滲透測試:看“道德黑客”如何進行模擬攻擊
滲透測試是指安全專業人員在系統所有者的許可下,模擬對網絡或計算機系統的攻擊以評估其安全性的過程。不過,盡管是“模擬”攻擊,但滲透測試員同樣會把現實世界中攻擊者的所有工具和技術都用到目標系統上,只是他們并不以發現的漏洞或獲取的信息用來牟利,而是將結果上報給所有者,以幫助其提高系統安全性。
由于滲透測試人員遵循與惡意黑客相同的攻擊策略,所以他們有時候被稱為“道德黑客”或“白帽黑客”。滲透測試可以由團隊或獨立黑客進行,他們可能是目標公司的內部員工,也可能獨立工作或為提供專業滲透測試服務的安全公司工作。
從廣義上講,滲透測試的工作方式與真正嘗試破壞組織系統的方式完全相同。滲透測試人員首先會檢查和識別與目標組織關聯的主機、端口和網絡服務。隨后,他們將研究此攻擊面中的潛在漏洞,這一步驟需要對目標系統進行更深入、更詳細的探測。最后,他們將嘗試突破目標的邊界并訪問受保護的數據或控制他們的系統。
當然,滲透測試和現實攻擊的細節可能會有很大差異。但需要注意的是,測試人員必須事先與目標組織商定進行的確切測試類型以及模擬攻擊的范圍,以免對用戶系統造成不可控的破壞。
//滲透測試的類型
應用安全公司Contrast Security將滲透測試類型分為以下多個類別:
?外部滲透測試。采用這種方式時,滲透測試團隊將從一個遠程位置來評估目標網絡基礎設施,他們沒有任何目標網絡內部拓撲等相關信息,完全模擬真實網絡環境中的外部攻擊者,采用流行的攻擊技術與工具,有組織、有步驟地對目標組織進行逐步滲透與入侵,揭示目標網絡中一些已知或未知的安全漏洞,并評估這些漏洞能否被利用獲取控制權或造成業務資產的損失。
?內部滲透測試。進行內部測試的團隊將可以了解到關于目標環境的所有內部與底層知識,因此可以讓滲透測試者以最小的代價發現和驗證系統中較嚴重的安全漏洞。內部測試揭示了心懷不滿的員工、懷有惡意的承包商或越界的超級黑客如何入侵系統。
?盲測(blind test)。盲測模擬來自攻擊者端的“真實”攻擊。滲透測試員不會獲得有關組織網絡或系統的任何信息,這迫使他們依賴公開可用的信息或依靠自身技能收集的信息。
?“雙盲”測試(double-blind test)。雙盲測試同樣模擬了目標組織端的真實攻擊,但在這種類型的測試中,IT和安全人員并不知道正在進行滲透測試的事實,以確保測試公司的真實安全態勢。
?針對性測試。針對性測試,有時也稱為“開燈測試”,指的是滲透測試人員和目標組織的IT人員在專注于網絡基礎設施特定方面的特定場景中進行模擬“對抗游戲”。針對性測試通常比其他選項需要更少的時間或精力,但不能提供有關系統安全態勢的完整視圖。
//滲透測試步驟
雖然不同類型的滲透測試都有其獨到之處,但行業專家開發的滲透測試執行標準(PTES)總結了大多數滲透測試場景都會涉及的七個主要步驟:
?行動前交涉:任何滲透測試都應該由測試人員和目標組織事先確定測試的范圍和目標,最好以書面形式確定。
?情報收集:測試人員應首先對目標進行偵察以收集盡可能多的信息,該過程可能包括收集有關目標組織的開源情報或公開可用的信息。
?威脅建模:在這個階段,滲透測試人員應該對潛在的真實攻擊者能力和動機進行建模,并嘗試確定目標組織內的哪些目標可能會吸引攻擊者注意。
?漏洞分析:正式進行滲透測試時,這可能是大多數人思考的核心問題,即分析目標組織的基礎設施是否存在允許黑客入侵的安全漏洞。
?漏洞利用:在此階段,滲透測試人員使用他們發現的漏洞進入目標組織系統,并竊取數據。這一步的目標不僅僅是突破他們的邊界,而是繞過主動防御措施并盡可能長時間不被發現。
?后漏洞利用:在該階段,滲透測試員會試圖保持對受損系統的控制權,并確定它們的價值。對于滲透測試人員與其客戶之間的關系而言,這可能是一個特別微妙的階段。在這一階段,比較重要的是,第一階段的“行動前交涉”生成一套明確定義的基本規則,以保護客戶并確保關鍵服務未受到測試的負面影響。
?報告:最后,測試人員必須向客戶提供一份關于風險和漏洞的全面而翔實的報告。在這一過程中,清楚傳達這些信息所需的溝通技巧無疑是較為重要的一點。
//全球主流的滲透測試公司
滲透測試是科技行業的一個專業領域,迄今為止一直在抵制整合。換句話說,有很多公司提供滲透測試服務,其中一些作為更大的產品套件的一部分,還有一些專門從事道德黑客攻擊。下面為大家介紹5家主流的滲透測試公司:
1. a1qa
a1qa 是一家來自科羅拉多州萊克伍德的軟件測試公司,在其17年的運營中,已經交付了1,500多個成功項目并建立了10個卓越中心。它已與500多家公司建立合作,從小型企業到財富500強巨頭。該公司的主要客戶包括阿迪達斯、卡巴斯基實驗室、SAP、Yandex、Forex Club 等。
a1qa 專門提供全周期 QA 和測試服務,包括全面的安全滲透測試。其專長包括測試門戶網站、電子商務、媒體和電子學習平臺、游戲和在線賭場等網絡應用程序,以及業務線測試,例如 CRM 、協作、文檔管理和財務系統。該公司還經營了一個專門的安全測試實驗室。
2. QA Mentor
2010年成立于紐約的 QA Mentor 已經成功建立了強大的全球影響力,在全球設有12個測試中心。其團隊由300名經過認證的 QA 專業人員組成,他們成功完成了870多個項目,其中包括亞馬遜、eBay、博世、HTC等項目。該公司提供30多項測試服務,其中包括網絡安全滲透測試。
QA Mentor 在 Clutch、GoodFirms 和 Gartner 等研究機構的報告中,目前均處于行業領導者象限中。
3. UnderDefense
UnderDefense 是一家經過認證的計算機和網絡安全公司,于2016 年在紐約成立。它提供廣泛的測試服務,特別專注于安全滲透測試。該公司已經執行了數百次滲透測試,包括特定合規性測試、應用程序和無線網絡滲透測試以及社會工程安全測試。UnderDefense 曾多次獲得 Clutch 的獎項。
4. Iflexion
Iflexion 成立于1999年,是一家全周期軟件開發公司。如今,該公司已發展成為擁有850多名IT專業人員的企業。其專業知識涵蓋從應用程序開發到測試的廣泛服務。Iflexion 已與來自不同行業的500多家公司建立合作,包括PayPal、飛利浦、阿迪達斯、eBay、施樂、Expedia、畢馬威等。
5. KiwiQA
KiwiQA成立于2009 年,是一家國際質量保證和咨詢公司,擁有超過100名專業人士團隊,已經交付了2,000多個項目。他們的軟件測試專業知識涵蓋自動化、手動和創新測試技術。公司的安全測試范圍包括道德黑客攻擊、網絡安全滲透測試和漏洞審計。KiwiQA 被 GoodFirms 和 Clutch 評為“頂級測試公司”。
//滲透測試前景
事實證明,滲透測試人員的需求量很大,而且這些工作不僅僅是在獨立的安全公司,像微軟這樣的大型科技公司也都有完整的內部滲透測試團隊。
北卡羅來納州立大學的IT職業部門調查發現,僅2020年就有16,000個職位缺口。不過,需要注意的是,滲透測試和漏洞分析師的職業軌跡雖然有許多共同的技能,但漏洞分析師專注于應用程序和系統在開發中或部署之前發現安全性漏洞,而滲透測試人員則是探測活躍系統。
與許多需求旺盛的技術安全崗位一樣,滲透測試員可以獲得可觀的薪水。Infosec Institute 對美國各區域的薪酬和職位做出了很好的概述:總體而言,大多數滲透測試人員的預期工資都比較高。這顯然是一份非常有潛力、也很有趣的工作。
//滲透測試培訓和認證
道德黑客行業由曾經非道德的黑客創立,他們正在尋找一條通往主流和合法途徑的道路,讓他們能夠利用自己的技能賺錢。正如在許多技術領域一樣,第一代滲透測試人員主要是自學成才。雖然仍有通過這種方式培養技能的人,但滲透測試現在已經成為計算機科學或 IT 大學課程及在線課程中的一個常見主題,許多招聘經理在評估應聘者時,也會希望其接受過一些正式培訓。
想要證明自己一直在培養滲透測試技能的最佳方法之一,就是獲得該領域一些被廣泛接受的認證。這些證書附帶的許可培訓課程是獲得或強化相關技能的好方法:
