yàn)證系統(tǒng)中較嚴(yán)重的安全漏洞。內(nèi)部測(cè)試主要針對(duì)心懷不滿的員工���、懷有惡意的承包商或已突破企業(yè)網(wǎng)絡(luò)邊界的攻擊者����。
盲測(cè)(blind test)��。盲測(cè)模擬來自攻擊者端的“真實(shí)”攻擊����。滲透測(cè)試人員不會(huì)獲得有關(guān)組織網(wǎng)絡(luò)或系統(tǒng)的任何信息�����,這迫使他們依賴公開可用的信息或依靠自身技能收集的信息��。而企業(yè)大部分的IT和安全人員也并不知道正在進(jìn)行滲透測(cè)試的事實(shí),以確保測(cè)試過程中的真實(shí)性�。
針對(duì)性測(cè)試。針對(duì)性測(cè)試也稱為“開燈測(cè)試”����,指的是滲透測(cè)試人員和企業(yè)組織的安全人員在某些特定場(chǎng)景中進(jìn)行模擬“對(duì)抗游戲”。針對(duì)性測(cè)試通常比其他選項(xiàng)需要更少的時(shí)間或精力�,但不能提供有關(guān)系統(tǒng)安全態(tài)勢(shì)的完整視圖。
由于企業(yè)網(wǎng)絡(luò)安全人才的不足�,企業(yè)組織往往缺乏能夠有效進(jìn)行滲透測(cè)試的合格專家,因此需要定期使用外部滲透測(cè)試人員�。當(dāng)然在實(shí)際測(cè)試中,組織內(nèi)部員工需要與外部測(cè)試團(tuán)隊(duì)密切合作����,并在測(cè)試過程中發(fā)揮自己的作用,這將拓展他們的安全視野����,同時(shí)提高技能�����。
04 合理設(shè)置測(cè)試時(shí)間與頻率
安全滲透測(cè)試的持續(xù)時(shí)間通常從三周到一個(gè)月不等��,具體取決于測(cè)試任務(wù)的規(guī)模和要求��。即使企業(yè)的攻擊面相對(duì)較小�,也可能需要花費(fèi)額外的時(shí)間對(duì)潛在的攻擊入口進(jìn)行發(fā)現(xiàn)和分析�。理想情況下,企業(yè)組織應(yīng)該在目標(biāo)應(yīng)用程序進(jìn)行重大版本升級(jí)或更新���,以及部署新的應(yīng)用系統(tǒng)時(shí)進(jìn)行滲透測(cè)試�。實(shí)踐表明�����,很多長(zhǎng)期持續(xù)的滲透測(cè)試工作往往是多余的���,企業(yè)組織通常每年執(zhí)行兩到三次這樣的安全測(cè)試與分析就足夠了�����。
在一次完整的滲透測(cè)試工作流程中�,實(shí)際上有近一半時(shí)間都會(huì)用在如何編寫報(bào)告上。大量報(bào)告實(shí)踐表明����,編寫一份高質(zhì)量的滲透測(cè)試報(bào)告需要仔細(xì)的計(jì)劃、關(guān)注細(xì)節(jié)和充分的溝通�����。對(duì)于滲透測(cè)試工程師而言��,不僅需要具備高超的滲透測(cè)試水平��,同樣也需要把各種專業(yè)����、深?yuàn)W的安全技術(shù)問題描述得通俗易懂��,讓非安全專業(yè)人士也可以理解����。
滲透測(cè)試報(bào)告應(yīng)該包含之前所有階段之中滲透測(cè)試團(tuán)隊(duì)所獲取的關(guān)鍵情報(bào)信息、探測(cè)和發(fā)掘出的系統(tǒng)安全漏洞��、成功滲透攻擊的過程,以及造成業(yè)務(wù)影響后果的攻擊途徑�����,同時(shí)還要站在防御者的角度上�,幫助他們分析安全防御體系中的薄弱環(huán)節(jié)、存在的問題��,以及修補(bǔ)技術(shù)方案�����。
隨著網(wǎng)絡(luò)安全威脅的不斷擴(kuò)展與升級(jí)���, 滲透測(cè)試目前已經(jīng)成為現(xiàn)代企業(yè)組織主動(dòng)識(shí)別安全漏洞與潛在風(fēng)險(xiǎn)的關(guān)鍵過程�。但不幸的是�����,仍然有很多組織并未認(rèn)識(shí)到主動(dòng)評(píng)估安全態(tài)勢(shì)的價(jià)值�,而一些組織盡管開展了滲透測(cè)試工作,但主要目的也只是為了滿足合規(guī)要求��。
不管企業(yè)開展?jié)B透測(cè)試的目的是什么,只要測(cè)試結(jié)果能被用于做出有意義的改變�,這項(xiàng)工作就是成功和有效的。滲透測(cè)試可以對(duì)組織的安全狀況提供有價(jià)值的見解����,并突出那些需要盡快改進(jìn)的領(lǐng)域。企業(yè)應(yīng)該從測(cè)試的關(guān)鍵發(fā)現(xiàn)中吸取教訓(xùn)�,并采取適當(dāng)?shù)男袆?dòng)來加強(qiáng)組織的安全防御。這可能涉及為員工提供額外的網(wǎng)絡(luò)安全培訓(xùn)和意識(shí)計(jì)劃�����,增強(qiáng)安全監(jiān)控和事件響應(yīng)能力��。
