黑客的“渗透战术”
在讲渗透测试之前,我想先给大家讲讲现阶段黑客的攻击方式方法。面对频发的网络安全事件,已有部分有安全觉悟的企业采取了大量积极、有效的应对措施,建立了黑客很难直接就攻破的防御体系,大大提高了网络的安全性。但是,黑客也根据局势调整了攻击策略,这个策略沿袭于第一次世界大战期间德军的“渗透战术”。大战中,德军发现大规模突破变的愈发困难,于是利用小的作战单位,利用对方防御的间隙和接合部,渗透到对方的防御体系当中,打击重要目标,切断交通线,割裂防御部署之间的关系,为正面的攻击创造条件,这种 “渗透战术”(Stormtroop tactics)又称“突击群战术”。
高深莫测的黑客似乎很好的沿袭了这一战术,他们在一个个看似安全的网络系统上,耐心的发现一个个或小或大的漏洞、缺陷作为突破口,进而渗透,最终进入网络系统的核心,瓦解掉整条安全防线。
白帽的“攻防演练”
在战场上,检验作战防线是否坚固需要经过轮番的实战演练。同样,企业的网络安全防线,也需要通过定时定期的攻防演练来确保防御体系足够完善。这种网络攻防演练由专业的安全服务人员实施,模拟渗透技术手段对目标系统发起模拟攻击,这种模拟攻击行为又称为“渗透测试”。
渗透测试的目的是通过充分挖掘和暴露系统的弱点,识别安全问题,从而帮助企业理解当前系统的安全状况。这能够促使许多企业通过渗透测试报告中的开发操作规划来减少攻击或误用的威胁。一份撰写良好的渗透测试结果可以帮助管理人员建立可靠的商业案例,以便证明所增加的安全性预算或者将安全性问题传达到高级管理层。
知道创宇渗透安全服务
据知道创宇渗透测试的相关负责人介绍,渗透测试的范围主要包括了操作系统、数据库、应用服务的已知漏洞、不安全配置以及 Web 应用程序的常见漏洞、常见的业务安全测试。知道创宇整个业务系统渗透测试仅常规服务就包括:信息泄漏、文件上传、注入漏洞、XSS与CSRF深度利用、重定向监测与利用、参数错误、逻辑错误、认证错误、漏洞验证。知道创宇特色服务之业务逻辑漏洞挖掘包括:授权绕过漏洞、截获和修改金额漏洞、规避交易限制漏洞、请求重放漏洞、欺骗密码找回漏洞、顺序执行缺陷漏洞。以企业业务安全测试为实际案例,如果系统有涉及支付、交易的业务功能,测试人员会对业务过程中产生的数据包进行抓取,对交易、支付过程中的订单号及交易数量、金额、日期、用户等所有能影响支付结果的参数数据进行模拟篡改攻击,逐一挖掘这些业务功能是否存在漏洞。
知道创宇渗透测试团队具备大量“实战经验”,所以在模拟攻击的工程中,能将非常深层的漏洞、容易被忽视的漏洞等通通暴露出来,进而发现整个网络系统的威胁所在。按照多年的渗透测试案例显示,企业系统的安全阵线失守,根源绝不仅仅是某一个系统的单一问题所致,而是由一系列看似没有关联而又不严重的缺陷组合而导致的。很多缺陷的组合搭配都是被系统管理人员无法串联起来的,但专业的渗透测试人员却可以依靠丰富的实战经验、技能将其挖掘出来,并查找到其中的安全隐患点。
如今,网站做渗透测试,不仅仅是为了加持系统的安全性,也为了提高用户的操作安全性或满足业务合作伙伴的要求,还为了满足《网络安全法》的合规性要求。此次《网络安全法》首次明确将制定网络安全应急预案作为网络运营者应尽的义务,并在五十九条中进行责任补充:拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
部分企业在安全上投入了巨大的精力和资金,但是当基本的软硬件设施配置好之后,安全防卫水平也会到达相应的瓶颈期,再加大投入并不能明显提高安全水平。如何应对“安全玻璃天花板”,以渗透测试为代表的“安全服务”正在得到更多的认可。