多年來�����,滲透測(cè)試向來是確定一家公司的數(shù)字化基礎(chǔ)設(shè)施安全級(jí)別的主要手段。然而����,如今有越來越多的安全專家在質(zhì)疑滲透測(cè)試的有效性���。
Infoblox公司歐洲���、非洲和中東區(qū)的技術(shù)主管Chris Marrison著有博文《現(xiàn)在是不是該放棄滲透測(cè)試了?》,他對(duì)這個(gè)問題發(fā)表了個(gè)人觀點(diǎn)�。Marrison說:“由于沒有一個(gè)防火墻百分之百有效地將攻擊者拒之門外,又由于網(wǎng)絡(luò)繼續(xù)日益龐大����、形態(tài)發(fā)生變化,很顯然企業(yè)現(xiàn)在需要采用一種新的方法來保護(hù)其IT基礎(chǔ)設(shè)施���?����!?/p>
到底何謂滲透測(cè)試?
大多數(shù)數(shù)字取證和安全專業(yè)人員在其職業(yè)生涯的某個(gè)階段會(huì)用到美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)(SANS Institute)的滲透測(cè)試課程����。知道了這一點(diǎn),有必要看看SANS是如何定義滲透測(cè)試的�����。據(jù)SANS聲稱�,滲透測(cè)試具有下列特點(diǎn):
?模擬現(xiàn)實(shí)世界中的攻擊者的活動(dòng);
?找到目標(biāo)系統(tǒng)中的安全漏洞;
?在受到控制的環(huán)境下利用已發(fā)現(xiàn)的安全漏洞;
?以一種安全的方式確定風(fēng)險(xiǎn)并記錄風(fēng)險(xiǎn)和潛在的業(yè)務(wù)影響,并且遵守約定的交戰(zhàn)規(guī)則�。
?幫助企業(yè)確定資源的優(yōu)先級(jí),從而改善安全狀況���。
Marrison搬出理由
首先��,Marrison指出�,網(wǎng)絡(luò)攻擊已從到處炫耀的惡作劇演變成嚴(yán)重的�����、牟取錢財(cái)?shù)母呒?jí)持續(xù)性威脅(APT)�,不法分子更喜歡盡可能長(zhǎng)時(shí)間地隱姓埋名����。在Marrison看來這意味著��,“安全團(tuán)隊(duì)需要把注意力放在別處�����,不是放在什么威脅偷偷潛入到系統(tǒng)中��,而是放在什么威脅導(dǎo)致信息外泄�?�!?/p>
據(jù)Marrison聲稱�����,滲透測(cè)試的可行性面臨的另一個(gè)問題是�����,缺少明顯的網(wǎng)絡(luò)邊界�。由于數(shù)量激增的移動(dòng)設(shè)備、云服務(wù)�����、物聯(lián)網(wǎng)設(shè)備以及Marrison所謂的影子IT,現(xiàn)在很難劃定公司與龐大互聯(lián)網(wǎng)之間的界線�。Marrison說:“簡(jiǎn)而言之,需要巡邏的柵欄里程越長(zhǎng)�,潛在的入口點(diǎn)越多,將攻擊者拒之門外就越困難��。按道理講�,這將意味著滲透測(cè)試現(xiàn)在比過去來得更重要,但是實(shí)際情況未必如此�����?��!?/p>
來自內(nèi)部的攻擊
攻擊者在誘使公司員工發(fā)起對(duì)外連接���,從而避開邊界防御機(jī)制。兩種最流行的方法就是使用網(wǎng)絡(luò)釣魚電子郵件�,或者欺騙員工訪問惡意網(wǎng)站。據(jù)Marrison聲稱����,內(nèi)部人員在公司的網(wǎng)絡(luò)邊界外面建立一條連接讓APT攻擊者得以趁虛而入���。思科公司的《2014年年度安全報(bào)告》證實(shí)了Marrison的說法。報(bào)告聲稱:“大多數(shù)企業(yè)(無論規(guī)模大小)都已經(jīng)遭到了危及�,卻渾然不知:思科分析的100%的企業(yè)網(wǎng)絡(luò)其流量傳輸?shù)綈阂廛浖摲木W(wǎng)站?����!?/p>
Marrison說:“對(duì)IT安全團(tuán)隊(duì)來說�,現(xiàn)在可能更重要的是,找到行之有效的方法來監(jiān)控��、發(fā)現(xiàn)��、識(shí)別已經(jīng)潛入到網(wǎng)絡(luò)中的惡意軟件和威脅����,并采取相應(yīng)的補(bǔ)救措施���,而不是將資源投入到滲透測(cè)試等措施上����。”
測(cè)試滲透人員并不贊同
安全顧問兼講師Matthew J. Harmon也在講授滲透測(cè)試方面的SANS Institute課程����。我聯(lián)系上了Harmon,請(qǐng)他談?wù)劃B透測(cè)試在對(duì)付網(wǎng)絡(luò)攻擊方面所起的作用����。
Harmon表示,大多數(shù)APT攻擊利用了“可憐的安全衛(wèi)生”���。至于這句話的意思�,Harmon讓我參閱網(wǎng)絡(luò)安全委員會(huì)(Council on CyberSecurity)及其關(guān)鍵安全控制(Critical Security Controls)框架�����。該框架包括20種控制機(jī)制����。SANS網(wǎng)站解釋:“這些控制源自最常見的攻擊模式,在政府和行業(yè)組成的廣泛社區(qū)得到了全面的審查��,由此形成的一套控制機(jī)制得到了強(qiáng)烈的共識(shí)����。它們?yōu)榱⒓床扇〉闹匾袆?dòng)充當(dāng)了基礎(chǔ)���。”最重要的前五項(xiàng)控制機(jī)制如下:
1. 清點(diǎn)授權(quán)設(shè)備和未授權(quán)設(shè)備;
2. 清點(diǎn)授權(quán)軟件和未授權(quán)軟件;
3. 保護(hù)移動(dòng)設(shè)備�����、筆記本電腦�����、工作站和服務(wù)器上的軟硬件配置;
4. 持續(xù)不斷地評(píng)估及補(bǔ)救安全漏洞;
5. 惡意軟件防御���。
不采用關(guān)鍵安全控制框架在Harmon看來是可憐的安全衛(wèi)生���。Harmon還指出,上述控制機(jī)制是滲透測(cè)試的必要部分����,另外他還給出了加強(qiáng)客戶網(wǎng)絡(luò)安全狀況的若干方法。Harmon在陳述理由時(shí)最后發(fā)表了這番高見:“滲透測(cè)試的主要目的是���,搶在企業(yè)的安全部門檢測(cè)和響應(yīng)之前,查明攻擊者能夠利用什么漏洞��、泄密什么信息?!?/p>
混合方法才是最佳之道
我詢問了SANS講師、Rendition Infosec公司的負(fù)責(zé)人Jake Williams是否需要滲透測(cè)試����。他同意Marrison的觀點(diǎn):監(jiān)控和獲得可見性都很重要。Williams說:“但是�����,我不敢支持滲透測(cè)試不需要這一說法�。你需要結(jié)合監(jiān)控和滲透測(cè)試的這樣一種混合方法?�!?/p>
英文:determining whether penetration testing is effective
本文標(biāo)題:如何確定滲透測(cè)試是否行之有效?
URL鏈接:
http://uogjgqi.cn/article/cdpciej.html
