随着2023年實戰攻防演練的臨近,許多企事業機關已經進入了積極備戰期,對自身的資産暴露面和風險隐患進行排查,開展漏洞掃描和滲透測試成為備戰期的重點工作。
但如何安全可控的開展滲透測工作卻困擾着許多企事業機關的安全負責人。對于政企機關而言,滲透測試服務實施存在高風險,作為項目發起方如何對滲透測試服務進行監管,以保障測試安全?
安全廠商在實施滲透測試過程中,如何保障參測人員身份可信?如何評判參測人員的技術水準、全面了解他們的項目參與情況?在滲透測試服務過程中,一旦發生因人為因素而造成安全事故,如何快速響應,将危害将至最低,後續又該如何追責?如何保障在滲透測試中發現的安全隐患全部上交?這一系列問題,都被打上了問号。
恰逢不久前,業内頭部安全廠商啟明星辰集團旗下子品牌雲衆可信釋出了啟明星辰“雲衆可信滲透測試管控平台”。帶着這一系列問題,安全419采訪了啟明星辰雲衆可信産品經理吳紀軒,邀請他對目前行業滲透測試服務的現狀及雲衆可信滲透測試管控平台的相關實踐進行了觀點分享。
測試人員行為“黑箱” 已成為滲透測試中長期存在的痛點問題
吳紀軒介紹,随着網際網路安全風險與日劇增,安全問題複雜性日益加大。防火牆、入侵檢測等傳統網絡安全手段,雖然能夠實作對網絡異常行為的管理和監測,但是這些傳統裝置均不能對已授權的正常内部網絡通路行為進行監控。
在傳統的安全測試模式下,在實施滲透測試任務中或者事後,一旦發生安全事件,往往很難對安全事件原因進行定位、溯源和追責。測試人員行為管控和監管缺失,導緻測試人員行為“不可見、不可查、不可控、不可審計、不可溯源” 的問題,已成為目前行業中面臨的一大挑戰。
吳紀軒指出,在目前滲透測試服務市場中,雖然測試人員大都是來自于各大主流的安全服務廠商,但考慮到網絡安全領域的特殊性,往往測試人員之間的經曆過的項目經驗不同,導緻個體技術水準和素養存在一定的差距。在整個服務項目的過程中,個别人員“渾水摸魚”也并不少見。這就導緻了滲透測試服務的效果不及預期,與甲方期望不比對。
他認為,這一系列問題背後的根源是目前行業缺乏一套通用的行業标準,以至于使用者在采購安全服務時難以度量滲透測試服務的結果,以及最終能夠達到一個什麼樣的安全水準。
是以,随着線上安全測試需求的劇增,為了幫助企業使用者解決在安全管控中存在的管理不可見、不可控、人為風險高等問題,幫助使用者将滲透測試服務過程中的人員身份的風險、工具的風險、行為的風險等全部納入管控,啟明星辰“雲衆可信滲透測試管控平台”應運而生。
對人員身份、測試行為全面管控 保障全過程“可見、可控、可審計、可溯源”
作為業内頭部安全廠商,啟明星辰二十餘年來積累了大量的安全服務經驗,并将這些經驗逐漸規範化、流程化,以確定自身的安全人員能夠公開、透明的為使用者開展可信的安全服務。
在看到當下行業中在安全管控方面面臨的普遍性痛點後,啟明星辰雲衆可信将這一套打磨成熟的安全服務經驗精細化、标準化,最終打造出了專用于網絡安全滲透測試場景的“雲衆可信滲透測試管控平台”,幫助甲方使用者實作對滲透測試人員、滲透測試行為的集中管理、控制以及安全審計。
他進一步介紹到,該平台主要基于任務次元實作對滲透測試的全流程管控。在項目開始階段,通過建立任務和添加資産,實作對項目範圍的管控;在項目進行中,通過平台審計子產品的實時監控,確定測試人員作安全合規;在項目結束後,支援線上檢視和測試回看,為事後溯源驗證提供依據。
平台從滲透測試任務準備階段開始,即對滲透測試人員、滲透測試行為展開全面管控,提供完整的管控能力,通過多項能力的互聯互通,實作對滲透測試全流程 “可見、可控、可審計、可溯源”的安全審計管控,為安全測試工作的組織和管理提供強力保障。其中包括:
- 三大留痕能力:接入身份留痕、測試流量留痕、終端行為留痕。
- 三大接入能力:VPN安全接入、虛拟終端接入、實體終端接入。
- 三大告警能力:異常流量告警、違規行為告警、高危操作告警。
- 三大阻斷能力:異常流量阻斷、違規行為阻斷、高危操作阻斷。
- 兩大實時管理能力:終端實時操作錄屏管理、威脅流量實時管理。
- 兩大驗證溯源能力:終端曆史錄屏、曆史操作、曆史會話驗證,網絡全流量溯源驗證。
簡而言之,該平台在滲透測試項目接入階段,即要求所有測試人員通過平台安全接入到客戶現場,以保證測試過程中的安全可控,同時也對測試人員的全部操作以錄屏的方式進行記錄和留存。以保證使用者對測試過程全程可感覺,結果可預見。即使在項目結束後發生安全事件争議,也能夠使用平台留存資料進行全面複盤及時止損,保證事後溯源驗證過程有理有據。
舉例來看,在過往的滲透測試服務中,雖然測試人員難免會接觸到業務資料或敏感資料,但大多數甲方使用者希望能夠實作資料可見不可用,資料不帶出、不落地。而通過“雲衆可信滲透測試管控平台”就能夠輕易實作這一目标:
在使用滲透測試管控平台開展滲透測試服務的場景下,平台首先會對測試人員進行安全政策方面的限制,進而確定測試人員的操作合法合規,保證所有的操作可感覺和可預見。此外,測試人員在測試過程中可以使用測試終端接入平台,開展測試工作。測試結果也必須通過平台以實時線上送出,在平台的安全限制政策下,任何業務資料和敏感資料都無法下載下傳到測試終端,保證了測試人員與敏感資料之間的相對隔離。
吳紀軒介紹,作為一個滲透測試場景專用的安全管控平台,該平台最大限度避免了平台功能的備援性,并針對滲透測試、安全衆測和攻防演練三類場景去高效解決使用者的真實痛點,是以平台具備較強的場景化特點。為了更貼合使用者的實際需求,該平台還采用了可拆裝式的設計,能夠根據使用者需求和具體使用場景增減對應的功能子產品,最大程度確定使用者使用的便捷性和易用性。
此外,依托行業領先的流量檢測技術,啟明星辰“雲衆可信滲透測試管控平台”的流量檢測引擎具備強大的雙向流量檢測技術和會話跟蹤能力,同時預置安全研究團隊精心提煉并經市場長時間考驗的高品質攻擊特征庫,能夠精準識别和發現各種網絡攻擊行為,實時阻斷滲透測試服務過程中的攻擊事件。
探索打造可視化滲透測試服務行業标準 建構甲方與測試人員的信任的橋梁
在采訪最後,吳紀軒分享了對于如何在滲透測試服務過程中建立信任的看法。他表示,此前行業中的滲透測試服務就像是“蒙眼猜物”遊戲,雖然在遊戲開始前,遊戲裁判會明确告知大家遊戲道具的安全性,但當蒙上眼睛将手伸入那個黑箱中去觸摸時,不安感仍然會油然而生,而不安的來源就是人在面對未知事物時所産生恐懼心理。
将這一心理映射到滲透測試服務中,項目發起方在面對未知的人員、未知的操作時,即使安全廠商承諾不會産生風險,但面對這樣一個未知的黑箱,不安感仍然會産生并持續存在。正是因為甲方對整個滲透測試服務的過程不可感覺、不可預見,才導緻目前市場中出現了一些安全服務亂象。
他表示,啟明星辰雲衆可信希望持續将每一次安全服務的過程标準化、規範化和透明化,最終打造了一套适用于全行業的滲透測試服務行業标準,并持續向行業推廣自身的滲透測試服務标準和安全管控平台,真正建立起甲方與安全服務人員之間的信任橋梁。
#網絡安全#