提起渗透性测试(模拟黑客进行“合法”的网络入侵测试),人们自然会想到黑客,好象做这种测试的只有真正的黑客才可以做到,但黑客通常是“虚拟网络”中的人物,与现实生活中的人很难对应,对于他们的行为感到神秘也是自然的。测试与攻击有什么不同呢?刚从事安全研究时会很困惑,攻击是不按常理出牌的思维,遵循套路的只能是表演,不会实用,那么安全公司的专家们是如何进行渗透性测试呢?
一般来说,这种测试的过程都是半隐蔽的,不同的安全公司、不同的人做这种测试的结果差异巨大。
我们最终看到的多是一些结果报告,多数的报告是“模板”式的,开头是一大堆发现的漏洞,结果里总说这有问题,那有问题。
这种报告里,渗透的“实际成果”很少,有些“吓唬”用户的意思,漏洞是否可被利用,究竟能产生多大的危害,才是用户真正想要的。
首先我们先看一下一般企业的网络结构图
一般攻击来自互联网,主要是企业的互联网门户、互联网出口、企业VPN访问网关等,都是攻击的首要位置,但实际上入侵通过企业办公区域网络接入、办公区域WLAN接入、员工移动电脑木马等内部方式更为方便、直接。
大多数的安全公司采用了“黑盒表面”测试,表面测试不用细致分析企业内部业务流程上的安全漏洞,只在网络“表面”做攻击。
最初的渗透性测试不是这样,应该说是一些黑客“从良”后的善意工作,渗透就是入侵的真实模拟。渗透性测试是模拟黑客入侵的思维,而不是形式。因为任何安全体系的建设都是基于一种信任的,网络的存在是要为人提供服务的,不可能对所有人都封闭。
所以黑客会利用正常用户业务处理的正常逻辑、方法,用户需要这样去完成他的工作,就需要IT部门这样支持业务访问通道,黑客模拟成企业员工,通过同样的通道,就不容易被发现。
这样我们再看一下一般企业的网络结构图
这样,我们再看企业网络结构图,渗透性测试的目标就明确了,要找到进入目标资源的通道,而不仅仅是找到进入网络的通道。
更为重要的是:测试还需要有非常好的自我隐蔽技术,不能很快被发现(安全监视系统与审计系统能在你获取机密资源前发现你),因为进入网络后,获取目标资源还需要很多时间,这也正式渗透性测试与风险评估的差别。
风险评估常常是评价防护体系,而渗透性测试常常是与监控体系较量,入侵进去是一种技术,进去后不被发现地干好自己的事情是另一种技术---隐藏技术。
经验
我们总结了一些衡量渗透性测试结果的信息,通常以获得下面信息为标志:
-
企业员工信息表:姓名、身份证、电话、邮箱、住址、简历、薪水…
-
高级管理人员的财务支出明细
-
入侵CEO的电脑(密码与信息)
-
商业秘密的邮件与企业合约
-
领导的电话语音(有电话信箱的)
-
企业核心机密资料(如软件公司的源代码库)
-
安装后门,保证进入通道
-
各种服务器账户与密码列表
-
高级管理人员的账户与密码列表
当然,安全漏洞都是有时限的,打上了补丁,可能“通道”就关闭了,所以渗透性测试的结果也有时限意义。
渗透性测试的结果通常不是要用户增加多少安全设备与投资,而是要用户提高安全措施的利用程度,加强安全管理,如制度落实、安全事件有人管、监控报警有人跟、审计记录有人看。
没有“神话”渗透性测试过程,但它的确需要改变安全公司常用的安全防护思路,用黑客的入侵式的思维去想问题,才能有理想的效果。
学习资源分享
很多小伙伴想要一窥网络安全整个体系,这里我分享一份打磨了4年,已经成功修改到4.0版本的《平均薪资40w的网络安全工程师学习路线图》
一些其他平台白嫖不到的视频教程
网络安全超实用教程文档工具包
查漏补缺面试题库
常用工具一览表
以上学习路线附全套教程无偿分享,如有朋友需要扫码下方二维码免费获取,免费领取!
2708
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
