很多 CISO 极其信赖渗透测试——对公司基础设施的模拟攻击(通常是网络基础设施,但实体安全测试也会落入此模拟攻击范围)。意大利国家电力公司 Enel 的 CISO Yuri Rassega 也不例外。他表示,自己的公司每年对公司关键资产执行约 400 次深度漏洞测试,平均每天超过一次。
但若未清晰界定测试范围并达成共识,事情就有可能很快跑偏:网络安全公司 Coalfire 对爱荷华州法院的渗透测试就导致两名员工因非法侵入被捕。
正如 Coalfire 哀叹的:Coalfire 和州法院管理处认为已就工作范围中所含位置的实体安全评估达成了一致……最近的事件却表明他们对该协议的范围有不一样的解释。
渗透测试本身的定义也会出现类似的混乱。
漏洞奖励公司 HackerOne 的技术项目经理 Niels Schweisshelm 透露:一定不能弄混渗透测试和漏洞评估。漏洞评估的结果是系统中漏洞的概览,而渗透测试是通过结合并利用上述漏洞来揭示整体影响。
简言之,黑客侵入某系统可不仅仅是靠发现一个可打开网络的大漏洞。
恶意黑客入侵系统通常是先找出一个低级漏洞,然后结合其他一系列低级漏洞,一步步获取更高权限。
渗透测试的艰难时刻:他们决定进入完全 “红队” 模式
客户和渗透测试员之间的绝对清晰非常重要。
正如 Synopsys 高级首席顾问 Andrew van der Stock 强调的:真正的攻击者没有交战规则、时间限制和界限,但我们有。
我知道某前任雇主的一次渗透测试中就没提到数据渗漏方面的规则。一位年轻的团队成员发现了一个默认高权限账户。这是个应该上报的发现,但他们决定进入完全 ‘红队’ 模式,克隆并下载了一个大对象以供后续分析,抽干了系统的磁盘空间。该事件导致客户和测试员都陷入了艰难对话……
沟通与许可为王。
谨慎选择供应商
Context Information Security 首席顾问兼红队主管 Rob Downie 称:大范围和高操作自由度的渗透测试常被归入 “红队” 或 “模拟攻击” 范畴讨论。这种类型的测试着眼全部安全控制,往往针对更高级和完备的防御团队,评估人员、过程和技术联动中的漏洞。
这可真实剖析公司防御表现,但也需要一些高级专业技能以安全可控的方式来规划、风险管理和交付。这就使得供应商选择对寻求此类服务的公司企业而言更加重要了。
优秀渗透测试员需具备哪些素质?
很明显,对操作系统和协议的深度理解是关键。对应用及工具工作原理和互动模式的敏锐目光,有助发现可组合使用的低级漏洞。
但 F-Secure Consulting 的技术总监 David Hartley 强调,良好的攻击性安全技术还仅仅是个开始。他指出:最终,渗透测试员工具箱中最重要的工具是 Word 和 Powerpint。
客户要的是结果,渗透测试员技术有多高明无关紧要,渗透测试对客户的价值是通过测试结果的有用程度和可执行程度体现的。渗透测试是深度技术评估,非技术人员未必总能理解其结果。
他补充道,帮助董事会理解测试发现的重要性,将测试结果映射至业务风险上,以及帮助客户解决这些风险,才是真正的挑战。在这方面,以攻击路径图的图形化方式呈现,往往比满屏的服务器 shell 截图有效得多。
专家们都用哪些工具?
攻击安全专家们都用哪些小工具针对你的公司呢?HackerOne 技术项目经理 Niels Schweisshelm 解释道:渗透测试员使用什么工具取决于评估的类型。
大多数渗透测试员会用 Burp Suite 执行 Web 应用渗透测试,Nmap 或 Masscan 则在基础设施渗透测试中更为重要。无论什么类型的测试活动,渗透测试员都必须了解测试目标,能够改造现有工具或撰写新工具来适应测试需求。
Synopsys 的 van der Stock 补充道:面对这个问题,大部分人会给出自己最钟爱的工具或套装名称,比如 “Burp Suite Pro” 或 “Kali”,但渗透测试工具包中最本质的部分是他们的脑子。
如果不具备攻击思维,没有任何工具帮得了你。第二重要的工具,是可供实操的脆弱应用,比如 OWASP Juice Shop 或任意数量的夺旗 (CTF) 虚拟机。渗透测试员可以使用这些脆弱系统磨砺在现实世界中极少有机会用到的技术。
最后,渗透测试员需谋划作恶。滥用用例生成与验证是渗透测试员的主要技术。如果渗透测试员认为自己的工作就是照看自动化工具和分类结果,那这工作就不仅是消磨精神,也不是真正的渗透测试,而仅仅是漏洞扫描了。现在找出的大多数高影响度漏洞极少是可自动化检测和利用的。
OWASP Juice Shop: