滲透測(cè)試也許是你的網(wǎng)絡(luò)防御工具箱當(dāng)中的重要武器之一。應(yīng)該視之為各種安全審查的一部分,但要確保審查人員勝任這項(xiàng)工作。
也許你可能還是有疑問(wèn):我定期更新安全策略和程序,時(shí)時(shí)給系統(tǒng)打補(bǔ)丁,并采用了安全軟件,以確保所有補(bǔ)丁都已打上,還需要滲透測(cè)試嗎?需要!這些措施就好像是金庫(kù)建設(shè)時(shí)的金庫(kù)建設(shè)規(guī)范要求,你按照要求來(lái)建設(shè)并不表示可以高枕無(wú)憂。而請(qǐng)專業(yè)滲透測(cè)試人員(一般來(lái)自外部的專業(yè)安全服務(wù)公司)進(jìn)行審查或滲透測(cè)試就好像是金庫(kù)建設(shè)后的安全檢測(cè)、評(píng)估和模擬入侵演習(xí),來(lái)獨(dú)立地檢查你的網(wǎng)絡(luò)安全策略和安全狀態(tài)是否達(dá)到了期望。滲透測(cè)試能夠通過(guò)識(shí)別安全問(wèn)題來(lái)幫助了解當(dāng)前的安全狀況。到位的滲透測(cè)試可以證明你的防御確實(shí)有效,或者查出問(wèn)題,幫助你阻擋可能潛在的攻擊。提前發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞,并進(jìn)行必要的修補(bǔ),就像是未雨綢繆;而被其他人發(fā)現(xiàn)漏洞并利用漏洞攻擊系統(tǒng),發(fā)生安全事故后的補(bǔ)救,就像是亡羊補(bǔ)牢。很明顯未雨綢繆勝過(guò)亡羊補(bǔ)牢。
滲透測(cè)試能夠通過(guò)識(shí)別安全問(wèn)題來(lái)幫助一個(gè)單位理解當(dāng)前的安全狀況。這使促使許多單位開(kāi)發(fā)操作規(guī)劃來(lái)減少攻擊或誤用的威脅。
撰寫(xiě)良好的滲透測(cè)試結(jié)果可以幫助管理人員建立可靠的商業(yè)案例,以便證明所增加的安全性預(yù)算或者將安全性問(wèn)題傳達(dá)到高級(jí)管理層。
滲透測(cè)試,是為了證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制。不妨假設(shè),你的公司定期更新安全策略和程序,時(shí)時(shí)給系統(tǒng)打補(bǔ)丁,并采用了漏洞掃描器等工具,以確保所有補(bǔ)丁都已打上。如果你早已做到了這些,為什么還要請(qǐng)外方進(jìn)行審查或滲透測(cè)試呢?因?yàn)椋瑵B透測(cè)試能夠獨(dú)立地檢查你的網(wǎng)絡(luò)策略,換句話說(shuō),就是給你的系統(tǒng)安了一雙眼睛。而且,進(jìn)行這類測(cè)試的,都是尋找網(wǎng)絡(luò)系統(tǒng)安全漏洞的專業(yè)人士。
滲透測(cè)試 (penetration test)并沒(méi)有一個(gè)標(biāo)準(zhǔn)的定義,國(guó)外一些安全組織達(dá)成共識(shí)的通用說(shuō)法是:滲透測(cè)試是通過(guò)模擬惡意**的攻擊方法,來(lái)評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。這個(gè)過(guò)程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析,這個(gè)分析是從一個(gè)攻擊者可能存在的位置來(lái)進(jìn)行的,并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。
換句話來(lái)說(shuō),滲透測(cè)試是指滲透人員在不同的位置(比如從內(nèi)網(wǎng)、從外網(wǎng)等位置)利用各種手段對(duì)某個(gè)特定網(wǎng)絡(luò)進(jìn)行測(cè)試,以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞,然后輸出滲透測(cè)試報(bào)告,并提交給網(wǎng)絡(luò)所有者。網(wǎng)絡(luò)所有者根據(jù)滲透人員提供的滲透測(cè)試報(bào)告,可以清晰知曉系統(tǒng)中存在的安全隱患和問(wèn)題。
我們認(rèn)為滲透測(cè)試還具有的兩個(gè)顯著特點(diǎn)是:滲透測(cè)試是一個(gè)漸進(jìn)的并且逐步深入的過(guò)程。滲透測(cè)試是選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測(cè)試。
作為網(wǎng)絡(luò)安全防范的一種新技術(shù),對(duì)于網(wǎng)絡(luò)安全組織具有實(shí)際應(yīng)用價(jià)值。但要找到一家合適的公司實(shí)施滲透測(cè)試并不容易。
以外部需要訪問(wèn)的Web或應(yīng)用服務(wù)器為例,你應(yīng)該考慮與滲透測(cè)試人員共享這些應(yīng)用的源代碼,如果測(cè)試涉及這些腳本或程序的話。沒(méi)有源代碼,很難測(cè)試ASP或CGI腳本,事先認(rèn)定攻擊者根本不會(huì)看到源代碼是不明智的。Web服務(wù)器軟件里面的漏洞往往會(huì)把腳本和應(yīng)用暴露在遠(yuǎn)程攻擊者面前。如果能夠獲得應(yīng)用的源代碼,則可以提高測(cè)試該應(yīng)用的效率。畢竟,你出錢是為了讓滲透測(cè)試人員查找漏洞,而不是浪費(fèi)他們的時(shí)間。
如今,大多數(shù)攻擊進(jìn)行的是*基本的漏洞掃描,如果攻擊得逞,目標(biāo)就岌岌可危。如果攻擊者企圖對(duì)你站點(diǎn)進(jìn)行漏洞掃描,他就會(huì)獲得大量的防火墻日志消息,而監(jiān)控網(wǎng)絡(luò)的任何入侵檢測(cè)系統(tǒng)(IDS)也會(huì)開(kāi)始發(fā)送有關(guān)當(dāng)前攻擊的警報(bào)。如果你還沒(méi)有試過(guò),不妨利用漏洞掃描器結(jié)合IDS對(duì)網(wǎng)絡(luò)來(lái)一番試驗(yàn)。別忘了首先獲得對(duì)方的許可,因?yàn)椋\(yùn)行漏洞掃描器會(huì)使IDS引發(fā)警報(bào)。
-/gbadeeb/-
http://www.pyjl.com.cn
