多年來(lái)，滲透測(cè)試向來(lái)是確定一家公司的數(shù)字化基礎(chǔ)設(shè)施安全級(jí)別的主要手段。然而，如今有越來(lái)越多的安全專家在質(zhì)疑滲透測(cè)試的有效性。

Infoblox公司歐洲、非洲和中東區(qū)的技術(shù)主管Chris Marrison著有博文《現(xiàn)在是不是該放棄滲透測(cè)試了?》，他對(duì)這個(gè)問(wèn)題發(fā)表了個(gè)人觀點(diǎn)。Marrison說(shuō)：“由于沒(méi)有一個(gè)防火墻百分之百有效地將攻擊者拒之門(mén)外，又由于網(wǎng)絡(luò)繼續(xù)日益龐大、形態(tài)發(fā)生變化，很顯然企業(yè)現(xiàn)在需要采用一種新的方法來(lái)保護(hù)其IT基礎(chǔ)設(shè)施。”

到底何謂滲透測(cè)試?

大多數(shù)數(shù)字取證和安全專業(yè)人員在其職業(yè)生涯的某個(gè)階段會(huì)用到美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)(SANS Institute)的滲透測(cè)試課程。知道了這一點(diǎn)，有必要看看SANS是如何定義滲透測(cè)試的。據(jù)SANS聲稱，滲透測(cè)試具有下列特點(diǎn)：

•模擬現(xiàn)實(shí)世界中的攻擊者的活動(dòng);

•找到目標(biāo)系統(tǒng)中的安全漏洞;

•在受到控制的環(huán)境下利用已發(fā)現(xiàn)的安全漏洞;

•以一種安全的方式確定風(fēng)險(xiǎn)并記錄風(fēng)險(xiǎn)和潛在的業(yè)務(wù)影響，并且遵守約定的交戰(zhàn)規(guī)則。

•幫助企業(yè)確定資源的優(yōu)先級(jí)，從而改善安全狀況。

Marrison搬出理由

首先，Marrison指出，網(wǎng)絡(luò)攻擊已從到處?kù)乓膼鹤鲃⊙葑兂蓢?yán)重的、牟取錢(qián)財(cái)?shù)母呒?jí)持續(xù)性威脅(APT)，不法分子更喜歡盡可能長(zhǎng)時(shí)間地隱姓埋名。在Marrison看來(lái)這意味著，“安全團(tuán)隊(duì)需要把注意力放在別處，不是放在什么威脅偷偷潛入到系統(tǒng)中，而是放在什么威脅導(dǎo)致信息外泄。”

據(jù)Marrison聲稱，滲透測(cè)試的可行性面臨的另一個(gè)問(wèn)題是，缺少明顯的網(wǎng)絡(luò)邊界。由于數(shù)量激增的移動(dòng)設(shè)備、云服務(wù)、物聯(lián)網(wǎng)設(shè)備以及Marrison所謂的影子IT，現(xiàn)在很難劃定公司與龐大互聯(lián)網(wǎng)之間的界線。Marrison說(shuō)：“簡(jiǎn)而言之，需要巡邏的柵欄里程越長(zhǎng)，潛在的入口點(diǎn)越多，將攻擊者拒之門(mén)外就越困難。按道理講，這將意味著滲透測(cè)試現(xiàn)在比過(guò)去來(lái)得更重要，但是實(shí)際情況未必如此。”

來(lái)自內(nèi)部的攻擊

攻擊者在誘使公司員工發(fā)起對(duì)外連接，從而避開(kāi)邊界防御機(jī)制。兩種最流行的方法就是使用網(wǎng)絡(luò)釣魚(yú)電子郵件，或者欺騙員工訪問(wèn)惡意網(wǎng)站。據(jù)Marrison聲稱，內(nèi)部人員在公司的網(wǎng)絡(luò)邊界外面建立一條連接讓APT攻擊者得以趁虛而入。思科公司的《2014年年度安全報(bào)告》證實(shí)了Marrison的說(shuō)法。報(bào)告聲稱：“大多數(shù)企業(yè)(無(wú)論規(guī)模大小)都已經(jīng)遭到了危及，卻渾然不知：思科分析的100%的企業(yè)網(wǎng)絡(luò)其流量傳輸?shù)綈阂廛浖摲木W(wǎng)站。”

Marrison說(shuō)：“對(duì)IT安全團(tuán)隊(duì)來(lái)說(shuō)，現(xiàn)在可能更重要的是，找到行之有效的方法來(lái)監(jiān)控、發(fā)現(xiàn)、識(shí)別已經(jīng)潛入到網(wǎng)絡(luò)中的惡意軟件和威脅，并采取相應(yīng)的補(bǔ)救措施，而不是將資源投入到滲透測(cè)試等措施上。”

測(cè)試滲透人員并不贊同

安全顧問(wèn)兼講師Matthew J. Harmon也在講授滲透測(cè)試方面的SANS Institute課程。我聯(lián)系上了Harmon，請(qǐng)他談?wù)劃B透測(cè)試在對(duì)付網(wǎng)絡(luò)攻擊方面所起的作用。

Harmon表示，大多數(shù)APT攻擊利用了“可憐的安全衛(wèi)生”。至于這句話的意思，Harmon讓我參閱網(wǎng)絡(luò)安全委員會(huì)(Council on CyberSecurity)及其關(guān)鍵安全控制(Critical Security Controls)框架。該框架包括20種控制機(jī)制。SANS網(wǎng)站解釋：“這些控制源自最常見(jiàn)的攻擊模式，在政府和行業(yè)組成的廣泛社區(qū)得到了全面的審查，由此形成的一套控制機(jī)制得到了強(qiáng)烈的共識(shí)。它們?yōu)榱⒓床扇〉闹匾袆?dòng)充當(dāng)了基礎(chǔ)。”最重要的前五項(xiàng)控制機(jī)制如下：

1. 清點(diǎn)授權(quán)設(shè)備和未授權(quán)設(shè)備;

2. 清點(diǎn)授權(quán)軟件和未授權(quán)軟件;

3. 保護(hù)移動(dòng)設(shè)備、筆記本電腦、工作站和服務(wù)器上的軟硬件配置;

4. 持續(xù)不斷地評(píng)估及補(bǔ)救安全漏洞;

5. 惡意軟件防御。

不采用關(guān)鍵安全控制框架在Harmon看來(lái)是可憐的安全衛(wèi)生。Harmon還指出，上述控制機(jī)制是滲透測(cè)試的必要部分，另外他還給出了加強(qiáng)客戶網(wǎng)絡(luò)安全狀況的若干方法。Harmon在陳述理由時(shí)最后發(fā)表了這番高見(jiàn)：“滲透測(cè)試的主要目的是，搶在企業(yè)的安全部門(mén)檢測(cè)和響應(yīng)之前，查明攻擊者能夠利用什么漏洞、泄密什么信息。”

混合方法才是最佳之道

我詢問(wèn)了SANS講師、Rendition Infosec公司的負(fù)責(zé)人Jake Williams是否需要滲透測(cè)試。他同意Marrison的觀點(diǎn)：監(jiān)控和獲得可見(jiàn)性都很重要。Williams說(shuō)：“但是，我不敢支持滲透測(cè)試不需要這一說(shuō)法。你需要結(jié)合監(jiān)控和滲透測(cè)試的這樣一種混合方法。”

英文：determining whether penetration testing is effective