本節書摘來自異步社群《高度安全環境下的進階滲透測試》一書中的第1章1.1節什麼是進階滲透測試,作者【英】lee allen,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。
第1章 計劃和界定一次成功的滲透測試
高度安全環境下的進階滲透測試
本章将介紹在對一個複雜和加強環境進行滲透測試時,該如何進行計劃和準備。本章将講解下述主題:
什麼是進階滲透測試;
如何成功地界定滲透測試目标;
滲透測試之前需要出現哪些情況;
設定你的測試範圍——凡事總有結束的時候;
制定執行計劃;
利用magictree進行精細管理;
使用magictree導出各種格式的測試結果;
使用dradis進行基于團隊的資料收集和資訊共享;
在dradis中建立可重用的模闆。
1.1 什麼是進階滲透測試
滲透測試能有效檢測你的資訊系統抵禦真實攻擊的狀況。由于滲透測試經常與漏洞評估混淆,是以,我們有必要向客戶詳細解釋這兩者之間的差別。
1.1.1 漏洞評估
漏洞評估需要在整個資訊系統中找到潛在的漏洞。由于很多工具能夠自動查找系統中潛在的漏洞,是以甚至一些沒有經驗的安全專業人員或管理者都能夠有效查找出資訊系統中存在的漏洞。受檢測範圍的影響,我們也有必要加入額外的人工測試。完全攻陷一個系統或者服務通常不在漏洞評估的範圍内,漏洞評估需要掃描資訊系統,然後評估是否存在漏洞。評估過程經常在系統授權或沒有授權的情況下進行。大多數漏洞管理和掃描的解決方案會提供給客戶一個包含解決安全問題政策的可執行報告,例如打上遺漏的安全更新檔,或者修改不安全的系統配置等。
1.1.2 滲透測試
滲透測試通過引入滲透攻擊而拓展了漏洞評估的作用。
相較于漏洞評估,執行滲透測試所産生的意料之外的拒絕服務攻擊或其他故障的風險要更高一些。在一定程度上,這種風險能夠通過設定适當的方案進行緩解,對測試過程中所用技術的深入了解也能有效避免此類風險。是以,滲透測試員有必要不斷更新和強化自己的技能。
滲透測試需要讓客戶能夠檢視部署了安全措施後是否和預期的效果一樣好,這是一件非常值得弄清楚的事情。滲透測試員應該能夠模拟出攻擊者将要實施的攻擊手段,并且能夠證明他們具備進入一個安全系統(目标)的能力。一個最成功的滲透測試應該能夠證明:除非得到合理的解決,否則滲透測試員發現的漏洞将導緻大量的經濟損失。想象一下,如果你能夠向世界上任何一個客戶證明,你可以輕而易舉地獲得他的最機密的資訊,那将具有怎樣的影響力!
滲透測試要求的技能水準遠高于漏洞分析。這就意味着一次滲透測試的價格要比漏洞分析高出很多。如果你還不能入侵被測試的網絡,那麼你需要保證該客戶系統在你的認知範圍内是一個安全的系統。如果你想晚上睡得安穩,我建議你通過上述的描述以及其他資訊來保證客戶的安全。
1.1.3 進階滲透測試
某些資訊系統環境相比其他環境更加安全,你可能會面對采用了以下技術手段的資訊系統:
有效的更新檔管理程式;
通過加強政策來管理系統配置;
多層的非軍事化區(dmz);
集中式的安全日志管理;
基于主機的安全防護控制;
網絡入侵檢測或防禦系統;
無線網絡入侵檢測或防禦系統;
web應用的網絡入侵檢測或防禦系統。
有效使用這些安全控制措施,顯著增加了滲透測試的難度級别。客戶應該完全信任這些安全機制和措施,相信它們能夠保證系統的完整性、機密性和可用性。他們也需要了解:有時候,一些系統誤配置或者設計不完善的it架構會導緻攻擊者能夠攻陷某個資訊系統。
請注意,在安全中沒有靈丹妙藥。作為滲透測試員,我們有責任從各個角度看待問題,使客戶認識到攻擊者能夠從各個方面攻擊,進而影響他們的業務。
進階滲透測試高于标準的滲透測試,因為其使用了最新的安全研究技術和可用的滲透攻擊方法。進階滲透的目标是,能夠證明系統和敏感資料是有保護措施的,甚至能夠避免有針對性的攻擊,既使無法做到這些,也需要給予客戶正确的指導來做出某些改變,以確定系統安全。
一次滲透測試是目前安全情況的一個快照,是以滲透測試應該建立在一個持續進行的基礎上。
很多攻擊方法并沒有好的解釋文檔,通常難以使用,需要具有實際經驗以確定高效地執行。在defcon19上,bruce“grymoire”barnett提供了一個精彩的演講“deceptive hacking”。在這個演講中,他讨論了黑客如何使用魔術師使用的很多類似技術。這與我堅定的信念完全一緻,滲透測試員也必須有創新思維,隻有通過汗水、努力、實踐并具有探索未知領域的意願,才能夠模仿一個野外的惡意黑客所進行的攻擊類型。通常情況下,你會成為一個滲透測試團隊中的一員,與其他人并肩作戰,你需要了解如何使用工具,以便讓你的滲透測試過程穩定和有效。這是目前滲透測試員面臨的又一挑戰。在一個局限的環境下工作是一件平常的事,因為你的測試範圍決定了你要在一個非常有限的時間内進行測試。
在某些環境下,公司可能使用不規範的方法保護他們的資料,這使你的工作變得更困難。在它們複雜的安全系統中彼此關聯的節點,實際上可能是它們的安全戰略中最薄弱的環節。
發現攻擊弱點的可能性很大程度取決于被測試環境的複雜性。