渗透测试是一种有目的性的、针对目标机构计算机系统安全的检测评估方法。渗透测试可以发现系统的漏洞和安全机制方面的隐患,并以此进行渗透攻击来取得目标计算机的控制权。通过渗透测试可以知道目标机构的计算机系统是否易于受到攻击,现有的安全部署是否能妥善地抵御攻击,以及哪部分安全机制可能被绕过,等等。渗透测试的主要目的是改善目标机构的安全性。
如今,在商业领域到处都需要渗透测试。近年来,随着网络和计算机犯罪现象的逐年递增,渗透测试已成为网络安全研究的核心问题之一。应用渗透测试技术可以有效地避免来自企业内部和外部的威胁。企业应用渗透测试的必要性就在于它可以发现网络、系统或者应用程序的漏洞。此外,由于渗透测试是从攻击者的角度出发,因而可以更好地发现企业的弱点和威胁。在发现系统中的各种潜在缺陷以后,渗透测试还要利用这些漏洞来评估系统存在的风险因素以及漏洞可能产生的影响。
不过,渗透测试能否成功很大程度上取决于渗透测试工程师对目标信息的掌握情况。因此渗透测试工程师通常会采用黑盒测试和白盒测试两种截然不同的方法进行工作。黑盒测试指的是渗透测试工程师在事先并没有目标信息的情况下开展的测试。因此渗透测试的第一步是系统地收集目标的信息。而在进行白盒渗透测试时,渗透测试工程师事先掌握了足够的目标信息,可以直接验证目标系统可能存在的安全漏洞。随着时代的发展纯白盒测试已经越来越少,逐渐演变出来了介于黑盒盒白盒测试之间的灰盒测试,它综合了黑盒与白盒方法的优势,并有效地避开了两者各自的缺陷。灰盒方法通过涵盖被测软件的所有层面,以增加技术的覆盖范围。如果说黑盒测试人员需要确保界面和功能方面的正常;白盒测试人员通过深入研究软件的内部结构,以修复源代码级别的错误,那么灰盒测试则是以非干扰的方式同时处理两方面的测试。
而从渗透测试的目的进行划分,又可分为以下五种模式:上线前的渗透测试、上线后定期在线安全测试、依托众测平台的安全众测、自组织的安全众测、红蓝攻防演练。
1. 上线前渗透测试:这应该是各种企业安全测试的标配了,一般都是信息系统已经完成了联调联试,各项功能指标、技术指标已经达到设计要求后,在企业的测试环境中进行的一次渗透测试;
2. 上线后定期在线安全测试:因为上线前的渗透测试不能发现因上线过程中配置失误导致的安全漏洞,所以,有些企业就会采用上线后定期在线安全测试的形式,比如,每季度、每个重大活动之前等;
3. 依托众测平台的安全众测:2010 年成立的乌云网,聚集了一批民间渗透测试高手,俗称“白帽子”,后来发展成国内颇具影响力的漏洞平台。2011 年,刚成立一年的乌云网连续披露京东、支付宝、网易等著名互联网企业存在高危漏洞,此后又接连指出支付宝 2500 万用户资料泄露、如家酒店开房信息泄露、腾讯 7000 万 QQ 群用户数据泄露等一系列安全问题。据说,那时候企业安全人员每天起床的第一件事就是打开乌云平台,看看有没有自家的安全漏洞。乌云网的兴起让人们看到了渗透测试领域的“人民战争”、“群众路线”威力。其后,乌云网因种种原因而停站,但是,其后却兴起了一批以专门提供众测服务的安全厂商,比较典型的有漏洞盒子安全众测平台、360 补天安全众测平台、阿里先知安全众测平台、SOBUG 安全众测平台等;
4. 企业自组织的安全众测:随着众测的发展,有些比较大的甲方厂商就开始有不同的思路。一是有些企业觉得与其到众测平台开众测项目收集企业安全漏洞,还不如我自己直接接收白帽子的安全漏洞,于是,各大互联网公司都开始建立各自的 SRC 安全应急响应中心,在其中提供专门的漏洞收集板块,供白帽子提交漏洞,为白帽子提供积分、礼品、现金等奖励。二是有些企业觉得众测平台较难管控安全风险,普通的渗透测试缺乏竞争机制,难以发现高阶安全漏洞。于是这些企业就开始组织厂商众测模式,选择四五家安全厂商同时开展安全测试,然后按漏洞效果付费,漏洞等级高,付费就高,等级低,付费就低;
5. 红蓝攻防演练:考验的是企业整体防护水平和防护体系,如全体人员安全意识、防护系统检测发现能力、目标系统漏洞情况等,既考验了防护系统的有效性,又全面检查系统各类漏洞情况,还考验人员的安全意识。因此,红蓝攻防演练一般是针对企业的全部信息系统、分支机构,不设具体目标、不限具体手段,全面检验企业的主动防护、安全检测、应急处置等能力,发现系统技术漏洞反而是附属性的。
甲方企业在进行年度的安全渗透服务预算时,可以适当考虑多层次的安全渗透测试服务,以达到尽可能多的发现安全漏洞目的。首先,上线前渗透测试和上线后定期安全测试应该是企业安全渗透测试服务的标准选择。有些企业可能害怕渗透测试影响业务运行,而只选择上线前渗透测试。但是,殊不知有些系统上线过程中产生漏洞危害也是巨大的,更有甚者,有些系统上线前根本就没有经过安全渗透测试或者阶段变更没有经过安全渗透测试,这些都会导致渗透测试在流程上、机制上存在覆盖盲点。其次,安全众测可以适当考虑投入预算,毕竟渗透测试领域的“人民战争”、“群众路线”威力还是不可小觑的。预算少的中小企业可以在众测平台上开个众测项目,预算多的大企业可以考虑建设自己的 SRC 服务,或者自己组织进行厂商众测。
中文
电话咨询
微信咨询
公众号
