[[353149]]

【51CTO.com快譯】您是否聽(tīng)說(shuō)過(guò)魚(yú)叉式捕魚(yú)(spearfishing)?它是一種針對(duì)特定公司或人群的，以竊取敏感信息或控制網(wǎng)絡(luò)為目的的，電子郵件類(lèi)欺騙攻擊。根據(jù)一項(xiàng)最新的研究表面，每年發(fā)生在全球各處的，針對(duì)各類(lèi)企業(yè)的黑客攻擊事件中，有95%都與魚(yú)叉式捕魚(yú)有關(guān)。

上圖展示了2020年第一季度，全球范圍內(nèi)受到網(wǎng)絡(luò)釣魚(yú)攻擊次數(shù)最多的國(guó)家排名信息。其中，委內(nèi)瑞拉因有20.53%的網(wǎng)絡(luò)用戶(hù)受到了網(wǎng)絡(luò)釣魚(yú)攻擊，名列這張表單榜首。該表中的數(shù)據(jù)來(lái)自根據(jù)美國(guó)國(guó)家統(tǒng)計(jì)局(https://www.statista.com/statistics/266362/phishing-attacks-country/)。

當(dāng)然，近年來(lái)，隨著魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)等各類(lèi)攻擊的日益增多，企業(yè)開(kāi)始更加關(guān)注手頭上應(yīng)用程序和軟件產(chǎn)品的安全態(tài)勢(shì)。他們?cè)陂_(kāi)發(fā)安全可靠的軟件應(yīng)用的同時(shí)，希望能夠避免由于某些無(wú)形和有形的錯(cuò)誤，而導(dǎo)致最終產(chǎn)品出現(xiàn)重大的安全缺陷。因此，為了及時(shí)發(fā)現(xiàn)應(yīng)用程序中存在的漏洞，以及縮小易受攻擊面，我們需要通過(guò)模擬黑客、及其行為，來(lái)開(kāi)展頻繁且徹底的滲透測(cè)試，發(fā)現(xiàn)目標(biāo)IT環(huán)境中的潛在安全漏洞，進(jìn)而予以整改。

滲透測(cè)試的目標(biāo)

總體而言，滲透測(cè)試(或稱(chēng)Pen testing)是為了發(fā)現(xiàn)風(fēng)險(xiǎn)和漏洞，通過(guò)深入檢測(cè)與挖掘目標(biāo)在任何合法攻擊形式下，可能受到的危害程度。通常，滲透測(cè)試會(huì)涉及到針對(duì)服務(wù)器、網(wǎng)絡(luò)、防火墻、主機(jī)等硬件，以及各種軟件，識(shí)別與發(fā)現(xiàn)知名漏洞，并評(píng)估其實(shí)際威脅的程度。

除了確定目標(biāo)之外，滲透測(cè)試方法還可以被用于評(píng)估系統(tǒng)中存在的可疑后門(mén)機(jī)制，提高應(yīng)對(duì)不同類(lèi)型的意外、或惡意攻擊的能力。因此，企業(yè)可以從如下方面受益于滲透測(cè)試：

• 通過(guò)檢測(cè)各類(lèi)漏洞可能產(chǎn)生的影響，將其匯總產(chǎn)生報(bào)表。
• 檢查最新控制措施的配置與執(zhí)行情況，確保其實(shí)施的有效性。
• 調(diào)動(dòng)人員、軟硬件資源，通過(guò)開(kāi)發(fā)管控措施，來(lái)加固應(yīng)用程序、基礎(chǔ)設(shè)施、以及流程中的弱點(diǎn)。
• 在用戶(hù)輸入端執(zhí)行全面的模糊測(cè)試，以衡量應(yīng)用程序輸入驗(yàn)證控件的有效性，并確保只接受經(jīng)過(guò)“消毒”過(guò)濾的輸入值。
• 可以發(fā)現(xiàn)不同團(tuán)隊(duì)在入侵響應(yīng)上的不足，進(jìn)而通過(guò)改進(jìn)內(nèi)部事件響應(yīng)流程，提高安全事件的響應(yīng)效率。

滲透測(cè)試的頻率

滲透測(cè)試的頻率取決于許多因素，包括：行業(yè)類(lèi)型、網(wǎng)絡(luò)技術(shù)、以及法規(guī)合規(guī)等方面。通常情況下，如果發(fā)生以下任一情況，我們都應(yīng)立即安排執(zhí)行滲透測(cè)試：

• 網(wǎng)絡(luò)或基礎(chǔ)設(shè)施發(fā)生重大變化
• 剛打上了安全修補(bǔ)程序
• 增添了新的應(yīng)用程序或基礎(chǔ)設(shè)施
• 更改了辦公室的位置，以及對(duì)應(yīng)的網(wǎng)絡(luò)
• 新頒布了行業(yè)法律與法規(guī)
• 新的威脅或漏洞被媒體披露

如何執(zhí)行滲透測(cè)試?

我們可以通過(guò)如下三種方法，開(kāi)展系統(tǒng)性的滲透測(cè)試：

• 自動(dòng)滲透測(cè)試
• 手動(dòng)滲透測(cè)試
• 自動(dòng)+手動(dòng)滲透測(cè)試

滲透測(cè)試的不同階段

就像網(wǎng)絡(luò)攻擊有著既定的先后步驟那樣，滲透測(cè)試也可以被分為不同的階段。其中，每個(gè)階段都有一個(gè)特定的目標(biāo)，并為下一個(gè)階段的攻擊做好準(zhǔn)備：

1.關(guān)鍵信息的收集

在這個(gè)研究階段，軟件測(cè)試(QA)人員可以從外部了解目標(biāo)公司及其員工信息。如果是黑客的話(huà)，則會(huì)利用在線(xiàn)工具，或是其他類(lèi)似的網(wǎng)絡(luò)資源，來(lái)掃描并測(cè)試目標(biāo)網(wǎng)站。

2.枚舉和識(shí)別

在這個(gè)階段，軟件測(cè)試人員會(huì)深入研究目標(biāo)網(wǎng)絡(luò)，盡可能地搜索可能受到影響的服務(wù)、開(kāi)放的端口、以及應(yīng)用程序。根據(jù)已征得同意的滲透測(cè)試類(lèi)型與程度，測(cè)試人員會(huì)收集并識(shí)別出目標(biāo)企業(yè)的關(guān)鍵信息，進(jìn)而發(fā)現(xiàn)環(huán)境中的切入點(diǎn)和漏洞。

3.漏洞掃描

通過(guò)前期的研究與準(zhǔn)備，性能測(cè)試團(tuán)隊(duì)將在這個(gè)階段采取手動(dòng)與自動(dòng)相結(jié)合的方式，掃描目標(biāo)網(wǎng)絡(luò)上的風(fēng)險(xiǎn)和漏洞。測(cè)試人員可以主要針對(duì)如下常見(jiàn)方面與部分，開(kāi)展計(jì)劃與測(cè)試：

• 業(yè)務(wù)關(guān)鍵資產(chǎn)
• 技術(shù)數(shù)據(jù)
• 客戶(hù)數(shù)據(jù)
• 員工數(shù)據(jù)
• 對(duì)內(nèi)部威脅和脆弱性的特定分類(lèi)
• 外部威脅–網(wǎng)絡(luò)協(xié)議、端口、網(wǎng)絡(luò)流量、Web應(yīng)用程序等
• 內(nèi)部威脅 - 供應(yīng)商、員工、管理層等

QA工程師通常會(huì)使用漏洞掃描器，來(lái)檢測(cè)漏洞，并對(duì)其所構(gòu)成的安全威脅進(jìn)行記錄。之后，QA測(cè)試人員將驗(yàn)證發(fā)現(xiàn)到的漏洞是否確實(shí)可能會(huì)被利用。全部的漏洞列表將在滲透測(cè)試結(jié)束的報(bào)告階段被提交。

4.確定最佳攻擊方法

所有前期準(zhǔn)備工作都已準(zhǔn)備就緒，QA專(zhuān)家將在這一階段決定攻擊面分析的最佳方式，通過(guò)評(píng)估風(fēng)險(xiǎn)和漏洞被利用的可能性，最終協(xié)同整個(gè)滲透測(cè)試團(tuán)隊(duì)制定出一整套攻擊的完整方案。

5.滲透和利用

前一個(gè)階段制定好的行動(dòng)計(jì)劃，會(huì)在這個(gè)階段被實(shí)施到已發(fā)現(xiàn)的漏洞上，以開(kāi)展獲取敏感信息，發(fā)動(dòng)DoS攻擊，破壞目標(biāo)系統(tǒng)的網(wǎng)絡(luò)資源等攻擊操作。具體而言，我們?cè)谶@個(gè)測(cè)試階段可以采取如下受控制的常見(jiàn)攻擊策略：

• 物理攻擊
• 網(wǎng)絡(luò)攻擊
• Web應(yīng)用攻擊
• Wi-Fi攻擊
• 社會(huì)工程學(xué)
• 零日利用
• 基于內(nèi)存的攻擊

道德黑客還將記錄和重新評(píng)估那些已被利用威脅或漏洞，在此基礎(chǔ)上深入研究哪些攻擊可能成為重要業(yè)務(wù)單元的最大隱患和風(fēng)險(xiǎn)點(diǎn)。最后，在利用階段，這些道德黑客應(yīng)也該清楚地分析出一旦此類(lèi)重要單元被利用后，會(huì)產(chǎn)生何種后果。

6.風(fēng)險(xiǎn)分析和建議

上面五個(gè)階段的主要目標(biāo)是獲悉和記錄可能受到攻擊的系統(tǒng)組件。為了保護(hù)它們所對(duì)應(yīng)的有形、無(wú)形的，物理與信息的資產(chǎn)價(jià)值，QA測(cè)試人員要進(jìn)行深入的風(fēng)險(xiǎn)分析。在此基礎(chǔ)上，他們?cè)囍鴶M定包含了減少和修復(fù)目標(biāo)環(huán)境安全漏洞和威脅的可行性建議。

值得注意的是，一旦測(cè)試完成，QA專(zhuān)家應(yīng)及時(shí)、主動(dòng)地清理被測(cè)環(huán)境，重新恢復(fù)和配置他們?cè)跍y(cè)試期間所獲取的準(zhǔn)入權(quán)限，并通過(guò)必要的手段，阻止將來(lái)未授權(quán)訪(fǎng)問(wèn)的發(fā)生。

7.報(bào)告準(zhǔn)備與目標(biāo)

報(bào)告的編制應(yīng)首先從總體性能測(cè)試流程開(kāi)始，然后才是風(fēng)險(xiǎn)與漏洞對(duì)分析。報(bào)告中，我們需要對(duì)重要的風(fēng)險(xiǎn)與漏洞設(shè)定優(yōu)先級(jí)，以便整改團(tuán)隊(duì)能夠按照由高到低的順序，依次進(jìn)行跟蹤和解決。當(dāng)然，如下方面也需要被體現(xiàn)在報(bào)告中：

• 清晰地羅列出報(bào)告的要點(diǎn)，分門(mén)別類(lèi)地展示測(cè)試中的發(fā)現(xiàn)
• 每個(gè)階段都應(yīng)列舉出在滲透測(cè)試期間所收集的數(shù)據(jù)
• 對(duì)所有已識(shí)別的風(fēng)險(xiǎn)和漏洞提供完整的描述
• 完整地闡述管理意圖和修復(fù)建議
• 聲明該報(bào)告針對(duì)的是目標(biāo)系統(tǒng)的當(dāng)前態(tài)勢(shì)，并提議持續(xù)進(jìn)行安全性測(cè)試

滲透測(cè)試的不足

雖然優(yōu)點(diǎn)居多，但是滲透測(cè)試也存在著如下客觀上的缺點(diǎn)和潛在影響：

• 滲透測(cè)試可能會(huì)使系統(tǒng)陷入故障狀態(tài)，甚至?xí)?dǎo)致系統(tǒng)的崩潰
• 測(cè)試的時(shí)間有限，且測(cè)試費(fèi)用比較高
• 被測(cè)數(shù)據(jù)容易出現(xiàn)錯(cuò)誤、損壞、甚至被“污染”
• 時(shí)間緊、任務(wù)急，有可能導(dǎo)致測(cè)試的范圍受限，進(jìn)而忽略了某些重要的部分和區(qū)域

滲透測(cè)試開(kāi)源(免費(fèi))工具：

• Wireshark - http://www.wireshark.org/
• Nessus - http://www.wireshark.org/
• OpenSSL - http://www.openssl.org/
• Nmap - http://nmap.org/
• Metasploit - http://www.metasploit.com/

小結(jié)

目前，云服務(wù)技術(shù)的發(fā)展為黑客和攻擊者提供了各種各樣的工具和資源，使得他們能夠毫不費(fèi)力地侵入各個(gè)系統(tǒng)和網(wǎng)絡(luò)，給企業(yè)的商業(yè)信譽(yù)、資產(chǎn)和服務(wù)造成巨大的損失。滲透測(cè)試不僅僅是一個(gè)基本的測(cè)試過(guò)程，它也可以被視為一種預(yù)防性的方法，用來(lái)發(fā)現(xiàn)和檢測(cè)各種安全缺陷和不同癥狀，進(jìn)而將系統(tǒng)的潛在安全風(fēng)險(xiǎn)消減在未然。

原文標(biāo)題：A Complete Guide to the Stages of Penetration Testing，作者: Niranjan Limbachiya

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】