隨著網(wǎng)絡安全形勢的愈加嚴峻，如今企業(yè)也越來越重視網(wǎng)絡安全建設，定期開展?jié)B透測試正在成為一種趨勢。

網(wǎng)絡安全滲透測試，能夠幫助企業(yè)從攻擊者的角度思考，快速了解企業(yè)在網(wǎng)絡防御方面的不足。通過梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑，以便更好地修復或應對風險。

盡管開展?jié)B透測試對于企業(yè)來說非常重要，但是很多企業(yè)在準備制定滲透測試計劃時，對于滲透測試服務的理解和需求，往往與真實服務情況存在著很多偏差。

那么，企業(yè)該如何正確認知滲透測試工作，并有效避免誤區(qū)?

1.滲透測試的關鍵特征

對于一些企業(yè)的安全團隊而言，很難將滲透測試與漏洞測試、漏洞懸賞以及新興的BAS(入侵和攻擊模擬)技術區(qū)分開來。確實，這些安全技術和服務在很多方面都存在重疊，但它們也都有著自己的特點。

從本質上講，滲透測試是一個主要依靠安全專家或團隊以人工方式模仿攻擊者的真實攻擊行為，其目的是在數(shù)字化基礎設施的不同層級，找到進入可以攻破目標網(wǎng)絡的最有效方法。

漏洞測試，主要是為了在尋找軟件應用系統(tǒng)中的缺陷，并幫助組織了解如何解決它們。而漏洞懸賞計劃通常僅限于移動或web應用程序，可能與真正的入侵行為并不匹配。

漏洞賞金獵人的目標只是盡快找到漏洞并提交報告以獲得獎勵，而不是深入調(diào)查問題與解決問題。

入侵和攻擊模擬(BAS)是一項新興的安全防護技術。它遵循“掃描、漏洞利用和不斷重復”的設計邏輯，依賴于自動化執(zhí)行測試的工具，幾乎不需要安全人員的參與。

BAS項目本質上是連續(xù)的，并且會隨著網(wǎng)絡的變化動態(tài)地產(chǎn)生測試結果。

總的來說，滲透測試相比其他類似的安全技術，具有兩個關鍵性特征：首先，它是由人類完成的，在很大程度上取決于人工進攻戰(zhàn)術;其次，它默認所有的數(shù)字化系統(tǒng)都會存在安全缺陷，需要全面的安全評估，并根據(jù)受到攻擊后的危害程度確定修復的優(yōu)先級。

2.考慮價值而不是成本

根據(jù)測試方法和目標的不同，滲透測試通常分為外部測試、內(nèi)部測試、盲測、針對性測試等。

然而，很多企業(yè)為了節(jié)省成本，往往會選擇收費更便宜的測試提供商和測試方式，并認為各種類型測試的結果會很相似，但事實并非如此。

首先，與大多數(shù)服務一樣，滲透測試的程度差異很大，既有覆蓋網(wǎng)絡所有區(qū)域的廣泛測試，也有針對網(wǎng)絡中少數(shù)區(qū)域的非廣泛測試。

其次，提供滲透測試服務的公司很多，這些公司都有各自的優(yōu)勢和弱點，他們的技術也各有千秋，呈現(xiàn)測試結果的方式也有好有壞。企業(yè)有必要確保所選測試團隊的能力能夠滿足測試需要。

隨著數(shù)字化轉型的深入，各種數(shù)據(jù)資產(chǎn)對企業(yè)而言是無價的，一旦數(shù)據(jù)被非法泄露，組織的商譽會受到嚴重損害。

而如果攻擊者的目標是為了勒索錢財，他們索要的贖金數(shù)額通常也會遠高于滲透測試的成本預算。

因此，考慮到與網(wǎng)絡攻擊造成的經(jīng)濟損失相比，投入到滲透測試的成本可以說是微不足道的。企業(yè)應該根據(jù)實際需求，專注于尋找從測試中獲得的價值，而不是成本。

3.滲透測試的方法和流程

滲透測試方法

• 黑盒測試：將測試對象看作一個黑盒子，安全不考慮測試對象的內(nèi)部結構;
• 白盒測試：把測試對象看作一個打開的盒子，測試人員一句測試對象內(nèi)部邏輯結構相關的信息，設計或選擇測試用例;
• 灰盒測試：介于白盒與黑盒之間，是基于對測試對象內(nèi)部細節(jié)有限認知的軟件測試方法。

滲透測試目標

主機操作系統(tǒng)的測試、數(shù)據(jù)庫系統(tǒng)的測試、應用系統(tǒng)的測試、網(wǎng)絡設備的測試。

滲透測試過程

滲透測試有一個執(zhí)行標準(PTES)，其核心理念是通過建立起進行滲透測試所需要的基本準則基線，來定義一次真正的滲透測試過程。

標準將滲透測試過程分為七個階段，依次為：前期交互階段、情報收集階段、威脅建模階段、漏洞分析階段、滲透攻擊階段、后滲透攻擊階段、報告階段。

前期交互階段

在前期交互階段，滲透測試團隊與客戶組織主要進行交互討論。該階段通常涉及收集客戶需求、準備測試計劃、定義測試范圍與邊界、定義業(yè)務目標、項目管理與規(guī)劃等活動。

滲透測試首先必須將實施方法、實施時間 、實施人員，實施工具等具體的實施方案提交給客戶，并得到客戶的相應書面委托和授權。

應該做到客戶對滲透測試所有細節(jié)和風險的知曉、所有過程都在客戶的控制下進行。

信息收集分析階段

信息收集是每一步滲透攻擊的前提，通過信息收集可以有針對性的制定模擬攻擊測試計劃，提高模擬攻擊的成功率，同時可以有效的降低攻擊測試對系統(tǒng)正常運行造成的不利影響。

這一步主要包括白盒收集、人力資源情報、踩點、尋找外網(wǎng)入口以及識別防御機制。

威脅建模階段

威脅建模主要使用情報搜集階段所活的到的信息，來標識出目標系統(tǒng)上可能存在的安全漏洞與弱點。

在威脅建模階段，通常需要將客戶組織作為敵手來看待，然后以攻擊者的視角和思維來嘗試利用目標系統(tǒng)的弱點。

此階段的工作主要為：業(yè)務流程分析、威脅對手/社區(qū)分析、威脅對手/社區(qū)分析。

漏洞分析階段

漏洞分析階段主要是從前面幾個環(huán)節(jié)獲取的信息分析和理解，哪些攻擊途徑是可行的。

特別需要重點分析端口和漏洞掃描結果，提取到的服務“旗幟”信息，以及在情報收集環(huán)節(jié)中得到的其他關鍵信息。

滲透攻擊階段

滲透攻擊主要是針對目標系統(tǒng)實施深入研究和測試的滲透攻擊，并不是進行大量漫無目的的滲透測試。

后滲透攻擊階段

后滲透攻擊階段主要是從已經(jīng)攻陷了的客戶組織系統(tǒng)標識出關鍵的基礎設施，尋找最具有價值信息和資產(chǎn)。主要包括：基礎設施分析、高價值目標識別、掠奪敏感信息、掩蹤滅跡、權限維持。

滲透測試報告

報告是滲透測試過程中最為重要的因素，將使用報告文檔來交流在滲透測試過程中做了哪些，如何做的，以及最為重要的就是告訴客戶組織如何修復所發(fā)現(xiàn)的安全漏洞與弱點。

4.滲透測試的誤區(qū)

從測試中獲得一個好的結果只是一個良好的開始，但企業(yè)不應該沾沾自喜，這也不代表企業(yè)的網(wǎng)絡安全防護工作高枕無憂。

只要組織的數(shù)字化系統(tǒng)還在運行，它就時刻會面臨各種不斷出現(xiàn)的新威脅。網(wǎng)絡犯罪分子會不停地尋找系統(tǒng)中的漏洞，如果滲透測試間隔時間長，他們就有機會領先于企業(yè)發(fā)現(xiàn)可利用的新漏洞。

良好的測試結果只是肯定了過去建設的成績，并激勵組織繼續(xù)重視在安全方面的投入。因此，企業(yè)應該持續(xù)性進行滲透測試，以消除新出現(xiàn)的威脅，并確保系統(tǒng)沒有威脅。

此外，關于滲透測試還有一個長期存在的誤區(qū)，那就是外部人員執(zhí)行滲透測試會比內(nèi)部人員更有效，其原因是外部人員對企業(yè)的數(shù)字化系統(tǒng)并不熟悉，因此會更加客觀。

雖然客觀性是滲透測試有效性的關鍵，但了解業(yè)務系統(tǒng)并不就意味著不客觀。

其實滲透測試可由企業(yè)內(nèi)部員工、專業(yè)服務商或其他第三方機構完成。滲透測試由標準程序和性能度量組成，只要測試者能夠嚴格遵循測試指導原則，測試結果就是有效的。

對于企業(yè)而言，選擇的重點不應該放在聘請外部或內(nèi)部測試者上，而是應該放在尋找能夠出色完成工作的測試者上。

5.結語

隨著網(wǎng)絡安全威脅的不斷擴展與升級， 滲透測試目前已經(jīng)成為現(xiàn)代企業(yè)組織主動識別安全漏洞與潛在風險的關鍵過程。

但不幸的是，仍然有很多組織并未認識到主動評估安全態(tài)勢的價值，而一些組織盡管開展了滲透測試工作，但主要目的也只是為了滿足合規(guī)要求。

但不管企業(yè)開展?jié)B透測試的目的是什么，只要測試結果能被用于做出有意義的改變，這項工作就是成功和有效的。

企業(yè)應該從測試的關鍵發(fā)現(xiàn)中吸取教訓，并采取適當?shù)男袆觼砑訌娊M織的安全防御。