瑞星專家詳談企業(yè)防黑滲透測試的必要性

隨著電子商務(wù)、電子政務(wù)的發(fā)展，越來越多的重點(diǎn)單位和企業(yè)在安全上投入了巨大的精力和資金，但有時(shí)候用戶會(huì)有這樣的感受：當(dāng)基本的軟硬件設(shè)施配置好之后，安全防衛(wèi)水平就到了一個(gè)相對(duì)的瓶頸，再加大投入并不能明顯提高安全水平。實(shí)際上，這種“安全玻璃天花板”在很多行業(yè)和企業(yè)中都存在，近期興起的“滲透測試”成為了解決這個(gè)問題的新角度之一。

滲透測試是一種全新的安全防護(hù)思路，將安全防護(hù)從被動(dòng)轉(zhuǎn)換成了主動(dòng)。正是因?yàn)榭吹搅诉@一點(diǎn)，很多重點(diǎn)行業(yè)的企業(yè)越來越多地通過獨(dú)立的第三方安全機(jī)構(gòu)來進(jìn)行“滲透測試”，以求更好的安全防護(hù)效果。

據(jù)瑞星安全專家介紹，早在二三十年前，滲透測試曾經(jīng)在整個(gè)安全界風(fēng)行一時(shí)，但在后來也遭到了一些批評(píng)。批評(píng)者認(rèn)為，花費(fèi)高額費(fèi)用來請(qǐng)外部安全機(jī)構(gòu)的性價(jià)比不高，而且滲透測試的效果難以準(zhǔn)確衡量，還會(huì)受到執(zhí)行團(tuán)隊(duì)的技術(shù)水平制約。因此，在看不到明顯效果的情況下，很多企業(yè)轉(zhuǎn)而尋求“看得見的安全保護(hù)”，大力部署軟硬件安全設(shè)備。伴隨著安全行業(yè)的發(fā)展和企業(yè)安全意識(shí)的提高，以滲透測試為代表的“安全服務(wù)”正在得到越來越多人的認(rèn)可。

圖1：不久前，暴雪公司宣布戰(zhàn)網(wǎng)內(nèi)部安全網(wǎng)絡(luò)被黑客攻破，建議用戶更改賬號(hào)密碼

什么是滲透測試

滲透測試是由專業(yè)安全公司模仿黑客，針對(duì)授權(quán)企業(yè)網(wǎng)絡(luò)進(jìn)行安全檢測的方法。這個(gè)檢測過程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析，這種分析是站在攻擊者角度進(jìn)行的主動(dòng)性探測，因此會(huì)發(fā)現(xiàn)使用傳統(tǒng)檢測方法無法發(fā)現(xiàn)的攻擊路徑、攻擊方法和技術(shù)弱點(diǎn)。

早在上世紀(jì)70年代，美國軍方就曾利用“滲透測試”發(fā)現(xiàn)了許多未知漏洞，甚至曾經(jīng)雇傭黑客對(duì)目標(biāo)鏡像進(jìn)行試探性攻擊，從而促使軟件編寫者構(gòu)建更強(qiáng)壯的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。后來，越來越多具有軍方背景的機(jī)構(gòu)開始使用這種方法，使得漏洞在暴露之前就被修復(fù)。

圖2：滲透測試基本流程

事實(shí)上，曾經(jīng)在國內(nèi)流行一時(shí)的“公開邀請(qǐng)黑客攻擊自己網(wǎng)站，攻擊成功可獲大獎(jiǎng)”的商業(yè)活動(dòng)，其最初的模仿來源就是滲透測試，只不過加入了更多的商業(yè)元素，與市場活動(dòng)結(jié)合有更好的推廣效果。

但值得注意的是，企業(yè)一般在部署了相對(duì)完善的軟硬件安全防護(hù)體系（包括企業(yè)版安全軟件、防火墻、入侵檢測設(shè)備等）之后，才需要進(jìn)行滲透測試。如果一個(gè)企業(yè)網(wǎng)絡(luò)缺乏基本的保護(hù)措施，那會(huì)大大增加滲透測試工程師不必要的工作量。

滲透測試的四大類

滲透測試的效果依賴于操作范圍，即測試主流的攻擊手段，目前可分為以下四大類：

1.?拒絕服務(wù)攻擊測試

拒絕服務(wù)測試指的是嘗試通過耗盡測試目標(biāo)的資源的方式來發(fā)現(xiàn)系統(tǒng)的特定弱點(diǎn)，這種方法會(huì)導(dǎo)致系統(tǒng)停止對(duì)合法請(qǐng)求的響應(yīng)。通俗的講，黑客可以控制幾千臺(tái)肉雞，使用這些肉雞向攻擊目標(biāo)發(fā)起大量連接請(qǐng)求，因?yàn)榫W(wǎng)站的帶寬和系統(tǒng)資源總是有限的，當(dāng)肉雞把這些資源都消耗掉之后，正常的用戶就無法正常使用了。

拒絕服務(wù)攻擊通過配置一定的軟硬件可以削弱和過濾，進(jìn)行拒絕服務(wù)攻擊測試，就是為了檢查所配置的軟硬件設(shè)備有沒有達(dá)到應(yīng)有的效果。如果沒有達(dá)到效果，可以通過繼續(xù)添加攻擊特征來加強(qiáng)過濾。

2.?應(yīng)用安全性測試

現(xiàn)代企業(yè)的核心業(yè)務(wù)越來越多地通過Web應(yīng)用實(shí)現(xiàn)，比如網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)、全球性公司的內(nèi)部業(yè)務(wù)系統(tǒng)、在線財(cái)務(wù)系統(tǒng)等，與網(wǎng)絡(luò)連通之后必然會(huì)帶來新的安全漏洞，使用防火墻和其他監(jiān)控系統(tǒng)只能提高安全等級(jí)，但并不能徹底杜絕網(wǎng)絡(luò)威脅。

應(yīng)用安全性測試的目標(biāo)是評(píng)估對(duì)應(yīng)用的控制和在應(yīng)用中流動(dòng)信息的安全性。評(píng)估的方面包括應(yīng)用是否使用加密方法來保護(hù)信息的保密性和完整性、用戶是如何驗(yàn)證的、Internet用戶會(huì)話與主機(jī)應(yīng)用的完整性，以及Cookie的使用等。

3.?無線網(wǎng)絡(luò)和移動(dòng)終端測試

隨著WIFI、3G等無線網(wǎng)絡(luò)在企業(yè)中應(yīng)用的逐漸增多，其帶來的安全風(fēng)險(xiǎn)也在與日俱增。因?yàn)閃IFI等協(xié)議在創(chuàng)建的時(shí)候，其使用環(huán)境的定義與現(xiàn)有應(yīng)用環(huán)境不同，導(dǎo)致其安全性標(biāo)準(zhǔn)達(dá)不到現(xiàn)有企業(yè)安全性的標(biāo)準(zhǔn)。但是，作為企業(yè)網(wǎng)絡(luò)的重要組成部分，很多企業(yè)業(yè)務(wù)需要構(gòu)建在無線網(wǎng)絡(luò)之上，比如很多企業(yè)在進(jìn)行支付、現(xiàn)場活動(dòng)等時(shí)候，需要通過3G進(jìn)行通信，這時(shí)，嚴(yán)格限制無線應(yīng)用顯然是不可接受的。

因此，在進(jìn)行滲透測試時(shí)，應(yīng)把無線網(wǎng)絡(luò)和企業(yè)員工使用的智能終端（iPad、智能手機(jī)等）列入到監(jiān)測范圍。一個(gè)不好笑的笑話是：“美國和以色列特工對(duì)伊朗核電站進(jìn)行了很多次攻擊，因?yàn)楹穗娬九c互聯(lián)網(wǎng)物理隔離，未達(dá)到攻擊效果，直到他們撿到了一個(gè)俄羅斯專家丟失的手機(jī)，連上了3G……”。

4.?社會(huì)工程學(xué)測試

社會(huì)工程學(xué)是個(gè)很時(shí)髦的詞，但實(shí)際上含義很簡單：通過欺騙和偽裝，獲取目標(biāo)對(duì)象的好感和信任，從而獲得想獲取的信息。例如，國內(nèi)有個(gè)公司是其他公司挖角的對(duì)象，但大家嘗試了種種辦法無法獲取內(nèi)部通訊錄。有一天，有人在這個(gè)公司樓下貼了個(gè)小廣告：小店開張全場八折，使用某公司的工卡購物，更能享受五折超低價(jià)……結(jié)果，你懂的。

進(jìn)行滲透測試需要注意的幾個(gè)問題

滲透測試一般由用戶企業(yè)發(fā)起，尋找有資質(zhì)的第三方安全機(jī)構(gòu)來進(jìn)行，在進(jìn)行中需要著重注意以下幾點(diǎn)：

A.?事先應(yīng)做好受測對(duì)象的監(jiān)測。用戶應(yīng)事先部署各種記錄工具，準(zhǔn)確了解模擬攻擊給系統(tǒng)帶來的異常狀態(tài)表現(xiàn)，比如記錄帶寬波動(dòng)、網(wǎng)絡(luò)內(nèi)應(yīng)用在攻擊狀態(tài)下的表現(xiàn)、攻擊利用的端口等，這些將給以后的防護(hù)提供寶貴經(jīng)驗(yàn)和資料。

B.?在進(jìn)行滲透測試時(shí)，應(yīng)最小限度地讓內(nèi)部人員知曉。這樣可以考驗(yàn)整個(gè)團(tuán)隊(duì)在異常狀態(tài)下的反映，同時(shí)也可以避免一些不太具備安全資質(zhì)的團(tuán)隊(duì)通過采用收買內(nèi)部人員、收買內(nèi)部信息的方式來完成測試。

C.?在測試前，雙方應(yīng)規(guī)定透露給測試團(tuán)隊(duì)的信息，比如受測試網(wǎng)站的域名、網(wǎng)址、機(jī)房配置等。理論上，應(yīng)該保證測試團(tuán)隊(duì)獲取的信息與黑客一致，不能透露過多的信息，否則就失去了滲透測試的意義。

D.?雙方簽訂嚴(yán)格的保密協(xié)議和相應(yīng)的文字資料，規(guī)定滲透測試可對(duì)網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)庫、網(wǎng)絡(luò)配置的影響限度。在進(jìn)行滲透測試時(shí)，有時(shí)候需要更改網(wǎng)絡(luò)配置、修改網(wǎng)絡(luò)的安全防護(hù)策略來達(dá)到進(jìn)一步測試的目的，但這種測試不能影響到網(wǎng)絡(luò)的正常運(yùn)行。

E.?為了進(jìn)行測試，企業(yè)可以為測試團(tuán)隊(duì)提供一些方便。比如某些只允許內(nèi)部IP訪問的網(wǎng)絡(luò)，為了進(jìn)行測試需要可以對(duì)測試團(tuán)隊(duì)開放，但這種開放首先不能超過必要的限度，其次，在進(jìn)行測試之后應(yīng)及時(shí)關(guān)閉，避免測試團(tuán)隊(duì)以外的黑客順手牽羊，帶來不必要的麻煩。

F.?如果是安全性較高的網(wǎng)絡(luò)不方便開放給測試團(tuán)隊(duì)，但又需要進(jìn)行測試的，可以根據(jù)測試對(duì)象的具體情況，搭建一個(gè)仿真鏡像來進(jìn)行測試，這樣可以最大限度地保證網(wǎng)絡(luò)的安全運(yùn)行，又能達(dá)到測試的效果。

測試報(bào)告及彌補(bǔ)措施

在滲透測試完成之后，執(zhí)行公司應(yīng)提供良好的測試報(bào)告。一份典型的測試報(bào)告包括：項(xiàng)目概述、測試結(jié)論、測試過程、測試過程中產(chǎn)生的數(shù)據(jù)證據(jù)和解決方案描述等，在整個(gè)報(bào)告中，解決方案是體現(xiàn)報(bào)告價(jià)值最重要的部分。

圖3：一份典型測試報(bào)告的目錄模版

因?yàn)闈B透測試包含了關(guān)系到安全風(fēng)險(xiǎn)的各個(gè)部分：軟件、硬件配置、網(wǎng)絡(luò)和服務(wù)器運(yùn)行維護(hù)等，因此解決方案同樣涉及到了龐雜的領(lǐng)域和系統(tǒng)，很多中小公司往往會(huì)專注于安全的某一塊，有的專注于web安全，有的專注于安全審計(jì)，還有的專注于漏洞掃描和滲透。在最理想的狀態(tài)下，一個(gè)專業(yè)的滲透測試團(tuán)隊(duì)?wèi)?yīng)包含了各個(gè)方向的人才，這樣才能保證最終解決方案的完整和整體高水平。

選擇滲透測試的執(zhí)行團(tuán)隊(duì)

作為一種高端安全服務(wù)，“滲透測試”的整個(gè)流程嚴(yán)重依賴執(zhí)行團(tuán)隊(duì)的經(jīng)驗(yàn)和專業(yè)能力。目前國內(nèi)安全行業(yè)魚龍混雜，有很多中小安全公司號(hào)稱可以進(jìn)行“滲透測試”，但其實(shí)并沒有專業(yè)的執(zhí)行團(tuán)隊(duì)和能力。

實(shí)際上，除了使用各種自動(dòng)化檢測工具之外，如何判別、收集、整理工具所產(chǎn)生的結(jié)果，尤其是滲透測試之后的安全方案制定，需要測試執(zhí)行團(tuán)隊(duì)擁有豐富的專業(yè)經(jīng)驗(yàn)、案例積累等專業(yè)技能，如此才能給用戶提供更好的服務(wù)。

以瑞星滲透測試服務(wù)為例，早在2010年，瑞星就與國家信息中心聯(lián)合成立了“國信—瑞星軟件安全評(píng)測實(shí)驗(yàn)室”，該實(shí)驗(yàn)室匯聚了雙方的資源和技術(shù)優(yōu)勢，為各級(jí)政府、企事業(yè)單位和社會(huì)各界提供專業(yè)化的安全檢測服務(wù)。

圖4：國信—瑞星軟件安全評(píng)測實(shí)驗(yàn)室

瑞星在安全行業(yè)擁有超過20年的專業(yè)經(jīng)驗(yàn)，一直專注于企業(yè)安全和個(gè)人安全，為用戶提供從殺毒軟件到高端企業(yè)安全設(shè)備的全系列產(chǎn)品，并提供相應(yīng)的各種專業(yè)級(jí)安全服務(wù)?！皾B透測試”就是針對(duì)國內(nèi)企業(yè)和重點(diǎn)單位提供的高級(jí)安全服務(wù)，目前已為中央政府、軍隊(duì)、各大央企進(jìn)行了近千次滲透測試服務(wù)，得到了廣大用戶的認(rèn)可和贊揚(yáng)。

作為國內(nèi)技術(shù)最強(qiáng)、安全資質(zhì)最高的專業(yè)安全公司，瑞星在滲透測試方面制訂了嚴(yán)格的流程和標(biāo)準(zhǔn)，在測試過程中堅(jiān)持透明化原則，用戶隨時(shí)可以觀察到測試的過程和動(dòng)作，并通過監(jiān)測軟件記錄下來操作數(shù)據(jù)。這樣一方面可以為以后的安全防護(hù)提供實(shí)際操作經(jīng)驗(yàn)，另一方面還可以最大限度地保證測試不會(huì)傷及核心應(yīng)用和數(shù)據(jù)。

相關(guān)文章:

• 假冒短鏈接網(wǎng)站大量推送垃圾廣告 瑞星提醒用戶多小心
• 蘋果設(shè)備信息泄露源自小企業(yè) 與FBI無關(guān)
• 瑞星綜述：上周(09.03-09.09)病毒與安全趨勢回顧
• 瑞星警示：不雅照成幌子16種病毒蜂擁而至
• 企業(yè)安全實(shí)施BYOD戰(zhàn)略的10個(gè)技巧
• 瑞星警示：李宗瑞艷照引發(fā)黑客攻擊潮 16種病毒蜂擁而至
• 瑞星綜述：上周(08.27-09.02)病毒與安全趨勢回顧
• 企業(yè)門戶網(wǎng)站安全如何“給力”
• 瑞星殺毒軟件V16再更新 37處優(yōu)化讓安全觸手可及
• 瑞星金九濃情回饋 3Bu曲