奧蘭多報導——據某位安全專家兼作者表示，企業(yè)在信息安全技術上投入巨資，卻未能扭轉不斷受到攻擊這一局面。在2012年的信息安全世界會議及博覽會上，該專家極力主張2500多名與會者通過實施更有效的滲透測試來反思他們的風險優(yōu)先級理念。

“就我所知我們是唯一不斷地投入越來越多金錢的行業(yè)，然而我們的問題每況愈下。”Dave Kennedy說到。他是位于北坎敦俄亥俄州的Diebold有限公司的副總裁兼全球風險及安全CSO。“我們增加預算、擴大投入，每次購買的產品都是大會的時髦術語。”

Kennedy是一名滲透測試人員、也是《Metasploit:滲透測試人員指導》一書的作者，他用他開發(fā)的社交工程工具軟件Toolkit演示了好幾種攻擊。在不到一分鐘內Kennedy用該工具克隆了某個web站點，使用合法的數(shù)字簽名瞄準了某個受害者的機器。他展示了如何快速地完全控制該員工電腦，以及簡單地使用HTTP連接來竊取數(shù)據，這些都是通過完全模擬瀏覽器做到的。

“你們的安全技術沒有阻止這些攻擊，而且這種類型的黑客攻擊來說我不太擅長，”Kennedy表示。“許多孩子在這種技術表現(xiàn)非凡，他們不僅僅是腳本小子，他們正在變成老練的攻擊者”。

Kennedy表示，大多數(shù)的CISO和安全從業(yè)人員幻想擁有戒備森嚴護城河的城堡將外來的攻擊者拒之門外，但是合規(guī)遵從和安全技術增加了復雜性，使得安全要解決的那些危險愈加復雜。“我們整個失去了平衡，我們的專注點在于合規(guī)性，當無法確保那些需要保障的資產安全時，就從廠商那里購買產品”。

Kennedy提倡使用滲透測試執(zhí)行標準(Penetration Testing Execution Standard，簡稱PTES)，該標準及成熟度模型是在兩年前的ShmooCon黑客大會上設計的。PTES用于為公司和安全服務提供商提供一個通用的語言和范疇，完成滲透測試。他談到目前有6000人參與到PTES的制定中，公司可以利用該標準提出特定的要求，來評估滲透測試人員。

滲透測試不應該僅僅關注于漏洞掃描，Kennedy談到。相反，牢靠的滲透測試應該產生有意義的數(shù)據，能夠展現(xiàn)戰(zhàn)略性的調查結果，這些結果應該能解決大多數(shù)的根本問題。通常經過滲透測試的企業(yè)，只是以發(fā)現(xiàn)1500個系統(tǒng)漏洞的海量報告告終，而沒有解決這些問題根源的真正方法，Kennedy表示。

“滲透測試應該是不拘泥的、而且要模擬攻擊者的行為”，Kennedy談到。“我們需要擺脫所有這些昂貴技術的禁錮，它們僅是幫助你推測位于中國的某個人是如何在凌晨2點使用零日攻擊黑了你的系統(tǒng)。那不起作用”。

滲透測試應該包括正式使用前的交互，Kennedy談到。在這個過程中滲透測試人員收集情報，懂得公司如何賺取利潤。威脅建模有助于弄清楚哪些攻擊方式會對公司造成最大的影響。漏洞分析尋找系統(tǒng)弱點，發(fā)現(xiàn)旨在獲得內部網絡訪問的精確攻擊，它們接著取得敏感數(shù)據，對公司業(yè)務造成巨大破壞。

“這在于如何傳達信息。它不是借助于一個長達1500頁的報告，因為在這些報告中90%的調查結果是廢話”，Kennedy說到：“你需要認識到公司有哪些體系上的問題，并且這些測試人員花多長時間可以將數(shù)據帶出公司”。

會議的與會者普遍對PTES表示樂觀，并且表示它可以減少滲透測試項目中聘請出價最低的人的常見做法。運行漏洞掃描軟件、并且嘗試解決所有這些結果并不奏效，D. David Orr談到。他是美國聯(lián)邦存款保險公司風險管理監(jiān)督部門的IT檢查分析員。Orr說他知道一些銀行和信用合作社因為缺乏內部的專家意見而奮戰(zhàn)于800頁的報告，還在不斷投入費用。“翻閱這些報告你可以看到有許多虛假的積極。我建議他們從不要如此糾結開始。”