信息來源：FreeBuf

今年以來，紅藍(lán)攻防演練在企業(yè)安全服務(wù)市場變得非常火熱，特別是在演習(xí)行動推動下，很多企業(yè)都會在實際演習(xí)行動之前都會進(jìn)行一兩輪、甚至三四輪的攻防演練，以提前發(fā)現(xiàn)企業(yè)安全體系建設(shè)中的短板與弱項。然而，有些企業(yè)就開始有點迷茫了，我們公司一直在購買滲透測試服務(wù)，還有必要搞紅藍(lán)攻防演練嗎？滲透測試與紅藍(lán)攻防演練到底有何不同呢？在此，筆者就來聊聊滲透測試的各種姿勢，以方便大家在購買安全服務(wù)時進(jìn)行比較。

一、滲透測試基本概念

根據(jù)百度百科的定義：滲透測試是為了證明網(wǎng)絡(luò)防御按照預(yù)期計劃正常運行而提供的一種機(jī)制。搜狐網(wǎng)某網(wǎng)友分享的定義：滲透測試就是在取得客戶授權(quán)的情況下，通過模擬黑客攻擊來對客戶的整個信息系統(tǒng)進(jìn)行全面的漏洞查找、分析、利用，最后給出完整的滲透報告和問題解決方案。從這些定義看，滲透測試內(nèi)涵其實還是非常寬泛的，沒有限定具體的表現(xiàn)形式。因此，在具體實施過程中，甲方公司根據(jù)各自的企業(yè)情況（如風(fēng)險容忍程度、CTO/CSO個人喜好、預(yù)算投入、財務(wù)制度等）進(jìn)行靈活的協(xié)商，形成了適應(yīng)企業(yè)實際情況的滲透測試模式，可以說，在一千個企業(yè)里，就存在著一千種滲透測試模式。

二、滲透測試的各種姿勢

不過，從筆者觀察來看，這些不同的滲透測試模式，大致可以分為以下五種：上線前的滲透測試、上線后定期在線安全測試、依托眾測平臺的安全眾測、自組織的安全眾測、紅藍(lán)攻防演練。

（一）上線前滲透測試

這應(yīng)該是各種企業(yè)安全測試的標(biāo)配了，一般都是信息系統(tǒng)已經(jīng)完成了聯(lián)調(diào)聯(lián)試，各項功能指標(biāo)、技術(shù)指標(biāo)已經(jīng)達(dá)到了設(shè)計要求之后，在企業(yè)的測試環(huán)境中進(jìn)行的一次滲透測試。從某種意義說，上線前的滲透測試就是一個安全的Checklist，一般關(guān)注技術(shù)性漏洞，利用各種工具檢查系統(tǒng)存不存在xss、文件上傳、越權(quán)訪問、命令執(zhí)行等漏洞。滲透測試結(jié)果一般直接轉(zhuǎn)給業(yè)務(wù)系統(tǒng)開發(fā)人員，對企業(yè)內(nèi)其他人員的安全意識傳導(dǎo)作用比較薄弱。

1、目標(biāo)系統(tǒng)：單個業(yè)務(wù)系統(tǒng)的測試環(huán)境系統(tǒng)

2、涉及人員：業(yè)務(wù)系統(tǒng)開發(fā)人員、組織測試的安全人員

3、風(fēng)險程度：最小，測試環(huán)境實施，不會影響業(yè)務(wù)。

4、發(fā)現(xiàn)問題的影響面：單個系統(tǒng)

5、乙方廠商組織形式：一般會采用購買人力包或項目包的方式實施，購買一至兩家安全廠商的服務(wù)，在此推薦至少購買兩家，形成競爭格局。

6、局限性：難以實現(xiàn)測試面全覆蓋、不能發(fā)現(xiàn)因上線過程中配置失誤導(dǎo)致的安全漏洞。

（二）上線后定期在線安全測試

因為上線前的滲透測試不能發(fā)現(xiàn)因上線過程中配置失誤導(dǎo)致的安全漏洞，所以，有些企業(yè)就會采用上線后定期在線安全測試的形式，比如，每季度、每個重大活動之前等。根據(jù)實際情況，在線安全測試的目標(biāo)可以選擇專門針對某一系統(tǒng)或幾個系統(tǒng)，也可以選擇全量的在線業(yè)務(wù)系統(tǒng)。安全測試不僅是從技術(shù)角度正面進(jìn)攻檢測漏洞，還會通過端口掃描、資產(chǎn)發(fā)現(xiàn)、管理后臺掃描等手段，發(fā)現(xiàn)因配置失誤導(dǎo)致的安全漏洞。

1、目標(biāo)系統(tǒng)：一個或多個生產(chǎn)環(huán)境系統(tǒng)

2、涉及人員：業(yè)務(wù)系統(tǒng)開發(fā)人員、業(yè)務(wù)系統(tǒng)運維人員、組織測試的安全人員、安全監(jiān)控人員

3、風(fēng)險程度：存在一定風(fēng)險，一是有些高危操作可能會給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險；二是有些滲透測試人員發(fā)現(xiàn)漏洞不報告，私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。

4、發(fā)現(xiàn)問題的影響面：單個系統(tǒng)

5、乙方廠商組織形式：一般會采用購買人力包或項目包的方式實施，購買一至兩家安全廠商的服務(wù)，在此推薦至少購買兩家，形成競爭格局。

6、局限性：難以實現(xiàn)測試面全覆蓋。

（三）依托眾測平臺的安全眾測

2010年成立的烏云網(wǎng)，聚集了一批民間滲透測試高手，俗稱“白帽子”，后來發(fā)展成為國內(nèi)頗具影響力的漏洞平臺。2011年，剛成立一年的烏云網(wǎng)連續(xù)披露京東、支付寶、網(wǎng)易等著名互聯(lián)網(wǎng)企業(yè)存在高危漏洞，此后又接連指出支付寶2500萬用戶資料泄露、如家酒店開房信息泄露、騰訊7000萬QQ群用戶數(shù)據(jù)泄露等一系列安全問題。據(jù)說，那時候企業(yè)安全人員每天起床的第一件事就是打開烏云平臺，看看有沒有自家的安全漏洞。烏云網(wǎng)的興起讓人們看到了滲透測試領(lǐng)域的“人民戰(zhàn)爭”、“群眾路線”威力。其后，烏云網(wǎng)因種種原因而停站，但是，其后卻興起了一批以專門提供眾測服務(wù)的安全廠商，比較典型的有360補天安全眾測平臺、阿里先知安全眾測平臺、漏洞盒子安全眾測平臺、SOBUG安全眾測平臺等。

隨著各企業(yè)互聯(lián)網(wǎng)應(yīng)用不斷增多，傳統(tǒng)的安全滲透測試也面臨著測試人手不足、產(chǎn)品版本更迭太快來不及測試等問題。甲方廠商發(fā)現(xiàn)無論是代碼安全測試、上線前滲透測試，還是上線后定期安全測試，都無法完全及時發(fā)現(xiàn)企業(yè)全量的安全漏洞，各類安全漏洞平臺還是會出現(xiàn)自己的安全漏洞。與其坐以待斃，還不如主動作為，于是乎，有些甲方廠商就開始與眾測平臺合作，通過協(xié)議委托眾測平臺發(fā)布專業(yè)測試項目，參與項目的白帽子需通過審核認(rèn)證后才能報名參與眾測項目，依托外部白帽子發(fā)現(xiàn)企業(yè)的安全漏洞。

1、目標(biāo)系統(tǒng)：可以是一個或多個生產(chǎn)環(huán)境系統(tǒng)，也可以是待發(fā)布的測試環(huán)境系統(tǒng)。

2、涉及人員：業(yè)務(wù)系統(tǒng)開發(fā)人員、業(yè)務(wù)系統(tǒng)運維人員、組織測試的安全人員、安全監(jiān)控人員

3、風(fēng)險程度：存在較高風(fēng)險，一是白帽子的管理較為松散，背景調(diào)查、身份核驗等難度較大。二是有些高危操作可能會給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險；三是有些滲透測試人員發(fā)現(xiàn)漏洞不報告，私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。

4、發(fā)現(xiàn)問題的影響面：單個系統(tǒng)

5、乙方廠商組織形式：選擇一家互聯(lián)網(wǎng)安全眾測平臺作為安全眾測服務(wù)商，由其組織白帽子參與項目眾測，在白帽子之間形成競爭機(jī)制。與眾測平臺簽訂項目制，可以在眾測平臺在線公開發(fā)布眾測項目，也可以依托眾測平臺通過線下組織眾測項目。

6、局限性：難以發(fā)現(xiàn)高階安全漏洞。

（四）企業(yè)自組織的安全眾測

隨著眾測的發(fā)展，有些比較大的甲方廠商就開始存在不同的思路了。一是有些企業(yè)覺得與其到眾測平臺開眾測項目收集企業(yè)安全漏洞，還不如我自己直接接收白帽子的安全漏洞，于是，各大互聯(lián)網(wǎng)公司都開始建立各自的SRC安全應(yīng)急響應(yīng)中心，在其中提供專門的漏洞收集板塊，供白帽子提交漏洞，為白帽子提供積分、禮品、現(xiàn)金等獎勵。二是有些企業(yè)覺得眾測平臺較難管控安全風(fēng)險，普通的滲透測試缺乏競爭機(jī)制，難以發(fā)現(xiàn)高階安全漏洞。于是這些企業(yè)就開始組織廠商眾測模式，選擇四五家安全廠商同時開展安全測試，然后按漏洞效果付費，漏洞等級高，付費就高，等級低，付費就低。

1、目標(biāo)系統(tǒng)：一個或多個生產(chǎn)環(huán)境系統(tǒng)。

2、涉及人員：業(yè)務(wù)系統(tǒng)開發(fā)人員、業(yè)務(wù)系統(tǒng)運維人員、組織測試的安全人員、安全監(jiān)控人員

3、風(fēng)險程度：存在較高風(fēng)險，一是SRC模式中白帽子的管理較為松散，背景調(diào)查、身份核驗等難度較大。二是有些高危操作可能會給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險；三是有些滲透測試人員發(fā)現(xiàn)漏洞不報告，私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。

4、發(fā)現(xiàn)問題的影響面：廠商眾測可能會發(fā)現(xiàn)影響面較大的安全漏洞

5、乙方廠商組織形式：選擇多家（一般為2至5家）安全滲透測試公司，分別組織專業(yè)滲透人員參與項目眾測，按漏洞效果付費，在多家公司之間形成競爭機(jī)制，擇優(yōu)淘劣。

6、局限性：安全漏洞數(shù)量不可控，企業(yè)投入可能較大，乙方的服務(wù)不能持續(xù)實施，一般以項目制形式，預(yù)算花完就停止服務(wù)。

（五）紅藍(lán)攻防演練

以上說的滲透測試都相當(dāng)于單項打靶射擊考核，一次專項性的能力測驗，以發(fā)現(xiàn)技術(shù)漏洞的目的為主。而紅藍(lán)攻防演練考驗的是企業(yè)的整體防護(hù)水平和防護(hù)體系，如全體人員安全意識、防護(hù)系統(tǒng)檢測發(fā)現(xiàn)能力、目標(biāo)系統(tǒng)漏洞情況等，既考驗了防護(hù)系統(tǒng)的有效性，又全面檢查系統(tǒng)各類漏洞情況，還考驗人員的安全意識。

因此，紅藍(lán)攻防演練一般是針對企業(yè)的全部信息系統(tǒng)、分支機(jī)構(gòu)，不設(shè)具體目標(biāo)、不限具體手段，全面檢驗企業(yè)的主動防護(hù)、安全檢測、應(yīng)急處置等能力，發(fā)現(xiàn)系統(tǒng)技術(shù)漏洞反而是附屬性的。在攻防演練過程中，一，攻擊者會利用社工、邊邊角角系統(tǒng)等進(jìn)行迂回包抄，直到達(dá)到入侵系統(tǒng)的目的為止。任何一點疏漏都可能導(dǎo)致整體防護(hù)體系的潰敗。攻防演練考驗的是企業(yè)的總體防護(hù)水平。二，攻防演練不僅能發(fā)現(xiàn)技術(shù)性漏洞，還能發(fā)現(xiàn)企業(yè)安全管理上的漏洞、防護(hù)體系上的漏洞、防護(hù)策略上的漏洞等。三、攻防演練的對象企業(yè)全體資產(chǎn)、人員、數(shù)據(jù)等，因此，任何一個人、系統(tǒng)都可能成為企業(yè)安全防護(hù)體系中的短板。最后在演練總結(jié)通報中，加以總結(jié)提煉，傳達(dá)到企業(yè)全員，可以達(dá)到提升全員安全意識的目的。在集中攻防演練期間，企業(yè)安全人員作為防守方，充分參與攻防過程，可以有效提升防護(hù)人員的技術(shù)水平。

1、目標(biāo)系統(tǒng)：企業(yè)全體資產(chǎn)、人員、數(shù)據(jù)、系統(tǒng)。

2、涉及人員：企業(yè)全體人員

3、風(fēng)險程度：存在較高風(fēng)險，一是有些高危操作可能會給企業(yè)生產(chǎn)數(shù)據(jù)造成臟數(shù)據(jù)的風(fēng)險；二是有些滲透測試人員發(fā)現(xiàn)漏洞不報告，私自下載企業(yè)業(yè)務(wù)數(shù)據(jù)。

4、發(fā)現(xiàn)問題的影響面：能夠全面發(fā)現(xiàn)企業(yè)安全體系的漏洞

5、乙方廠商組織形式：選擇多家（一般為2至5家）安全滲透測試公司，分別組織專業(yè)滲透人員參與紅藍(lán)攻防演練，按漏洞效果付費，在多家公司之間形成競爭機(jī)制，擇優(yōu)淘劣。

6、局限性：安全漏洞數(shù)量不可控，企業(yè)投入可能較大，乙方的服務(wù)不能持續(xù)實施，一般以項目制形式，預(yù)算花完就停止服務(wù)。

三、滲透測試服務(wù)的選購建議

綜上所述，甲方企業(yè)在進(jìn)行年度的安全滲透服務(wù)預(yù)算時，可以適當(dāng)考慮多層次的安全滲透測試服務(wù)，以達(dá)到盡可能多的發(fā)現(xiàn)安全漏洞目的。

首先，上線前滲透測試和上線后定期安全測試應(yīng)該是企業(yè)安全滲透測試服務(wù)的標(biāo)準(zhǔn)選擇。有些企業(yè)可能害怕滲透測試影響業(yè)務(wù)運行，而只選擇上線前滲透測試。但是，殊不知有些系統(tǒng)上線過程中產(chǎn)生漏洞危害也是巨大的，更有甚者，有些系統(tǒng)上線前根本就沒有經(jīng)過安全滲透測試或者階段變更沒有經(jīng)過安全滲透測試，這些都會導(dǎo)致滲透測試在流程上、機(jī)制上存在覆蓋盲點。

其次，安全眾測可以適當(dāng)考慮投入預(yù)算，畢竟?jié)B透測試領(lǐng)域的“人民戰(zhàn)爭”、“群眾路線”威力還是不可小覷的。預(yù)算少的中小企業(yè)可以在眾測平臺上開個眾測項目，預(yù)算多的大企業(yè)可以考慮建設(shè)自己的SRC服務(wù)，或者自己組織進(jìn)行廠商眾測。有些人認(rèn)為我們是很低調(diào)的公司，有沒有必要開個眾測項目來引起外部白帽子的注意力。在此，我想說的是，無論你低調(diào)不低調(diào)，漏洞總在那里，不主動去發(fā)現(xiàn)它、修復(fù)它，它始終在那里，與其被動挨打，不如主動出擊。

最后，大企業(yè)在進(jìn)行安全滲透測試服務(wù)預(yù)算規(guī)劃和年度計劃時，應(yīng)盡量能安排一些攻防演練經(jīng)費，紅藍(lán)攻防演練給企業(yè)安全建設(shè)帶來的好處只有親身經(jīng)歷才能體會其中真味。一是，每年固定一至倆個時間點（上、下半年各一次），發(fā)布攻防演練通告，集中開展攻防演練工作（集中時間點）。二、一般企業(yè)可組織外部安全團(tuán)隊進(jìn)行攻防演練，防護(hù)方由企業(yè)內(nèi)部人員擔(dān)當(dāng)，攻擊者由外部企業(yè)組織。大廠一般都開始建立專門的安全滲透團(tuán)隊，號稱企業(yè)藍(lán)軍，經(jīng)常性開展攻防演練工作。三、滲透測試可適當(dāng)形成奪標(biāo)獎勵機(jī)制，要以企業(yè)的攻擊成果論英雄、給經(jīng)費，不要讓外部企業(yè)感覺干多干少一個樣，有沒有效果一個樣。