聊一聊安全測試的各種姿勢 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2020-01-02 瀏覽次數(shù): |
信息來源:FreeBuf 今年以來,紅藍(lán)攻防演練在企業(yè)安全服務(wù)市場變得非?;馃幔貏e是在演習(xí)行動(dòng)推動(dòng)下,很多企業(yè)都會(huì)在實(shí)際演習(xí)行動(dòng)之前都會(huì)進(jìn)行一兩輪、甚至三四輪的攻防演練,以提前發(fā)現(xiàn)企業(yè)安全體系建設(shè)中的短板與弱項(xiàng)。然而,有些企業(yè)就開始有點(diǎn)迷茫了,我們公司一直在購買滲透測試服務(wù),還有必要搞紅藍(lán)攻防演練嗎?滲透測試與紅藍(lán)攻防演練到底有何不同呢?在此,筆者就來聊聊滲透測試的各種姿勢,以方便大家在購買安全服務(wù)時(shí)進(jìn)行比較。 一、滲透測試基本概念 根據(jù)百度百科的定義:滲透測試是為了證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制。搜狐網(wǎng)某網(wǎng)友分享的定義:滲透測試就是在取得客戶授權(quán)的情況下,通過模擬黑客攻擊來對(duì)客戶的整個(gè)信息系統(tǒng)進(jìn)行全面的漏洞查找、分析、利用,最后給出完整的滲透報(bào)告和問題解決方案。從這些定義看,滲透測試內(nèi)涵其實(shí)還是非常寬泛的,沒有限定具體的表現(xiàn)形式。因此,在具體實(shí)施過程中,甲方公司根據(jù)各自的企業(yè)情況(如風(fēng)險(xiǎn)容忍程度、CTO/CSO個(gè)人喜好、預(yù)算投入、財(cái)務(wù)制度等)進(jìn)行靈活的協(xié)商,形成了適應(yīng)企業(yè)實(shí)際情況的滲透測試模式,可以說,在一千個(gè)企業(yè)里,就存在著一千種滲透測試模式。 二、滲透測試的各種姿勢 不過,從筆者觀察來看,這些不同的滲透測試模式,大致可以分為以下五種:上線前的滲透測試、上線后定期在線安全測試、依托眾測平臺(tái)的安全眾測、自組織的安全眾測、紅藍(lán)攻防演練。 (一)上線前滲透測試 這應(yīng)該是各種企業(yè)安全測試的標(biāo)配了,一般都是信息系統(tǒng)已經(jīng)完成了聯(lián)調(diào)聯(lián)試,各項(xiàng)功能指標(biāo)、技術(shù)指標(biāo)已經(jīng)達(dá)到了設(shè)計(jì)要求之后,在企業(yè)的測試環(huán)境中進(jìn)行的一次滲透測試。從某種意義說,上線前的滲透測試就是一個(gè)安全的Checklist,一般關(guān)注技術(shù)性漏洞,利用各種工具檢查系統(tǒng)存不存在xss、文件上傳、越權(quán)訪問、命令執(zhí)行等漏洞。滲透測試結(jié)果一般直接轉(zhuǎn)給業(yè)務(wù)系統(tǒng)開發(fā)人員,對(duì)企業(yè)內(nèi)其他人員的安全意識(shí)傳導(dǎo)作用比較薄弱。 1、目標(biāo)系統(tǒng):單個(gè)業(yè)務(wù)系統(tǒng)的測試環(huán)境系統(tǒng) 2、涉及人員:業(yè)務(wù)系統(tǒng)開發(fā)人員、組織測試的安全人員 3、風(fēng)險(xiǎn)程度:最小,測試環(huán)境實(shí)施,不會(huì)影響業(yè)務(wù)。 4、發(fā)現(xiàn)問題的影響面:單個(gè)系統(tǒng) 5、乙方廠商組織形式:一般會(huì)采用購買人力包或項(xiàng)目包的方式實(shí)施,購買一至兩家安全廠商的服務(wù),在此推薦至少購買兩家,形成競爭格局。 6、局限性:難以實(shí)現(xiàn)測試面全覆蓋、不能發(fā)現(xiàn)因上線過程中配置失誤導(dǎo)致的安全漏洞。 (二)上線后定期在線安全測試 因?yàn)樯暇€前的滲透測試不能發(fā)現(xiàn)因上線過程中配置失誤導(dǎo)致的安全漏洞,所以,有些企業(yè)就會(huì)采用上線后定期在線安全測試的形式,比如,每季度、每個(gè)重大活動(dòng)之前等。根據(jù)實(shí)際情況,在線安全測試的目標(biāo)可以選擇專門針對(duì)某一系統(tǒng)或幾個(gè)系統(tǒng),也可以選擇全量的在線業(yè)務(wù)系統(tǒng)。安全測試不僅是從技術(shù)角度正面進(jìn)攻檢測漏洞,還會(huì)通過端口掃描、資產(chǎn)發(fā)現(xiàn)、管理后臺(tái)掃描等手段,發(fā)現(xiàn)因配置失誤導(dǎo)致的安全漏洞。 1、目標(biāo)系統(tǒng):一個(gè)或多個(gè)生產(chǎn)環(huán)境系統(tǒng) 2、涉及人員:業(yè)務(wù)系統(tǒng)開發(fā)人員、業(yè)務(wù)系統(tǒng)運(yùn)維人員、組織測試的安全人員、安全監(jiān)控人員 3、風(fēng)險(xiǎn)程度:存在一定風(fēng)險(xiǎn),一是有些高危操作可能會(huì)給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險(xiǎn);二是有些滲透測試人員發(fā)現(xiàn)漏洞不報(bào)告,私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。 4、發(fā)現(xiàn)問題的影響面:單個(gè)系統(tǒng) 5、乙方廠商組織形式:一般會(huì)采用購買人力包或項(xiàng)目包的方式實(shí)施,購買一至兩家安全廠商的服務(wù),在此推薦至少購買兩家,形成競爭格局。 6、局限性:難以實(shí)現(xiàn)測試面全覆蓋。 (三)依托眾測平臺(tái)的安全眾測 2010年成立的烏云網(wǎng),聚集了一批民間滲透測試高手,俗稱“白帽子”,后來發(fā)展成為國內(nèi)頗具影響力的漏洞平臺(tái)。2011年,剛成立一年的烏云網(wǎng)連續(xù)披露京東、支付寶、網(wǎng)易等著名互聯(lián)網(wǎng)企業(yè)存在高危漏洞,此后又接連指出支付寶2500萬用戶資料泄露、如家酒店開房信息泄露、騰訊7000萬QQ群用戶數(shù)據(jù)泄露等一系列安全問題。據(jù)說,那時(shí)候企業(yè)安全人員每天起床的第一件事就是打開烏云平臺(tái),看看有沒有自家的安全漏洞。烏云網(wǎng)的興起讓人們看到了滲透測試領(lǐng)域的“人民戰(zhàn)爭”、“群眾路線”威力。其后,烏云網(wǎng)因種種原因而停站,但是,其后卻興起了一批以專門提供眾測服務(wù)的安全廠商,比較典型的有360補(bǔ)天安全眾測平臺(tái)、阿里先知安全眾測平臺(tái)、漏洞盒子安全眾測平臺(tái)、SOBUG安全眾測平臺(tái)等。 隨著各企業(yè)互聯(lián)網(wǎng)應(yīng)用不斷增多,傳統(tǒng)的安全滲透測試也面臨著測試人手不足、產(chǎn)品版本更迭太快來不及測試等問題。甲方廠商發(fā)現(xiàn)無論是代碼安全測試、上線前滲透測試,還是上線后定期安全測試,都無法完全及時(shí)發(fā)現(xiàn)企業(yè)全量的安全漏洞,各類安全漏洞平臺(tái)還是會(huì)出現(xiàn)自己的安全漏洞。與其坐以待斃,還不如主動(dòng)作為,于是乎,有些甲方廠商就開始與眾測平臺(tái)合作,通過協(xié)議委托眾測平臺(tái)發(fā)布專業(yè)測試項(xiàng)目,參與項(xiàng)目的白帽子需通過審核認(rèn)證后才能報(bào)名參與眾測項(xiàng)目,依托外部白帽子發(fā)現(xiàn)企業(yè)的安全漏洞。 1、目標(biāo)系統(tǒng):可以是一個(gè)或多個(gè)生產(chǎn)環(huán)境系統(tǒng),也可以是待發(fā)布的測試環(huán)境系統(tǒng)。 2、涉及人員:業(yè)務(wù)系統(tǒng)開發(fā)人員、業(yè)務(wù)系統(tǒng)運(yùn)維人員、組織測試的安全人員、安全監(jiān)控人員 3、風(fēng)險(xiǎn)程度:存在較高風(fēng)險(xiǎn),一是白帽子的管理較為松散,背景調(diào)查、身份核驗(yàn)等難度較大。二是有些高危操作可能會(huì)給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險(xiǎn);三是有些滲透測試人員發(fā)現(xiàn)漏洞不報(bào)告,私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。 4、發(fā)現(xiàn)問題的影響面:單個(gè)系統(tǒng) 5、乙方廠商組織形式:選擇一家互聯(lián)網(wǎng)安全眾測平臺(tái)作為安全眾測服務(wù)商,由其組織白帽子參與項(xiàng)目眾測,在白帽子之間形成競爭機(jī)制。與眾測平臺(tái)簽訂項(xiàng)目制,可以在眾測平臺(tái)在線公開發(fā)布眾測項(xiàng)目,也可以依托眾測平臺(tái)通過線下組織眾測項(xiàng)目。 6、局限性:難以發(fā)現(xiàn)高階安全漏洞。 (四)企業(yè)自組織的安全眾測 隨著眾測的發(fā)展,有些比較大的甲方廠商就開始存在不同的思路了。一是有些企業(yè)覺得與其到眾測平臺(tái)開眾測項(xiàng)目收集企業(yè)安全漏洞,還不如我自己直接接收白帽子的安全漏洞,于是,各大互聯(lián)網(wǎng)公司都開始建立各自的SRC安全應(yīng)急響應(yīng)中心,在其中提供專門的漏洞收集板塊,供白帽子提交漏洞,為白帽子提供積分、禮品、現(xiàn)金等獎(jiǎng)勵(lì)。二是有些企業(yè)覺得眾測平臺(tái)較難管控安全風(fēng)險(xiǎn),普通的滲透測試缺乏競爭機(jī)制,難以發(fā)現(xiàn)高階安全漏洞。于是這些企業(yè)就開始組織廠商眾測模式,選擇四五家安全廠商同時(shí)開展安全測試,然后按漏洞效果付費(fèi),漏洞等級(jí)高,付費(fèi)就高,等級(jí)低,付費(fèi)就低。 1、目標(biāo)系統(tǒng):一個(gè)或多個(gè)生產(chǎn)環(huán)境系統(tǒng)。 2、涉及人員:業(yè)務(wù)系統(tǒng)開發(fā)人員、業(yè)務(wù)系統(tǒng)運(yùn)維人員、組織測試的安全人員、安全監(jiān)控人員 3、風(fēng)險(xiǎn)程度:存在較高風(fēng)險(xiǎn),一是SRC模式中白帽子的管理較為松散,背景調(diào)查、身份核驗(yàn)等難度較大。二是有些高危操作可能會(huì)給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險(xiǎn);三是有些滲透測試人員發(fā)現(xiàn)漏洞不報(bào)告,私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。 4、發(fā)現(xiàn)問題的影響面:廠商眾測可能會(huì)發(fā)現(xiàn)影響面較大的安全漏洞 5、乙方廠商組織形式:選擇多家(一般為2至5家)安全滲透測試公司,分別組織專業(yè)滲透人員參與項(xiàng)目眾測,按漏洞效果付費(fèi),在多家公司之間形成競爭機(jī)制,擇優(yōu)淘劣。 6、局限性:安全漏洞數(shù)量不可控,企業(yè)投入可能較大,乙方的服務(wù)不能持續(xù)實(shí)施,一般以項(xiàng)目制形式,預(yù)算花完就停止服務(wù)。 (五)紅藍(lán)攻防演練 以上說的滲透測試都相當(dāng)于單項(xiàng)打靶射擊考核,一次專項(xiàng)性的能力測驗(yàn),以發(fā)現(xiàn)技術(shù)漏洞的目的為主。而紅藍(lán)攻防演練考驗(yàn)的是企業(yè)的整體防護(hù)水平和防護(hù)體系,如全體人員安全意識(shí)、防護(hù)系統(tǒng)檢測發(fā)現(xiàn)能力、目標(biāo)系統(tǒng)漏洞情況等,既考驗(yàn)了防護(hù)系統(tǒng)的有效性,又全面檢查系統(tǒng)各類漏洞情況,還考驗(yàn)人員的安全意識(shí)。 因此,紅藍(lán)攻防演練一般是針對(duì)企業(yè)的全部信息系統(tǒng)、分支機(jī)構(gòu),不設(shè)具體目標(biāo)、不限具體手段,全面檢驗(yàn)企業(yè)的主動(dòng)防護(hù)、安全檢測、應(yīng)急處置等能力,發(fā)現(xiàn)系統(tǒng)技術(shù)漏洞反而是附屬性的。在攻防演練過程中,一,攻擊者會(huì)利用社工、邊邊角角系統(tǒng)等進(jìn)行迂回包抄,直到達(dá)到入侵系統(tǒng)的目的為止。任何一點(diǎn)疏漏都可能導(dǎo)致整體防護(hù)體系的潰敗。攻防演練考驗(yàn)的是企業(yè)的總體防護(hù)水平。二,攻防演練不僅能發(fā)現(xiàn)技術(shù)性漏洞,還能發(fā)現(xiàn)企業(yè)安全管理上的漏洞、防護(hù)體系上的漏洞、防護(hù)策略上的漏洞等。三、攻防演練的對(duì)象企業(yè)全體資產(chǎn)、人員、數(shù)據(jù)等,因此,任何一個(gè)人、系統(tǒng)都可能成為企業(yè)安全防護(hù)體系中的短板。最后在演練總結(jié)通報(bào)中,加以總結(jié)提煉,傳達(dá)到企業(yè)全員,可以達(dá)到提升全員安全意識(shí)的目的。在集中攻防演練期間,企業(yè)安全人員作為防守方,充分參與攻防過程,可以有效提升防護(hù)人員的技術(shù)水平。 1、目標(biāo)系統(tǒng):企業(yè)全體資產(chǎn)、人員、數(shù)據(jù)、系統(tǒng)。 2、涉及人員:企業(yè)全體人員 3、風(fēng)險(xiǎn)程度:存在較高風(fēng)險(xiǎn),一是有些高危操作可能會(huì)給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險(xiǎn);二是有些滲透測試人員發(fā)現(xiàn)漏洞不報(bào)告,私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。 4、發(fā)現(xiàn)問題的影響面:能夠全面發(fā)現(xiàn)企業(yè)安全體系的漏洞 5、乙方廠商組織形式:選擇多家(一般為2至5家)安全滲透測試公司,分別組織專業(yè)滲透人員參與紅藍(lán)攻防演練,按漏洞效果付費(fèi),在多家公司之間形成競爭機(jī)制,擇優(yōu)淘劣。 6、局限性:安全漏洞數(shù)量不可控,企業(yè)投入可能較大,乙方的服務(wù)不能持續(xù)實(shí)施,一般以項(xiàng)目制形式,預(yù)算花完就停止服務(wù)。 三、滲透測試服務(wù)的選購建議 綜上所述,甲方企業(yè)在進(jìn)行年度的安全滲透服務(wù)預(yù)算時(shí),可以適當(dāng)考慮多層次的安全滲透測試服務(wù),以達(dá)到盡可能多的發(fā)現(xiàn)安全漏洞目的。 首先,上線前滲透測試和上線后定期安全測試應(yīng)該是企業(yè)安全滲透測試服務(wù)的標(biāo)準(zhǔn)選擇。有些企業(yè)可能害怕滲透測試影響業(yè)務(wù)運(yùn)行,而只選擇上線前滲透測試。但是,殊不知有些系統(tǒng)上線過程中產(chǎn)生漏洞危害也是巨大的,更有甚者,有些系統(tǒng)上線前根本就沒有經(jīng)過安全滲透測試或者階段變更沒有經(jīng)過安全滲透測試,這些都會(huì)導(dǎo)致滲透測試在流程上、機(jī)制上存在覆蓋盲點(diǎn)。 其次,安全眾測可以適當(dāng)考慮投入預(yù)算,畢竟?jié)B透測試領(lǐng)域的“人民戰(zhàn)爭”、“群眾路線”威力還是不可小覷的。預(yù)算少的中小企業(yè)可以在眾測平臺(tái)上開個(gè)眾測項(xiàng)目,預(yù)算多的大企業(yè)可以考慮建設(shè)自己的SRC服務(wù),或者自己組織進(jìn)行廠商眾測。有些人認(rèn)為我們是很低調(diào)的公司,有沒有必要開個(gè)眾測項(xiàng)目來引起外部白帽子的注意力。在此,我想說的是,無論你低調(diào)不低調(diào),漏洞總在那里,不主動(dòng)去發(fā)現(xiàn)它、修復(fù)它,它始終在那里,與其被動(dòng)挨打,不如主動(dòng)出擊。 最后,大企業(yè)在進(jìn)行安全滲透測試服務(wù)預(yù)算規(guī)劃和年度計(jì)劃時(shí),應(yīng)盡量能安排一些攻防演練經(jīng)費(fèi),紅藍(lán)攻防演練給企業(yè)安全建設(shè)帶來的好處只有親身經(jīng)歷才能體會(huì)其中真味。一是,每年固定一至倆個(gè)時(shí)間點(diǎn)(上、下半年各一次),發(fā)布攻防演練通告,集中開展攻防演練工作(集中時(shí)間點(diǎn))。二、一般企業(yè)可組織外部安全團(tuán)隊(duì)進(jìn)行攻防演練,防護(hù)方由企業(yè)內(nèi)部人員擔(dān)當(dāng),攻擊者由外部企業(yè)組織。大廠一般都開始建立專門的安全滲透團(tuán)隊(duì),號(hào)稱企業(yè)藍(lán)軍,經(jīng)常性開展攻防演練工作。三、滲透測試可適當(dāng)形成奪標(biāo)獎(jiǎng)勵(lì)機(jī)制,要以企業(yè)的攻擊成果論英雄、給經(jīng)費(fèi),不要讓外部企業(yè)感覺干多干少一個(gè)樣,有沒有效果一個(gè)樣。 |