行業(yè)動態(tài)

聊一聊安全測試的各種姿勢

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-01-02    瀏覽次數(shù):
 

信息來源:FreeBuf

今年以來,紅藍攻防演練在企業(yè)安全服務(wù)市場變得非?;馃?,特別是在演習(xí)行動推動下,很多企業(yè)都會在實際演習(xí)行動之前都會進行一兩輪、甚至三四輪的攻防演練,以提前發(fā)現(xiàn)企業(yè)安全體系建設(shè)中的短板與弱項。然而,有些企業(yè)就開始有點迷茫了,我們公司一直在購買滲透測試服務(wù),還有必要搞紅藍攻防演練嗎?滲透測試與紅藍攻防演練到底有何不同呢?在此,筆者就來聊聊滲透測試的各種姿勢,以方便大家在購買安全服務(wù)時進行比較。

一、滲透測試基本概念

根據(jù)百度百科的定義:滲透測試是為了證明網(wǎng)絡(luò)防御按照預(yù)期計劃正常運行而提供的一種機制。搜狐網(wǎng)某網(wǎng)友分享的定義:滲透測試就是在取得客戶授權(quán)的情況下,通過模擬黑客攻擊來對客戶的整個信息系統(tǒng)進行全面的漏洞查找、分析、利用,最后給出完整的滲透報告和問題解決方案。從這些定義看,滲透測試內(nèi)涵其實還是非常寬泛的,沒有限定具體的表現(xiàn)形式。因此,在具體實施過程中,甲方公司根據(jù)各自的企業(yè)情況(如風(fēng)險容忍程度、CTO/CSO個人喜好、預(yù)算投入、財務(wù)制度等)進行靈活的協(xié)商,形成了適應(yīng)企業(yè)實際情況的滲透測試模式,可以說,在一千個企業(yè)里,就存在著一千種滲透測試模式。

二、滲透測試的各種姿勢

不過,從筆者觀察來看,這些不同的滲透測試模式,大致可以分為以下五種:上線前的滲透測試、上線后定期在線安全測試、依托眾測平臺的安全眾測、自組織的安全眾測、紅藍攻防演練。

(一)上線前滲透測試

這應(yīng)該是各種企業(yè)安全測試的標(biāo)配了,一般都是信息系統(tǒng)已經(jīng)完成了聯(lián)調(diào)聯(lián)試,各項功能指標(biāo)、技術(shù)指標(biāo)已經(jīng)達到了設(shè)計要求之后,在企業(yè)的測試環(huán)境中進行的一次滲透測試。從某種意義說,上線前的滲透測試就是一個安全的Checklist,一般關(guān)注技術(shù)性漏洞,利用各種工具檢查系統(tǒng)存不存在xss、文件上傳、越權(quán)訪問、命令執(zhí)行等漏洞。滲透測試結(jié)果一般直接轉(zhuǎn)給業(yè)務(wù)系統(tǒng)開發(fā)人員,對企業(yè)內(nèi)其他人員的安全意識傳導(dǎo)作用比較薄弱。

1、目標(biāo)系統(tǒng):單個業(yè)務(wù)系統(tǒng)的測試環(huán)境系統(tǒng)

2、涉及人員:業(yè)務(wù)系統(tǒng)開發(fā)人員、組織測試的安全人員

3、風(fēng)險程度:最小,測試環(huán)境實施,不會影響業(yè)務(wù)。

4、發(fā)現(xiàn)問題的影響面:單個系統(tǒng)

5、乙方廠商組織形式:一般會采用購買人力包或項目包的方式實施,購買一至兩家安全廠商的服務(wù),在此推薦至少購買兩家,形成競爭格局。

6、局限性:難以實現(xiàn)測試面全覆蓋、不能發(fā)現(xiàn)因上線過程中配置失誤導(dǎo)致的安全漏洞。

(二)上線后定期在線安全測試

因為上線前的滲透測試不能發(fā)現(xiàn)因上線過程中配置失誤導(dǎo)致的安全漏洞,所以,有些企業(yè)就會采用上線后定期在線安全測試的形式,比如,每季度、每個重大活動之前等。根據(jù)實際情況,在線安全測試的目標(biāo)可以選擇專門針對某一系統(tǒng)或幾個系統(tǒng),也可以選擇全量的在線業(yè)務(wù)系統(tǒng)。安全測試不僅是從技術(shù)角度正面進攻檢測漏洞,還會通過端口掃描、資產(chǎn)發(fā)現(xiàn)、管理后臺掃描等手段,發(fā)現(xiàn)因配置失誤導(dǎo)致的安全漏洞。

1、目標(biāo)系統(tǒng):一個或多個生產(chǎn)環(huán)境系統(tǒng)

2、涉及人員:業(yè)務(wù)系統(tǒng)開發(fā)人員、業(yè)務(wù)系統(tǒng)運維人員、組織測試的安全人員、安全監(jiān)控人員

3、風(fēng)險程度:存在一定風(fēng)險,一是有些高危操作可能會給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險;二是有些滲透測試人員發(fā)現(xiàn)漏洞不報告,私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。

4、發(fā)現(xiàn)問題的影響面:單個系統(tǒng)

5、乙方廠商組織形式:一般會采用購買人力包或項目包的方式實施,購買一至兩家安全廠商的服務(wù),在此推薦至少購買兩家,形成競爭格局。

6、局限性:難以實現(xiàn)測試面全覆蓋。

(三)依托眾測平臺的安全眾測

2010年成立的烏云網(wǎng),聚集了一批民間滲透測試高手,俗稱“白帽子”,后來發(fā)展成為國內(nèi)頗具影響力的漏洞平臺。2011年,剛成立一年的烏云網(wǎng)連續(xù)披露京東、支付寶、網(wǎng)易等著名互聯(lián)網(wǎng)企業(yè)存在高危漏洞,此后又接連指出支付寶2500萬用戶資料泄露、如家酒店開房信息泄露、騰訊7000萬QQ群用戶數(shù)據(jù)泄露等一系列安全問題。據(jù)說,那時候企業(yè)安全人員每天起床的第一件事就是打開烏云平臺,看看有沒有自家的安全漏洞。烏云網(wǎng)的興起讓人們看到了滲透測試領(lǐng)域的“人民戰(zhàn)爭”、“群眾路線”威力。其后,烏云網(wǎng)因種種原因而停站,但是,其后卻興起了一批以專門提供眾測服務(wù)的安全廠商,比較典型的有360補天安全眾測平臺、阿里先知安全眾測平臺、漏洞盒子安全眾測平臺、SOBUG安全眾測平臺等。

隨著各企業(yè)互聯(lián)網(wǎng)應(yīng)用不斷增多,傳統(tǒng)的安全滲透測試也面臨著測試人手不足、產(chǎn)品版本更迭太快來不及測試等問題。甲方廠商發(fā)現(xiàn)無論是代碼安全測試、上線前滲透測試,還是上線后定期安全測試,都無法完全及時發(fā)現(xiàn)企業(yè)全量的安全漏洞,各類安全漏洞平臺還是會出現(xiàn)自己的安全漏洞。與其坐以待斃,還不如主動作為,于是乎,有些甲方廠商就開始與眾測平臺合作,通過協(xié)議委托眾測平臺發(fā)布專業(yè)測試項目,參與項目的白帽子需通過審核認(rèn)證后才能報名參與眾測項目,依托外部白帽子發(fā)現(xiàn)企業(yè)的安全漏洞。

1、目標(biāo)系統(tǒng):可以是一個或多個生產(chǎn)環(huán)境系統(tǒng),也可以是待發(fā)布的測試環(huán)境系統(tǒng)。

2、涉及人員:業(yè)務(wù)系統(tǒng)開發(fā)人員、業(yè)務(wù)系統(tǒng)運維人員、組織測試的安全人員、安全監(jiān)控人員

3、風(fēng)險程度:存在較高風(fēng)險,一是白帽子的管理較為松散,背景調(diào)查、身份核驗等難度較大。二是有些高危操作可能會給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險;三是有些滲透測試人員發(fā)現(xiàn)漏洞不報告,私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。

4、發(fā)現(xiàn)問題的影響面:單個系統(tǒng)

5、乙方廠商組織形式:選擇一家互聯(lián)網(wǎng)安全眾測平臺作為安全眾測服務(wù)商,由其組織白帽子參與項目眾測,在白帽子之間形成競爭機制。與眾測平臺簽訂項目制,可以在眾測平臺在線公開發(fā)布眾測項目,也可以依托眾測平臺通過線下組織眾測項目。

6、局限性:難以發(fā)現(xiàn)高階安全漏洞。

(四)企業(yè)自組織的安全眾測

隨著眾測的發(fā)展,有些比較大的甲方廠商就開始存在不同的思路了。一是有些企業(yè)覺得與其到眾測平臺開眾測項目收集企業(yè)安全漏洞,還不如我自己直接接收白帽子的安全漏洞,于是,各大互聯(lián)網(wǎng)公司都開始建立各自的SRC安全應(yīng)急響應(yīng)中心,在其中提供專門的漏洞收集板塊,供白帽子提交漏洞,為白帽子提供積分、禮品、現(xiàn)金等獎勵。二是有些企業(yè)覺得眾測平臺較難管控安全風(fēng)險,普通的滲透測試缺乏競爭機制,難以發(fā)現(xiàn)高階安全漏洞。于是這些企業(yè)就開始組織廠商眾測模式,選擇四五家安全廠商同時開展安全測試,然后按漏洞效果付費,漏洞等級高,付費就高,等級低,付費就低。

1、目標(biāo)系統(tǒng):一個或多個生產(chǎn)環(huán)境系統(tǒng)。

2、涉及人員:業(yè)務(wù)系統(tǒng)開發(fā)人員、業(yè)務(wù)系統(tǒng)運維人員、組織測試的安全人員、安全監(jiān)控人員

3、風(fēng)險程度:存在較高風(fēng)險,一是SRC模式中白帽子的管理較為松散,背景調(diào)查、身份核驗等難度較大。二是有些高危操作可能會給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險;三是有些滲透測試人員發(fā)現(xiàn)漏洞不報告,私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。

4、發(fā)現(xiàn)問題的影響面:廠商眾測可能會發(fā)現(xiàn)影響面較大的安全漏洞

5、乙方廠商組織形式:選擇多家(一般為2至5家)安全滲透測試公司,分別組織專業(yè)滲透人員參與項目眾測,按漏洞效果付費,在多家公司之間形成競爭機制,擇優(yōu)淘劣。

6、局限性:安全漏洞數(shù)量不可控,企業(yè)投入可能較大,乙方的服務(wù)不能持續(xù)實施,一般以項目制形式,預(yù)算花完就停止服務(wù)。

(五)紅藍攻防演練

以上說的滲透測試都相當(dāng)于單項打靶射擊考核,一次專項性的能力測驗,以發(fā)現(xiàn)技術(shù)漏洞的目的為主。而紅藍攻防演練考驗的是企業(yè)的整體防護水平和防護體系,如全體人員安全意識、防護系統(tǒng)檢測發(fā)現(xiàn)能力、目標(biāo)系統(tǒng)漏洞情況等,既考驗了防護系統(tǒng)的有效性,又全面檢查系統(tǒng)各類漏洞情況,還考驗人員的安全意識。

因此,紅藍攻防演練一般是針對企業(yè)的全部信息系統(tǒng)、分支機構(gòu),不設(shè)具體目標(biāo)、不限具體手段,全面檢驗企業(yè)的主動防護、安全檢測、應(yīng)急處置等能力,發(fā)現(xiàn)系統(tǒng)技術(shù)漏洞反而是附屬性的。在攻防演練過程中,一,攻擊者會利用社工、邊邊角角系統(tǒng)等進行迂回包抄,直到達到入侵系統(tǒng)的目的為止。任何一點疏漏都可能導(dǎo)致整體防護體系的潰敗。攻防演練考驗的是企業(yè)的總體防護水平。二,攻防演練不僅能發(fā)現(xiàn)技術(shù)性漏洞,還能發(fā)現(xiàn)企業(yè)安全管理上的漏洞、防護體系上的漏洞、防護策略上的漏洞等。三、攻防演練的對象企業(yè)全體資產(chǎn)、人員、數(shù)據(jù)等,因此,任何一個人、系統(tǒng)都可能成為企業(yè)安全防護體系中的短板。最后在演練總結(jié)通報中,加以總結(jié)提煉,傳達到企業(yè)全員,可以達到提升全員安全意識的目的。在集中攻防演練期間,企業(yè)安全人員作為防守方,充分參與攻防過程,可以有效提升防護人員的技術(shù)水平。

1、目標(biāo)系統(tǒng):企業(yè)全體資產(chǎn)、人員、數(shù)據(jù)、系統(tǒng)。

2、涉及人員:企業(yè)全體人員

3、風(fēng)險程度:存在較高風(fēng)險,一是有些高危操作可能會給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險;二是有些滲透測試人員發(fā)現(xiàn)漏洞不報告,私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。

4、發(fā)現(xiàn)問題的影響面:能夠全面發(fā)現(xiàn)企業(yè)安全體系的漏洞

5、乙方廠商組織形式:選擇多家(一般為2至5家)安全滲透測試公司,分別組織專業(yè)滲透人員參與紅藍攻防演練,按漏洞效果付費,在多家公司之間形成競爭機制,擇優(yōu)淘劣。

6、局限性:安全漏洞數(shù)量不可控,企業(yè)投入可能較大,乙方的服務(wù)不能持續(xù)實施,一般以項目制形式,預(yù)算花完就停止服務(wù)。

三、滲透測試服務(wù)的選購建議

綜上所述,甲方企業(yè)在進行年度的安全滲透服務(wù)預(yù)算時,可以適當(dāng)考慮多層次的安全滲透測試服務(wù),以達到盡可能多的發(fā)現(xiàn)安全漏洞目的。

首先,上線前滲透測試和上線后定期安全測試應(yīng)該是企業(yè)安全滲透測試服務(wù)的標(biāo)準(zhǔn)選擇。有些企業(yè)可能害怕滲透測試影響業(yè)務(wù)運行,而只選擇上線前滲透測試。但是,殊不知有些系統(tǒng)上線過程中產(chǎn)生漏洞危害也是巨大的,更有甚者,有些系統(tǒng)上線前根本就沒有經(jīng)過安全滲透測試或者階段變更沒有經(jīng)過安全滲透測試,這些都會導(dǎo)致滲透測試在流程上、機制上存在覆蓋盲點。

其次,安全眾測可以適當(dāng)考慮投入預(yù)算,畢竟?jié)B透測試領(lǐng)域的“人民戰(zhàn)爭”、“群眾路線”威力還是不可小覷的。預(yù)算少的中小企業(yè)可以在眾測平臺上開個眾測項目,預(yù)算多的大企業(yè)可以考慮建設(shè)自己的SRC服務(wù),或者自己組織進行廠商眾測。有些人認(rèn)為我們是很低調(diào)的公司,有沒有必要開個眾測項目來引起外部白帽子的注意力。在此,我想說的是,無論你低調(diào)不低調(diào),漏洞總在那里,不主動去發(fā)現(xiàn)它、修復(fù)它,它始終在那里,與其被動挨打,不如主動出擊。

最后,大企業(yè)在進行安全滲透測試服務(wù)預(yù)算規(guī)劃和年度計劃時,應(yīng)盡量能安排一些攻防演練經(jīng)費,紅藍攻防演練給企業(yè)安全建設(shè)帶來的好處只有親身經(jīng)歷才能體會其中真味。一是,每年固定一至倆個時間點(上、下半年各一次),發(fā)布攻防演練通告,集中開展攻防演練工作(集中時間點)。二、一般企業(yè)可組織外部安全團隊進行攻防演練,防護方由企業(yè)內(nèi)部人員擔(dān)當(dāng),攻擊者由外部企業(yè)組織。大廠一般都開始建立專門的安全滲透團隊,號稱企業(yè)藍軍,經(jīng)常性開展攻防演練工作。三、滲透測試可適當(dāng)形成奪標(biāo)獎勵機制,要以企業(yè)的攻擊成果論英雄、給經(jīng)費,不要讓外部企業(yè)感覺干多干少一個樣,有沒有效果一個樣。

 
 

上一篇:紐約特奧會被黑客入侵,引發(fā)釣魚攻擊

下一篇:2020年01月02日 聚銘安全速遞