渗透性测试是一种特殊的信息安全服务

渗透性测试是信息安全人员模拟黑客攻击,用来发现信息安全防御体系中漏洞的一种常用方法。但它不同于真正的黑客攻击。首先,黑客入侵大多是悄无声息的,像间谍一样秘密进行,而渗透性测试事先要与用户签订好协议;其次,渗透测试是为了发现、验证安全漏洞的影响而进行的,注重入侵者可能的通道,并非关注用户的敏感信息内容。所以,渗透性测试时一种安全服务,简称渗透服务。

  国内渗透服务开展不好的原因:

  1、技术性要求很高。渗透与实际的入侵是同样的思路,需要渗透者有很强的逆向思维,有一定漏洞挖掘的能力,仅仅使用常规的入侵手段,面对安全意识较强的用户,渗透效果会很不理想;用最新的“0Day”资源去做渗透,成本又过高,同时,这种方法会给用户带来心理上的恐慌。要得到用户的认可需要掌握好这个“度”,当然没有深厚的技术功底,就只能被挡在服务大门的外边了;

  2、用户的纠结。作为企业信息安全的管理人员,当然不希望自己辛苦建立的安全防御体系被说成千疮百孔;花钱请人来做渗透,无疑是自己要“上京赶考”,很煎熬啊;若渗透没有成果,又无法向领导解释这样的服务的必要性,无法验证自己安全工作的成绩,不暴露问题的严重性,安全保障工作也难以得到领导的重视。所以,心情是复杂的;如何衡量渗透服务的效果是面临的首要问题;

  3、用户领导的顾虑。用渗透的方式检验目前的安全防御体系是否坚固,好比是“实战演习”,显然是有必要的。但是渗透毕竟是从自己不知道的地方进入到自己网络的内部,对于渗透者的工作的可控性是有难度的,渗透者除了给自己最后汇报的,是否还知道了其他的什么?孰轻孰重,领导肯定是有顾虑的;

  4、渗透者的纠结。渗透是为了验证用户防御体系的缺陷,每次渗透服务后,把发现的漏洞通告给用户,当然希望用户堵上它,可是下一次来渗透的时候,又需要再发现新的漏洞,否则就无法渗透成功,而发现有价值的漏洞不是一件容易的事情,即使你技术再好,也有很多偶然的成分;因此渗透者很纠结,知道了的全说出来,以后工作会越来越挑战极限,毕竟这是商业;知道的不全说,对用户似乎很不公平,也违背了信息安全人员的职业道德。另外,验证的毕竟部分漏洞,未验证的漏洞也不少,也许是时间上的不充裕,也可能是自己还没有找到适合的方法,但这不等于别人就做不到,搞技术的人,心情上很复杂。

  正确定位渗透服务的目标:

  这项工作的好处是共知的,“养兵千日,用在一时。”保持安全机制的有效性,唯一的办法就是经常性的“实弹演习”,渗透服务就是一种“实弹演习”。

  面对各方面人员复杂的心情,关键是正确定位渗透性测试服务的具体目标,定位大家的角色。目标清晰了,责任清楚了,大家的顾虑就可以打消了。

  渗透性测试是一种安全服务,不是黑客入侵的情景再现。

  渗透服务的目标应该是部分验证安全漏洞可以被利用的程度,利用这些漏洞能给用户造成什么样的损害。简单地说,渗透服务是确认漏洞能给用户带来的损失有多大,从而可以评估修复这些漏洞的代价是否值得。

  通过渗透服务,用户的收益是多方面的:

  1、对信息安全系统整体进行了一次“实战演练”,在实战中锻炼安全维护团队应变的能力;

  2、系统评估了业务系统,在技术与运维方面的实际水平,管理者清楚了目前的防御体系可以抵御什么级别的入侵攻击;

  3、发现安全管理与系统防护中的漏洞,可以有针对性地进行加固与整改;

  4、若定期地进行渗透服务,不仅可以逐步提高系统安全的防御能力,而且可以保持管理人员的警觉性,增强防范意识;

  如何确定渗透服务的考核目标:

  很多渗透测试服务(目前与安全评估服务一起提供的有很多)给用户的报告就是一大堆的漏洞列表,告诉你要打补丁,买设备,以及一些很虚的安全管理建议。用户往往对这些漏洞的威胁不了解,面对如此多数量的、稀奇古怪的漏洞根本不知所措。第一,因为怕影响业务运行,不能全部打上补丁,哪些必须打,哪些可以不打,总是一本糊涂账;第二,即使打上补丁,心里也不踏实,漏斗就少了吗?下次检查又是同样多的漏洞,好想补丁永远也补不完。

  其实发现漏洞只是服务的第一步,验证哪些漏洞是可以被利用的,可以被利用到什么程度,才是渗透服务真正应该回答的,比如能获取系统管理员权限,能篡改系统数据,能植入木马等等,这样用户对漏洞的威胁就有切身的体会了。

  渗透服务是模拟黑客入侵,但不是真正的入侵,作为商业服务,用户如何确定渗透服务的考核目标呢?我们先来分析一下黑客攻击的方式。

 从入侵攻击的流程,可以看出,入侵攻击分为几种目标类型:

  1、正面攻击:DDOS攻击无论是针对网络入口的带宽,还是针对服务的处理能力(也称CC攻击),表现形式都是正面攻击,造成的损害,用户一目了然。

  2、隐蔽型入侵:进入的方式多种多样,可以社会工程、垃圾邮件、漏洞溢出、密码猜解等,目的都是要悄悄进入到目标的内部,从进入目标后的行为可分为:

  a)窃取特定目标信息:直接收集目标信息,如QQ账户密码、银行卡密码、特定的用户文件等,通过邮件、访问特定网站等方式发送回家后销毁自己,消除痕迹;

  b)控制“肉鸡”:隐蔽自己,建立后门通道,接受并执行远程控制命令,可以远程操作此计算机;

  c)篡改特定目标信息:直接对目标信息修改为自己设定的,如数据库的数据、系统特定文件等,然后自毁,消除痕迹。此类入侵常常是为其他入侵方式做好准备;

  d)特定任务:长期潜伏,把自己隐藏起来,等到条件成熟,实施动作,如逻辑炸弹、修改系统信息等;

  隐蔽型入侵中如何隐藏自己不被发现,或延长被发现的时间是很关键的,尤其是特定任务类型是作为APT攻击的必要手段,隐藏自己与反复入侵都是必然的选择,常用的技术如rootkit、进程注入、驱动钩子等。入侵者一旦入侵成功,常常制造多个潜伏点,分别设置好触发条件,相互监视,只要不被全部发现,就可以死灰复燃,最终实现预定任务。

  针对不同类型的入侵攻击方式,渗透服务关注的重点显然是不同的:

  1、正面攻击:渗透服务需要发现可以被正面攻击的关键点,以及不同攻击强度对业务所产生的影响;

  2、隐蔽型入侵:渗透服务不仅要发现可能入侵的通道,即可被成功利用的漏洞,而且要验证入侵后可能造成的损失,最后还要发现系统内是否已经存在的入侵。

  有关正面攻击的测试服务,目前需求见到的还不多,很多系统建设者是通过处理能力的理论计算得出的这一数据的。但是,作为提供公众服务、云计算等服务的企业,应该更为确切地了解自己系统内的薄弱点所在,以及它所能承受攻击能力的限度,并实施实时监控。这好比建设的大坝可以抵御多少年一遇的大洪水,建造的大楼可以抵御几级地震一样。

  在很多情况下,业务的突发性增长,与系统受到了CC攻击,其冲击效果是很相似的。

  针对隐蔽型入侵,渗透性服务交付的成果有趣的,因为你是否有能力进入是一方面,你是否可以成功地窃取、成功的篡改是另外一个方面。在信息安全方面,你进入了目标系统也只是有了成功窃取与篡改的可能性而已,而后面的工作往往不是你成功利用了那个漏洞就可以解决的。

  从上面对入侵攻击结果的分析总,我们得出渗透服务的交付应该是具有“结果效应”的,即需要达到的最终目标:

  ● 窃取到目标内的特定信息

  ● 修改了目标内的特定信息

  ● 建立了远程控制目标的后门通道

  ● 成功潜伏在目标内没有被发现

 

====================================分割线================================

最新内容请见作者的GitHub页:http://qaseven.github.io/

时间: 2024-09-27 14:55:43

渗透性测试是一种特殊的信息安全服务的相关文章

渗透性测试概述

渗透性测试是信息安全人员模拟黑客攻击,用来发现信息安全防御体系中漏洞的一种常用方法.但它不同于真正的黑客攻击.首先,黑客入侵大多是悄无声息的,像间谍一样秘密进行,而渗透性测试事先要与用户签订好协议:其次,渗透测试是为了发现.验证安全漏洞的影响而进行的,注重入侵者可能的通道,并非关注用户的敏感信息内容.所以,渗透性测试时一种安全服务,简称渗透服务. 国内渗透服务开展不好的原因: 1. 技术性要求很高.渗透与实际的入侵是同样的思路,需要渗透者有很强的逆向思维,有一定漏洞挖掘的能力,仅仅使用常规的入侵

渗透性测试解析

提起渗透性测试(模拟黑客进行"合法"的网络入侵测试),人们自然会想到黑客,好象做这种测试的只有真正的黑客才可以做到,但黑客通常是"虚拟网络"中的人物,与现实生活中的人很难对应,对于他们的行为感到神秘也是自然的.测试与攻击有什么不同呢?我刚从事安全研究时也很困惑,攻击是不按常理出牌的思维,遵循套路的只能是表演,不会实用,那么安全公司的专家们是如何进行渗透性测试呢? 一般来说,这种测试的过程都是半隐蔽的,不同的安全公司.不同的人做这种测试的结果差异巨大.我们最终看到的多

压力测试就是一种破坏性的性能测试

性能测试(或称多用户并发性能测试).负载测试.强度测试.容量测试是性能测试领域里的几个方面,但是概念很容易混淆.下面将几个概念进行介绍. 性能测试(Performance Test):通常收集所有和测试有关的所有性能,通常被不同人在不同场合下进行使用. 关注点:how much和how fast 负载测试(Load Test):负载测试是一种性能测试,指数据在超负荷环境中运行,程序是否能够承担. 关注点:how much 强度测试(Stress Test): 强度测试是一种性能测试,他在系统资源

什么是信息安全服务资质认证,企业怎么获取认证

问题描述 什么是信息安全服务资质认证,企业怎么获取认证 解决方案 解决方案二:信息安全服务资质认证介绍一.信息安全服务(工程)资质认证的必要性:1.信息系统的核心是什么?答:是安全2.如何保证系统是安全的?答:按照安全需求把安全需求等级化:在建设和加固时按照标准实施:需要精通安全技术.管理.安全法规的集成企业3.谁能来给我进行安全等级保护安全设计和施工?答:信息安全服务(工程)资质告诉你二.安全等级介绍1.国家法规和标准对信息安全保护分几级?答:分5级2.如何在集成中应用?根据系统影响划分↓确定

一种面向流媒体云服务平台的自适应负载均衡方法

一种面向流媒体云服务平台的自适应负载均衡方法 江小平,张涛,李成华,江腾 设计了一种基于云计算技术的流媒体服务平台体系结构,针对此服务平台提出了一种面向云计算资源的自适应负载均衡方法,以提高平台的资源利用率以及减少服务拒绝率测试结果表明: 此方法适用于流媒体云服务平台的负载均衡调度. 一种面向流媒体云服务平台的自适应负载均衡方法

socket客户端有几种发送消息到服务端的方式,服务端应该怎么取出这个值

问题描述 socket客户端有几种发送消息到服务端的方式,服务端应该怎么取出这个值 场景,我有一个服务端,客户端是超级网口USR-K3的TCPClient.K3发送消息给我服务端时,已经跟我建立连接,服务端已经看到了它的IP和端口,但是在取出K3发过来的值时,显示为"null".求大神告知是不是我取值的方法和K3放值得方法不一样才取不出值. 解决方案 public void run() { try { // 采用循环不断从Socket中读取客户端发送过来的数据 while (true)

几种常见的微服务架构方案——ZeroC IceGrid、Spring Cloud、基于消息队列、Docker Swarm

微服务架构是当前很热门的一个概念,它不是凭空产生的,是技术发展的必然结果.虽然微服务架构没有公认的技术标准和规范草案,但业界已经有一些很有影响力的开源微服务架构平台,架构师可以根据公司的技术实力并结合项目的特点来选择某个合适的微服务架构平台,以此稳妥地实施项目的微服务化改造或开发进程. 本文选自<架构解密:从分布式到微服务>. 本文盘点了四种常用的微服务架构方案,分别是ZeroC IceGrid.Spring Cloud.基于消息队列与Docker Swarm. ZeroC IceGrid微服

云计算环境下基于Mashup的一种电信网络能力服务提供模式

云计算环境下基于Mashup的一种电信网络能力服务提供模式 刘勇 乔秀全 李晓峰 在电信运营商逐步开放其电信能力API的背景下,基于Mashup的业务构建模式,提出了一种云计算环境下的电信网络能力服务提供模式.该模式将Mashup的理念移植到电信能力上,并将电信能力封装成Web Element的形式呈现给用户,进一步提升了电信网络能力服务的抽象层次. 关键词:云计算环境 Telecom 2.0 Mashup 服务提供模式 Web Element [下载地址]:http://bbs.chinacl

高正信息新三板挂牌上市 主要提供信息安全服务

3月11日消息,全国中小企业股转系统公告显示,广东高正信息科技股份有限公司(证券简称:高正信息证券代码:836259)的挂牌申请获得批准,并于今日公开转让.高正信息主要产品有云计算的建设与运营服务.信息安全服务.企业信息服务平台的建设和运营服务及相关IT 产品. 高正信息成立于1999年2月11日.公告显示,高正信息2013年度.2014年度.2015年1-7月营业收入分别为2588.08万元.3342.03万元.1464.35万元;净利润分别为52.53万元.64.79万元.18.48万元.如