我对“***性测试”的理解

我对“***性测试”的理解 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

Jack zhai

 

提起***性测试(模拟***进行“合法”的网络***测试)，人们自然会想到***，好象做这种测试的只有真正的***才可以做到，但***通常是“虚拟网络”中的人物，与现实生活中的人很难对应，对于他们的行为感到神秘也是自然的。测试与***有什么不同呢？我刚从事安全研究时也很困惑，***是不按常理出牌的思维，遵循套路的只能是表演，不会实用，那么安全公司的专家们是如何进行***性测试呢？

一般来说，这种测试的过程都是半隐蔽的，不同的安全公司、不同的人做这种测试的结果差异巨大。我们最终看到的多是一些结果报告，多数的报告是“模板”式的，开头是一大堆发现的漏洞，结果里总说这有问题，那有问题，但究竟问题对用户数据安全、业务服务的具体影响？这个漏洞是否可以成为***的窗口？***者能否躲避开监控系统的眼睛，能否躲开安全管理者为他们设计的种种“陷阱”？能说明白的就非常少了。有漏洞不希奇，漏洞也分不同的级别，“虱子多了不咬”，用户看了，一般都被搞得“找不到北”。反正“安全专家”说：网络漏洞还很多，具体什么问题就不说了，怎么办呢？赶快买安全设备吧，花钱的时候别心痛，反正是国家的钱…花钱事小，安全责任重大啊…

这种报告里，***的“实际成果”很少，有些“吓唬”用户的意思，漏洞是否可被利用，究竟能产生多大的危害，才是用户真正想要的。当然安全公司这样做也有些无奈。一是要真正能***，并能取得“战果”，需要利用很多的***工具，绕过自己安全产品的最新跟踪技术，同时测试参与者要具备相当的“***实战”能力，这一点，商业化的安全公司显然是无法标准产品化的；二是真的获取了用户的机密资料，客户能接受吗？很多客户的安全测试大多是例行公事，发生了安全事件，就牵扯责任问题，问题就变得复杂了。

为了说明这种无奈，我们先看一下一般企业的网络结构图：

 

一般***来自互联网(大家最容易接受的)，主要是企业的互联网门户(如网站、公共服务器等)、互联网出口、企业***访问网关等，都是***的首要位置，但实际上***通过企业办公区域网络接入、办公区域WLAN接入、员工移动电脑***等内部方式更为方便、直接。

虽然安全公司与企业签定“合法”***协议、保密协议等，但若真的企业机密被测试者拿到，企业也非常没有面子，当然也就不是很高兴了，因此，大多数的安全公司采用了“黑盒表面”测试，黑盒就是不探明网络内部结构，不用发现机密资源的具体位置与获取方式，重要的是：表面测试不用细致分析企业内部业务流程上的安全漏洞，只在网络“表面”做***；所以，只要发现网络可***的漏洞，在报告中告之客户这个漏洞是存在的，是有可能被利用进行***的，基本就停住了，再往深一步的***，除非是用户强烈要求。

正是基于这样的想法，安全公司与用户安全管理者都很有面子，项目操作很容易标准化，双方都非常乐意接受。当然，同质化的结果就是***性测试的价格非常低廉，与通用的风险评估相差无几了。

 

最初的***性测试不是这样，应该说是一些***“从良”后的善意工作，***就是***的真实模拟。

《***的艺术》中记录了一个小故事：“一双袜子”

一家制作数字购物卷的公司请安全公司对自己的网络做***性测试。如何“***”呢？该公司以数字信息为生，购物卷就是钱，公司对系统安全很重视，密码系统非常完备，尝试破解是困难的。***者观察了商家如何兑换购物卷，因为测试协议给了他们一个商家账号(模拟用户)，他们通过这个账号进入兑换系统，很快发现兑换系统有个应用漏洞，能执行***者的任何命令。

兑换中心的计算机与制作购物卷的公司是连通的，利用域信任关系，***者很容易进入到公司内部网络，并发现了制作购物卷的系统，通过商家的业务定单系统很容易给这个“造币机”下达指令。***者可不只是显示个用户提示符(成功登录)，而是给自己制作了一张购物卷，金额是难以想象的，折合美元为19亿元。

***者用这张购物卷在商家的网站上订购了一双袜子，交易成功，商家不得不为这双价值19亿的袜子买单，因为购物卷是“真”的，当然，袜子也是真的…

 

***性测试是模拟******的思维，而不是形式。那么******时想什么？因为任何安全体系的建设都是基于一种信任的，网络的存在是要为人提供服务的，不可能对所有人都封闭，所以***想的应该是：正常用户业务处理的正常逻辑、方法，用户需要这样去完成他的工作，就需要IT部门这样支持业务访问通道，***模拟成企业员工，通过同样的通道，就不容易被发现。当然这里说的***不包括野蛮型的DDOS***与表演型的网站涂鸦***，这两种***都只在企业网络外部，不需要***到内部。

实际的网络***是一种“灰盒”测试，所谓灰的含义是***在***的过程中，通过猜测与分析、信息收集，逐渐明晰网络的内部结构(防火墙的位置，机密资源所在的服务器位置等)。***性测试要简单一些，可以看作是一种白盒测试，测试者可以先得到部分“内部”信息，或一些实验账号，可以节省很多探测的时间，但它与***的目的是一样的，都是要利用一切可能的漏洞进入，无声无息地取走机密信息。

这样，我们再看企业网络结构图，***性测试的目标就明确了，要找到进入目标资源的通道，而不仅仅是找到进入网络的通道。更为重要的是：测试还需要有非常好的自我隐蔽技术，不能很快被发现(安全监视系统与审计系统能在你获取机密资源前发现你)，因为进入网络后，获取目标资源还需要很多时间，这也正式***性测试与风险评估的差别，风险评估常常是评价防护体系，而***性测试常常是与监控体系较量，***进去是一种技术，进去后不被发现地干好自己的事情是另一种技术---隐藏技术。

 

 

我们总结了一些衡量***性测试结果的信息，通常以获得下面信息为标志：

Ø  企业员工信息表：姓名、身份证、电话、邮箱、住址、简历、薪水…

Ø  高级管理人员的财务支出明细

Ø  ***CEO的电脑(密码与信息)

Ø  商业秘密的邮件与企业合约

Ø  领导的电话语音(有电话信箱的)

Ø  企业核心机密资料(如软件公司的源代码库)

Ø  安装后门，保证进入通道

Ø  各种服务器账户与密码列表

Ø  高级管理人员的账户与密码列表

***性测试的报告中，应该提交***可利用的资源分布图(服务器、账号、密码列表)，包括可看到的、可拿走的、可篡改的…

 

当然，安全漏洞都是有时限的，用户打上了补丁，可能“通道”就关闭了，所以***性测试的结果也有时限意义。按我们的经验，***性测试的结果通常不是要用户增加多少安全设备与投资，而是要用户提高安全措施的利用程度，加强安全管理，如制度落实、安全事件有人管、监控报警有人跟、审计记录有人看…

我们没有“神话”***性测试过程，但它的确需要改变安全公司常用的安全防护思路，用***的***式的思维去想问题，才能有理想的效果。