天天看點

滲透性測試是一種特殊的資訊安全服務

  國内滲透服務開展不好的原因:

  1、技術性要求很高。滲透與實際的入侵是同樣的思路,需要滲透者有很強的逆向思維,有一定漏洞挖掘的能力,僅僅使用正常的入侵手段,面對安全意識較強的使用者,滲透效果會很不理想;用最新的“0day”資源去做滲透,成本又過高,同時,這種方法會給使用者帶來心理上的恐慌。要得到使用者的認可需要掌握好這個“度”,當然沒有深厚的技術功底,就隻能被擋在服務大門的外邊了;

  3、使用者上司的顧慮。用滲透的方式檢驗目前的安全防禦體系是否堅固,好比是“實戰演習”,顯然是有必要的。但是滲透畢竟是從自己不知道的地方進入到自己網絡的内部,對于滲透者的工作的可控性是有難度的,滲透者除了給自己最後彙報的,是否還知道了其他的什麼?孰輕孰重,上司肯定是有顧慮的;

  4、滲透者的糾結。滲透是為了驗證使用者防禦體系的缺陷,每次滲透服務後,把發現的漏洞通告給使用者,當然希望使用者堵上它,可是下一次來滲透的時候,又需要再發現新的漏洞,否則就無法滲透成功,而發現有價值的漏洞不是一件容易的事情,即使你技術再好,也有很多偶然的成分;是以滲透者很糾結,知道了的全說出來,以後工作會越來越挑戰極限,畢竟這是商業;知道的不全說,對使用者似乎很不公平,也違背了資訊安全人員的職業道德。另外,驗證的畢竟部分漏洞,未驗證的漏洞也不少,也許是時間上的不充裕,也可能是自己還沒有找到适合的方法,但這不等于别人就做不到,搞技術的人,心情上很複雜。

  正确定位滲透服務的目标:

  這項工作的好處是共知的,“養兵千日,用在一時。”保持安全機制的有效性,唯一的辦法就是經常性的“實彈演習”,滲透服務就是一種“實彈演習”。

  面對各方面人員複雜的心情,關鍵是正确定位滲透性測試服務的具體目标,定位大家的角色。目标清晰了,責任清楚了,大家的顧慮就可以打消了。

  滲透性測試是一種安全服務,不是黑客入侵的情景再現。

  滲透服務的目标應該是部分驗證安全漏洞可以被利用的程度,利用這些漏洞能給使用者造成什麼樣的損害。簡單地說,滲透服務是确認漏洞能給使用者帶來的損失有多大,進而可以評估修複這些漏洞的代價是否值得。

  通過滲透服務,使用者的收益是多方面的:

  1、對資訊安全系統整體進行了一次“實戰演練”,在實戰中鍛煉安全維護團隊應變的能力;

  2、系統評估了業務系統,在技術與運維方面的實際水準,管理者清楚了目前的防禦體系可以抵禦什麼級别的入侵攻擊;

  3、發現安全管理與系統防護中的漏洞,可以有針對性地進行加強與整改;

  4、若定期地進行滲透服務,不僅可以逐漸提高系統安全的防禦能力,而且可以保持管理人員的警覺性,增強防範意識;

  如何确定滲透服務的考核目标:

  很多滲透測試服務(目前與安全評估服務一起提供的有很多)給使用者的報告就是一大堆的漏洞清單,告訴你要打更新檔,買裝置,以及一些很虛的安全管理建議。使用者往往對這些漏洞的威脅不了解,面對如此多數量的、稀奇古怪的漏洞根本不知所措。第一,因為怕影響業務運作,不能全部打上更新檔,哪些必須打,哪些可以不打,總是一本糊塗賬;第二,即使打上更新檔,心裡也不踏實,漏鬥就少了嗎?下次檢查又是同樣多的漏洞,好想更新檔永遠也補不完。

  其實發現漏洞隻是服務的第一步,驗證哪些漏洞是可以被利用的,可以被利用到什麼程度,才是滲透服務真正應該回答的,比如能擷取系統管理者權限,能篡改系統資料,能植入木馬等等,這樣使用者對漏洞的威脅就有切身的體會了。

  滲透服務是模拟黑客入侵,但不是真正的入侵,作為商業服務,使用者如何确定滲透服務的考核目标呢?我們先來分析一下黑客攻擊的方式。

滲透性測試是一種特殊的資訊安全服務

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank"> 從入侵攻擊的流程,可以看出,入侵攻擊分為幾種目标類型:</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  1、正面攻擊:ddos攻擊無論是針對網絡入口的帶寬,還是針對服務的處理能力(也稱cc攻擊),表現形式都是正面攻擊,造成的損害,使用者一目了然。</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  2、隐蔽型入侵:進入的方式多種多樣,可以社會工程、垃圾郵件、緩衝區溢位、密碼猜解等,目的都是要悄悄進入到目标的内部,從進入目标後的行為可分為:</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  a)竊取特定目标資訊:直接收集目标資訊,如qq賬戶密碼、銀行卡密碼、特定的使用者檔案等,通過郵件、通路特定網站等方式發送回家後銷毀自己,消除痕迹;</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  b)控制“殭屍電腦”:隐蔽自己,建立後門通道,接受并執行遠端控制指令,可以遠端操作此計算機;</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  c)篡改特定目标資訊:直接對目标資訊修改為自己設定的,如資料庫的資料、系統特定檔案等,然後自毀,消除痕迹。此類入侵常常是為其他入侵方式做好準備;</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  d)特定任務:長期潛伏,把自己隐藏起來,等到條件成熟,實施動作,如邏輯炸彈、修改系統資訊等;</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  隐蔽型入侵中如何隐藏自己不被發現,或延長被發現的時間是很關鍵的,尤其是特定任務類型是作為apt攻擊的必要手段,隐藏自己與反複入侵都是必然的選擇,常用的技術如rootkit、程序注入、驅動鈎子等。入侵者一旦入侵成功,常常制造多個潛伏點,分别設定好觸發條件,互相監視,隻要不被全部發現,就可以死灰複燃,最終實作預定任務。</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  針對不同類型的入侵攻擊方式,滲透服務關注的重點顯然是不同的:</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  1、正面攻擊:滲透服務需要發現可以被正面攻擊的關鍵點,以及不同攻擊強度對業務所産生的影響;</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  2、隐蔽型入侵:滲透服務不僅要發現可能入侵的通道,即可被成功利用的漏洞,而且要驗證入侵後可能造成的損失,最後還要發現系統内是否已經存在的入侵。</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  有關正面攻擊的測試服務,目前需求見到的還不多,很多系統建設者是通過處理能力的理論計算得出的這一資料的。但是,作為提供公衆服務、雲計算等服務的企業,應該更為确切地了解自己系統内的薄弱點所在,以及它所能承受攻擊能力的限度,并實施實時監控。這好比建設的大壩可以抵禦多少年一遇的大洪水,建造的大樓可以抵禦幾級地震一樣。</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  在很多情況下,業務的突發性增長,與系統受到了cc攻擊,其沖擊效果是很相似的。</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  針對隐蔽型入侵,滲透性服務傳遞的成果有趣的,因為你是否有能力進入是一方面,你是否可以成功地竊取、成功的篡改是另外一個方面。在資訊安全方面,你進入了目标系統也隻是有了成功竊取與篡改的可能性而已,而後面的工作往往不是你成功利用了那個漏洞就可以解決的。</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  從上面對入侵攻擊結果的分析總,我們得出滲透服務的傳遞應該是具有“結果效應”的,即需要達到的最終目标:</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  ● 竊取到目标内的特定資訊</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  ● 修改了目标内的特定資訊</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  ● 建立了遠端控制目标的後門通道</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank">  ● 成功潛伏在目标内沒有被發現</a>

<a href="http://www.51testing.com/batch.download.php?aid=33470" target="_blank"></a>

====================================分割線================================

最新内容請見作者的github頁:http://qaseven.github.io/

繼續閱讀