瑞星專家詳談企業(yè)防黑滲透測(cè)試的必要性
2012-09-14 14:12:18隨著電子商務(wù)、電子政務(wù)的發(fā)展,越來(lái)越多的重點(diǎn)單位和企業(yè)在安全上投入了巨大的精力和資金,但有時(shí)候用戶會(huì)有這樣的感受:當(dāng)基本的軟硬件設(shè)施配置好之后,安全防衛(wèi)水平就到了一個(gè)相對(duì)的瓶頸,再加大投入并不能明顯提高安全水平。實(shí)際上,這種“安全玻璃天花板”在很多行業(yè)和企業(yè)中都存在,近期興起的“滲透測(cè)試”成為了解決這個(gè)問題的新角度之一。
滲透測(cè)試是一種全新的安全防護(hù)思路,將安全防護(hù)從被動(dòng)轉(zhuǎn)換成了主動(dòng)。正是因?yàn)榭吹搅诉@一點(diǎn),很多重點(diǎn)行業(yè)的企業(yè)越來(lái)越多地通過獨(dú)立的第三方安全機(jī)構(gòu)來(lái)進(jìn)行“滲透測(cè)試”,以求更好的安全防護(hù)效果。
據(jù)瑞星安全專家介紹,早在二三十年前,滲透測(cè)試曾經(jīng)在整個(gè)安全界風(fēng)行一時(shí),但在后來(lái)也遭到了一些批評(píng)。批評(píng)者認(rèn)為,花費(fèi)高額費(fèi)用來(lái)請(qǐng)外部安全機(jī)構(gòu)的性價(jià)比不高,而且滲透測(cè)試的效果難以準(zhǔn)確衡量,還會(huì)受到執(zhí)行團(tuán)隊(duì)的技術(shù)水平制約。因此,在看不到明顯效果的情況下,很多企業(yè)轉(zhuǎn)而尋求“看得見的安全保護(hù)”,大力部署軟硬件安全設(shè)備。伴隨著安全行業(yè)的發(fā)展和企業(yè)安全意識(shí)的提高,以滲透測(cè)試為代表的“安全服務(wù)”正在得到越來(lái)越多人的認(rèn)可。
圖1:不久前,暴雪公司宣布戰(zhàn)網(wǎng)內(nèi)部安全網(wǎng)絡(luò)被黑客攻破,建議用戶更改賬號(hào)密碼
什么是滲透測(cè)試
滲透測(cè)試是由專業(yè)安全公司模仿黑客,針對(duì)授權(quán)企業(yè)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)的方法。這個(gè)檢測(cè)過程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析,這種分析是站在攻擊者角度進(jìn)行的主動(dòng)性探測(cè),因此會(huì)發(fā)現(xiàn)使用傳統(tǒng)檢測(cè)方法無(wú)法發(fā)現(xiàn)的攻擊路徑、攻擊方法和技術(shù)弱點(diǎn)。
早在上世紀(jì)70年代,美國(guó)軍方就曾利用“滲透測(cè)試”發(fā)現(xiàn)了許多未知漏洞,甚至曾經(jīng)雇傭黑客對(duì)目標(biāo)鏡像進(jìn)行試探性攻擊,從而促使軟件編寫者構(gòu)建更強(qiáng)壯的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。后來(lái),越來(lái)越多具有軍方背景的機(jī)構(gòu)開始使用這種方法,使得漏洞在暴露之前就被修復(fù)。
圖2:滲透測(cè)試基本流程
事實(shí)上,曾經(jīng)在國(guó)內(nèi)流行一時(shí)的“公開邀請(qǐng)黑客攻擊自己網(wǎng)站,攻擊成功可獲大獎(jiǎng)”的商業(yè)活動(dòng),其最初的模仿來(lái)源就是滲透測(cè)試,只不過加入了更多的商業(yè)元素,與市場(chǎng)活動(dòng)結(jié)合有更好的推廣效果。
但值得注意的是,企業(yè)一般在部署了相對(duì)完善的軟硬件安全防護(hù)體系(包括企業(yè)版安全軟件、防火墻、入侵檢測(cè)設(shè)備等)之后,才需要進(jìn)行滲透測(cè)試。如果一個(gè)企業(yè)網(wǎng)絡(luò)缺乏基本的保護(hù)措施,那會(huì)大大增加滲透測(cè)試工程師不必要的工作量。
滲透測(cè)試的四大類
滲透測(cè)試的效果依賴于操作范圍,即測(cè)試主流的攻擊手段,目前可分為以下四大類:
1.?拒絕服務(wù)攻擊測(cè)試
拒絕服務(wù)測(cè)試指的是嘗試通過耗盡測(cè)試目標(biāo)的資源的方式來(lái)發(fā)現(xiàn)系統(tǒng)的特定弱點(diǎn),這種方法會(huì)導(dǎo)致系統(tǒng)停止對(duì)合法請(qǐng)求的響應(yīng)。通俗的講,黑客可以控制幾千臺(tái)肉雞,使用這些肉雞向攻擊目標(biāo)發(fā)起大量連接請(qǐng)求,因?yàn)榫W(wǎng)站的帶寬和系統(tǒng)資源總是有限的,當(dāng)肉雞把這些資源都消耗掉之后,正常的用戶就無(wú)法正常使用了。
拒絕服務(wù)攻擊通過配置一定的軟硬件可以削弱和過濾,進(jìn)行拒絕服務(wù)攻擊測(cè)試,就是為了檢查所配置的軟硬件設(shè)備有沒有達(dá)到應(yīng)有的效果。如果沒有達(dá)到效果,可以通過繼續(xù)添加攻擊特征來(lái)加強(qiáng)過濾。
2.?應(yīng)用安全性測(cè)試
現(xiàn)代企業(yè)的核心業(yè)務(wù)越來(lái)越多地通過Web應(yīng)用實(shí)現(xiàn),比如網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)、全球性公司的內(nèi)部業(yè)務(wù)系統(tǒng)、在線財(cái)務(wù)系統(tǒng)等,與網(wǎng)絡(luò)連通之后必然會(huì)帶來(lái)新的安全漏洞,使用防火墻和其他監(jiān)控系統(tǒng)只能提高安全等級(jí),但并不能徹底杜絕網(wǎng)絡(luò)威脅。
應(yīng)用安全性測(cè)試的目標(biāo)是評(píng)估對(duì)應(yīng)用的控制和在應(yīng)用中流動(dòng)信息的安全性。評(píng)估的方面包括應(yīng)用是否使用加密方法來(lái)保護(hù)信息的保密性和完整性、用戶是如何驗(yàn)證的、Internet用戶會(huì)話與主機(jī)應(yīng)用的完整性,以及Cookie的使用等。
3.?無(wú)線網(wǎng)絡(luò)和移動(dòng)終端測(cè)試
隨著WIFI、3G等無(wú)線網(wǎng)絡(luò)在企業(yè)中應(yīng)用的逐漸增多,其帶來(lái)的安全風(fēng)險(xiǎn)也在與日俱增。因?yàn)閃IFI等協(xié)議在創(chuàng)建的時(shí)候,其使用環(huán)境的定義與現(xiàn)有應(yīng)用環(huán)境不同,導(dǎo)致其安全性標(biāo)準(zhǔn)達(dá)不到現(xiàn)有企業(yè)安全性的標(biāo)準(zhǔn)。但是,作為企業(yè)網(wǎng)絡(luò)的重要組成部分,很多企業(yè)業(yè)務(wù)需要構(gòu)建在無(wú)線網(wǎng)絡(luò)之上,比如很多企業(yè)在進(jìn)行支付、現(xiàn)場(chǎng)活動(dòng)等時(shí)候,需要通過3G進(jìn)行通信,這時(shí),嚴(yán)格限制無(wú)線應(yīng)用顯然是不可接受的。
因此,在進(jìn)行滲透測(cè)試時(shí),應(yīng)把無(wú)線網(wǎng)絡(luò)和企業(yè)員工使用的智能終端(iPad、智能手機(jī)等)列入到監(jiān)測(cè)范圍。一個(gè)不好笑的笑話是:“美國(guó)和以色列特工對(duì)伊朗核電站進(jìn)行了很多次攻擊,因?yàn)楹穗娬九c互聯(lián)網(wǎng)物理隔離,未達(dá)到攻擊效果,直到他們撿到了一個(gè)俄羅斯專家丟失的手機(jī),連上了3G……”。
4.?社會(huì)工程學(xué)測(cè)試
社會(huì)工程學(xué)是個(gè)很時(shí)髦的詞,但實(shí)際上含義很簡(jiǎn)單:通過欺騙和偽裝,獲取目標(biāo)對(duì)象的好感和信任,從而獲得想獲取的信息。例如,國(guó)內(nèi)有個(gè)公司是其他公司挖角的對(duì)象,但大家嘗試了種種辦法無(wú)法獲取內(nèi)部通訊錄。有一天,有人在這個(gè)公司樓下貼了個(gè)小廣告:小店開張全場(chǎng)八折,使用某公司的工卡購(gòu)物,更能享受五折超低價(jià)……結(jié)果,你懂的。
進(jìn)行滲透測(cè)試需要注意的幾個(gè)問題
滲透測(cè)試一般由用戶企業(yè)發(fā)起,尋找有資質(zhì)的第三方安全機(jī)構(gòu)來(lái)進(jìn)行,在進(jìn)行中需要著重注意以下幾點(diǎn):
A.?事先應(yīng)做好受測(cè)對(duì)象的監(jiān)測(cè)。用戶應(yīng)事先部署各種記錄工具,準(zhǔn)確了解模擬攻擊給系統(tǒng)帶來(lái)的異常狀態(tài)表現(xiàn),比如記錄帶寬波動(dòng)、網(wǎng)絡(luò)內(nèi)應(yīng)用在攻擊狀態(tài)下的表現(xiàn)、攻擊利用的端口等,這些將給以后的防護(hù)提供寶貴經(jīng)驗(yàn)和資料。
B.?在進(jìn)行滲透測(cè)試時(shí),應(yīng)最小限度地讓內(nèi)部人員知曉。這樣可以考驗(yàn)整個(gè)團(tuán)隊(duì)在異常狀態(tài)下的反映,同時(shí)也可以避免一些不太具備安全資質(zhì)的團(tuán)隊(duì)通過采用收買內(nèi)部人員、收買內(nèi)部信息的方式來(lái)完成測(cè)試。
C.?在測(cè)試前,雙方應(yīng)規(guī)定透露給測(cè)試團(tuán)隊(duì)的信息,比如受測(cè)試網(wǎng)站的域名、網(wǎng)址、機(jī)房配置等。理論上,應(yīng)該保證測(cè)試團(tuán)隊(duì)獲取的信息與黑客一致,不能透露過多的信息,否則就失去了滲透測(cè)試的意義。
D.?雙方簽訂嚴(yán)格的保密協(xié)議和相應(yīng)的文字資料,規(guī)定滲透測(cè)試可對(duì)網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)配置的影響限度。在進(jìn)行滲透測(cè)試時(shí),有時(shí)候需要更改網(wǎng)絡(luò)配置、修改網(wǎng)絡(luò)的安全防護(hù)策略來(lái)達(dá)到進(jìn)一步測(cè)試的目的,但這種測(cè)試不能影響到網(wǎng)絡(luò)的正常運(yùn)行。
E.?為了進(jìn)行測(cè)試,企業(yè)可以為測(cè)試團(tuán)隊(duì)提供一些方便。比如某些只允許內(nèi)部IP訪問的網(wǎng)絡(luò),為了進(jìn)行測(cè)試需要可以對(duì)測(cè)試團(tuán)隊(duì)開放,但這種開放首先不能超過必要的限度,其次,在進(jìn)行測(cè)試之后應(yīng)及時(shí)關(guān)閉,避免測(cè)試團(tuán)隊(duì)以外的黑客順手牽羊,帶來(lái)不必要的麻煩。
F.?如果是安全性較高的網(wǎng)絡(luò)不方便開放給測(cè)試團(tuán)隊(duì),但又需要進(jìn)行測(cè)試的,可以根據(jù)測(cè)試對(duì)象的具體情況,搭建一個(gè)仿真鏡像來(lái)進(jìn)行測(cè)試,這樣可以最大限度地保證網(wǎng)絡(luò)的安全運(yùn)行,又能達(dá)到測(cè)試的效果。
測(cè)試報(bào)告及彌補(bǔ)措施
在滲透測(cè)試完成之后,執(zhí)行公司應(yīng)提供良好的測(cè)試報(bào)告。一份典型的測(cè)試報(bào)告包括:項(xiàng)目概述、測(cè)試結(jié)論、測(cè)試過程、測(cè)試過程中產(chǎn)生的數(shù)據(jù)證據(jù)和解決方案描述等,在整個(gè)報(bào)告中,解決方案是體現(xiàn)報(bào)告價(jià)值最重要的部分。
圖3:一份典型測(cè)試報(bào)告的目錄模版
因?yàn)闈B透測(cè)試包含了關(guān)系到安全風(fēng)險(xiǎn)的各個(gè)部分:軟件、硬件配置、網(wǎng)絡(luò)和服務(wù)器運(yùn)行維護(hù)等,因此解決方案同樣涉及到了龐雜的領(lǐng)域和系統(tǒng),很多中小公司往往會(huì)專注于安全的某一塊,有的專注于web安全,有的專注于安全審計(jì),還有的專注于漏洞掃描和滲透。在最理想的狀態(tài)下,一個(gè)專業(yè)的滲透測(cè)試團(tuán)隊(duì)?wèi)?yīng)包含了各個(gè)方向的人才,這樣才能保證最終解決方案的完整和整體高水平。
選擇滲透測(cè)試的執(zhí)行團(tuán)隊(duì)
作為一種高端安全服務(wù),“滲透測(cè)試”的整個(gè)流程嚴(yán)重依賴執(zhí)行團(tuán)隊(duì)的經(jīng)驗(yàn)和專業(yè)能力。目前國(guó)內(nèi)安全行業(yè)魚龍混雜,有很多中小安全公司號(hào)稱可以進(jìn)行“滲透測(cè)試”,但其實(shí)并沒有專業(yè)的執(zhí)行團(tuán)隊(duì)和能力。
實(shí)際上,除了使用各種自動(dòng)化檢測(cè)工具之外,如何判別、收集、整理工具所產(chǎn)生的結(jié)果,尤其是滲透測(cè)試之后的安全方案制定,需要測(cè)試執(zhí)行團(tuán)隊(duì)擁有豐富的專業(yè)經(jīng)驗(yàn)、案例積累等專業(yè)技能,如此才能給用戶提供更好的服務(wù)。
以瑞星滲透測(cè)試服務(wù)為例,早在2010年,瑞星就與國(guó)家信息中心聯(lián)合成立了“國(guó)信—瑞星軟件安全評(píng)測(cè)實(shí)驗(yàn)室”,該實(shí)驗(yàn)室匯聚了雙方的資源和技術(shù)優(yōu)勢(shì),為各級(jí)政府、企事業(yè)單位和社會(huì)各界提供專業(yè)化的安全檢測(cè)服務(wù)。
圖4:國(guó)信—瑞星軟件安全評(píng)測(cè)實(shí)驗(yàn)室
瑞星在安全行業(yè)擁有超過20年的專業(yè)經(jīng)驗(yàn),一直專注于企業(yè)安全和個(gè)人安全,為用戶提供從殺毒軟件到高端企業(yè)安全設(shè)備的全系列產(chǎn)品,并提供相應(yīng)的各種專業(yè)級(jí)安全服務(wù)。“滲透測(cè)試”就是針對(duì)國(guó)內(nèi)企業(yè)和重點(diǎn)單位提供的高級(jí)安全服務(wù),目前已為中央政府、軍隊(duì)、各大央企進(jìn)行了近千次滲透測(cè)試服務(wù),得到了廣大用戶的認(rèn)可和贊揚(yáng)。
作為國(guó)內(nèi)技術(shù)最強(qiáng)、安全資質(zhì)最高的專業(yè)安全公司,瑞星在滲透測(cè)試方面制訂了嚴(yán)格的流程和標(biāo)準(zhǔn),在測(cè)試過程中堅(jiān)持透明化原則,用戶隨時(shí)可以觀察到測(cè)試的過程和動(dòng)作,并通過監(jiān)測(cè)軟件記錄下來(lái)操作數(shù)據(jù)。這樣一方面可以為以后的安全防護(hù)提供實(shí)際操作經(jīng)驗(yàn),另一方面還可以最大限度地保證測(cè)試不會(huì)傷及核心應(yīng)用和數(shù)據(jù)。
