2023年06月03日
滲透測試是指安全專業人員在企業的許可下,對其網絡或數字化系統進行模擬攻擊并評估其安全性。然而,很多企業在準備開展滲透測試工作時,他們對滲透測試服務的理解和需求,往往與現實情況存在著很多偏差和誤區。因此,要做好滲透測試并不容易。研究人員認為,組織只要做好以下幾點,才能夠實現高質量的滲透測試,并產生積極的安全紅利,而不是浪費時間和資源。
01 準確認知滲透測試
對于一些企業的安全團隊而言,很難將滲透測試與漏洞測試、漏洞懸賞以及新興的BAS(入侵和攻擊模擬)技術區分開來。確實,這些安全技術和服務在很多方面都存在重疊,但它們也都有著自己的特點。
從本質上講,滲透測試是一個主要依靠安全專家或團隊以人工方式模仿攻擊者的真實攻擊行為,其目的是在數字化基礎設施的不同層級找到進入可以攻破目標網絡的最有效方法。漏洞測試,主要是為了在尋找軟件應用系統中的缺陷,并幫助組織了解如何解決它們。而漏洞懸賞計劃通常僅限于移動或web應用程序,可能與真正的入侵行為并不匹配。漏洞賞金獵人的目標只是盡快找到漏洞并提交報告以獲得獎勵,而不是深入調查問題與解決問題。
入侵和攻擊模擬(BAS)是一項新興的安全防護技術。它遵循“掃描、漏洞利用和不斷重復”的設計邏輯,依賴于自動化執行測試的工具,幾乎不需要安全人員的參與。BAS項目本質上是連續的,并且會隨著網絡的變化動態地產生測試結果。
總的來說,滲透測試相比其他類似的安全技術,具有兩個關鍵性特征:首先,它是由人類完成的,在很大程度上取決于人工進攻戰術;其次,它默認所有的數字化系統都會存在安全缺陷,需要全面的安全評估,并根據受到攻擊后的危害程度確定修復的優先級。
02 選擇專業的測試團隊
提供滲透測試服務的公司很多。這些公司都有各自的優勢和弱點,他們的技術也各有千秋,呈現測試結果的方式也有好有壞。企業有必要確保所選測試團隊的能力能夠滿足測試需要,在選擇時需要考慮以下因素:
背景和專業知識。企業可以通過已完成的項目來評價測試團隊的資質和專業能力,有很多滲透測試團隊在導引用戶需求上頗有心得,但他們執行測試計劃的專業技能卻遠遠不足。企業在選擇滲透測試團隊時,應將專業技術作為首要的考量因素;
完備的測試流程。企業要充分了解測試相關的數據將會如何傳輸、存儲以及將保留多長時間。此外,還要了解測試報告的詳細程度,以及它是否涵蓋了足夠的漏洞信息范圍。一份樣本報告可以讓企業更好地了解測試團隊的專業化程度。
測試工具包。企業要確保測試團隊能夠利用廣泛的跨平臺滲透測試軟件,包括網絡協議分析、密碼破解解決方案、漏洞掃描和取證分析工具等。
獎項和證書。企業還可以通過一些主流的第三方認證來進行選型分析和判斷。
03 選擇合適的測試方式
根據測試方法和目標的不同,滲透測試通常分為以下集中類型,企業組織應該根據自己的實際需求進行選擇。
外部滲透測試。滲透測試團隊將從一個遠程位置來評估目標網絡基礎設施,完全模擬真實網絡環境中的外部攻擊者,采用流行的攻擊技術與工具,有組織、有步驟地對目標組織進行逐步滲透與入侵,尋找目標網絡中已知或未知的安全漏洞,并評估這些漏洞的可利用性。
內部滲透測試。測試團隊可以了解到關于目標環境的所有內部與底層知識,因此可以用最小的代價發現和驗證系統中較嚴重的安全漏洞。內部測試主要針對心懷不滿的員工、懷有惡意的承包商或已突破企業網絡邊界的攻擊者。
盲測(blind test)。盲測模擬來自攻擊者端的“真實”攻擊。滲透測試人員不會獲得有關組織網絡或系統的任何信息,這迫使他們依賴公開可用的信息或依靠自身技能收集的信息。而企業大部分的IT和安全人員也并不知道正在進行滲透測試的事實,以確保測試過程中的真實性。
針對性測試。針對性測試也稱為“開燈測試”,指的是滲透測試人員和企業組織的安全人員在某些特定場景中進行模擬“對抗游戲”。針對性測試通常比其他選項需要更少的時間或精力,但不能提供有關系統安全態勢的完整視圖。
由于企業網絡安全人才的不足,企業組織往往缺乏能夠有效進行滲透測試的合格專家,因此需要定期使用外部滲透測試人員。當然在實際測試中,組織內部員工需要與外部測試團隊密切合作,并在測試過程中發揮自己的作用,這將拓展他們的安全視野,同時提高技能。
04 合理設置測試時間與頻率
安全滲透測試的持續時間通常從三周到一個月不等,具體取決于測試任務的規模和要求。即使企業的攻擊面相對較小,也可能需要花費額外的時間對潛在的攻擊入口進行發現和分析。理想情況下,企業組織應該在目標應用程序進行重大版本升級或更新,以及部署新的應用系統時進行滲透測試。實踐表明,很多長期持續的滲透測試工作往往是多余的,企業組織通常每年執行兩到三次這樣的安全測試與分析就足夠了。
05 重視編寫測試報告
在一次完整的滲透測試工作流程中,實際上有近一半時間都會用在如何編寫報告上。大量報告實踐表明,編寫一份高質量的滲透測試報告需要仔細的計劃、關注細節和充分的溝通。對于滲透測試工程師而言,不僅需要具備高超的滲透測試水平,同樣也需要把各種專業、深奧的安全技術問題描述得通俗易懂,讓非安全專業人士也可以理解。
滲透測試報告應該包含之前所有階段之中滲透測試團隊所獲取的關鍵情報信息、探測和發掘出的系統安全漏洞、成功滲透攻擊的過程,以及造成業務影響后果的攻擊途徑,同時還要站在防御者的角度上,幫助他們分析安全防御體系中的薄弱環節、存在的問題,以及修補技術方案。
結語
隨著網絡安全威脅的不斷擴展與升級, 滲透測試目前已經成為現代企業組織主動識別安全漏洞與潛在風險的關鍵過程。但不幸的是,仍然有很多組織并未認識到主動評估安全態勢的價值,而一些組織盡管開展了滲透測試工作,但主要目的也只是為了滿足合規要求。
不管企業開展滲透測試的目的是什么,只要測試結果能被用于做出有意義的改變,這項工作就是成功和有效的。滲透測試可以對組織的安全狀況提供有價值的見解,并突出那些需要盡快改進的領域。企業應該從測試的關鍵發現中吸取教訓,并采取適當的行動來加強組織的安全防御。這可能涉及為員工提供額外的網絡安全培訓和意識計劃,增強安全監控和事件響應能力。