藍盟IT外包聊聊“滲透測試”

2022-05-30|由 夏掰外包IT 發表于 科技

滲透測試是一種有目的性的、針對目標機構計算機系統安全的檢測評估方法。滲透測試可以發現系統的漏洞和安全機制方面的隱患,並以此進行滲透攻擊來取得目標計算機的控制權。透過滲透測試可以知道目標機構的計算機系統是否易於受到攻擊,現有的安全部署是否能妥善地抵禦攻擊,以及哪部分安全機制可能被繞過,等等。滲透測試的主要目的是改善目標機構的安全性。

如今,在商業領域到處都需要滲透測試。近年來,隨著網路和計算機犯罪現象的逐年遞增,滲透測試已成為網路安全研究的核心問題之一。應用滲透測試技術可以有效地避免來自企業內部和外部的威脅。企業應用滲透測試的必要性就在於它可以發現網路、系統或者應用程式的漏洞。此外,由於滲透測試是從攻擊者的角度出發,因而可以更好地發現企業的弱點和威脅。在發現系統中的各種潛在缺陷以後,滲透測試還要利用這些漏洞來評估系統存在的風險因素以及漏洞可能產生的影響。

藍盟IT外包聊聊“滲透測試”

不過,滲透測試能否成功很大程度上取決於滲透測試工程師對目標資訊的掌握情況。因此滲透測試工程師通常會採用黑盒測試和白盒測試兩種截然不同的方法進行工作。黑盒測試指的是滲透測試工程師在事先並沒有目標資訊的情況下開展的測試。因此滲透測試的第一步是系統地收集目標的資訊。而在進行白盒滲透測試時,滲透測試工程師事先掌握了足夠的目標資訊,可以直接驗證目標系統可能存在的安全漏洞。隨著時代的發展純白盒測試已經越來越少,逐漸演變出來了介於黑盒盒白盒測試之間的灰盒測試,它綜合了黑盒與白盒方法的優勢,並有效地避開了兩者各自的缺陷。灰盒方法透過涵蓋被測軟體的所有層面,以增加技術的覆蓋範圍。如果說黑盒測試人員需要確保介面和功能方面的正常;白盒測試人員透過深入研究軟體的內部結構,以修復原始碼級別的錯誤,那麼灰盒測試則是以非干擾的方式同時處理兩方面的測試。

而從滲透測試的目的進行劃分,又可分為以下五種模式:上線前的滲透測試、上線後定期線上安全測試、依託眾測平臺的安全眾測、自組織的安全眾測、紅藍攻防演練。

1。 上線前滲透測試:這應該是各種企業安全測試的標配了,一般都是資訊系統已經完成了聯調聯試,各項功能指標、技術指標已經達到設計要求後,在企業的測試環境中進行的一次滲透測試;

2。 上線後定期線上安全測試:因為上線前的滲透測試不能發現因上線過程中配置失誤導致的安全漏洞,所以,有些企業就會採用上線後定期線上安全測試的形式,比如,每季度、每個重大活動之前等;

3。 依託眾測平臺的安全眾測:2010 年成立的烏雲網,聚集了一批民間滲透測試高手,俗稱“白帽子”,後來發展成國內頗具影響力的漏洞平臺。2011 年,剛成立一年的烏雲網連續披露京東、支付寶、網易等著名網際網路企業存在高危漏洞,此後又接連指出支付寶 2500 萬用戶資料洩露、如家酒店開房資訊洩露、騰訊 7000 萬 QQ 群使用者資料洩露等一系列安全問題。據說,那時候企業安全人員每天起床的第一件事就是開啟烏雲平臺,看看有沒有自家的安全漏洞。烏雲網的興起讓人們看到了滲透測試領域的“人民戰爭”、“群眾路線”威力。其後,烏雲網因種種原因而停站,但是,其後卻興起了一批以專門提供眾測服務的安全廠商,比較典型的有漏洞盒子安全眾測平臺、360 補天安全眾測平臺、阿里先知安全眾測平臺、SOBUG 安全眾測平臺等;

4。 企業自組織的安全眾測:隨著眾測的發展,有些比較大的甲方廠商就開始有不同的思路。一是有些企業覺得與其到眾測平臺開眾測專案收集企業安全漏洞,還不如我自己直接接收白帽子的安全漏洞,於是,各大網際網路公司都開始建立各自的 SRC 安全應急響應中心,在其中提供專門的漏洞收集板塊,供白帽子提交漏洞,為白帽子提供積分、禮品、現金等獎勵。二是有些企業覺得眾測平臺較難管控安全風險,普通的滲透測試缺乏競爭機制,難以發現高階安全漏洞。於是這些企業就開始組織廠商眾測模式,選擇四五家安全廠商同時開展安全測試,然後按漏洞效果付費,漏洞等級高,付費就高,等級低,付費就低;

5。 紅藍攻防演練:考驗的是企業整體防護水平和防護體系,如全體人員安全意識、防護系統檢測發現能力、目標系統漏洞情況等,既考驗了防護系統的有效性,又全面檢查系統各類漏洞情況,還考驗人員的安全意識。因此,紅藍攻防演練一般是針對企業的全部資訊系統、分支機構,不設具體目標、不限具體手段,全面檢驗企業的主動防護、安全檢測、應急處置等能力,發現系統技術漏洞反而是副屬性的。

甲方企業在進行年度的安全滲透服務預算時,可以適當考慮多層次的安全滲透測試服務,以達到儘可能多地發現安全漏洞目的。首先,上線前滲透測試和上線後定期安全測試應該是企業安全滲透測試服務的標準選擇。有些企業可能害怕滲透測試影響業務執行,而只選擇上線前滲透測試。但是,殊不知有些系統上線過程中產生漏洞危害也是巨大的,更有甚者,有些系統上線前根本就沒有經過安全滲透測試或者階段變更沒有經過安全滲透測試,這些都會導致滲透測試在流程上、機制上存在覆蓋盲點。其次,安全眾測可以適當考慮投入預算,畢竟滲透測試領域的“人民戰爭”、“群眾路線”威力還是不可小覷的。預算少的中小企業可以在眾測平臺上開個眾測專案,預算多的大企業可以考慮建設自己的 SRC 服務,或者自己組織進行廠商眾測。

文/上海藍盟 IT外包專家

TAG: 測試滲透眾測安全漏洞