淺談國(guó)內(nèi)的滲透評(píng)估過程

隨著網(wǎng)絡(luò)的發(fā)展，越來越多的人認(rèn)識(shí)到網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。大家都開始重視網(wǎng)絡(luò)滲透評(píng)估，花重金請(qǐng)第三方人員模擬黑客進(jìn)行滲透攻擊。下面跟葉子了解一下國(guó)內(nèi)安全公司的滲透評(píng)估過程。
    了解國(guó)內(nèi)滲透評(píng)估過程之前，我們需要先知道什么是滲透評(píng)估?滲透評(píng)估就是請(qǐng)第三方人員模擬黑客攻擊，對(duì)單位核心業(yè)務(wù)的服務(wù)器、重要的網(wǎng)絡(luò)設(shè)備以及信息安全措施做出積級(jí)評(píng)估，積極分析安全措施的設(shè)計(jì)缺陷、技術(shù)缺陷和弱點(diǎn)，最后給單位的管理屋、技術(shù)人員提供一份全面的信息安全報(bào)告。通過滲透評(píng)估可以確定組織信息資源面臨的威脅，發(fā)現(xiàn)和解決存在的弱點(diǎn)。了解弱點(diǎn)的基本技術(shù)、設(shè)計(jì)和執(zhí)行的缺陷。降低組織的IT安全成本，提供更好的安全，保證為組織提供一個(gè)全面和徹底的安全架構(gòu)，包括評(píng)估政策、流程、設(shè)計(jì)和實(shí)施。
    針對(duì)國(guó)內(nèi)的滲透評(píng)估流程，每個(gè)公司都有自己的一套流程：
    在滲透評(píng)估過程中，首先需要跟客戶進(jìn)行溝通，拿到客戶的書面授權(quán)。只有書面授權(quán)后的滲透評(píng)估才是合法的，否則是違法行為。在得到書面授權(quán)后，需要制定實(shí)施方案。方案中包括是滲透評(píng)估的工作地點(diǎn)、工作周期、滲透目標(biāo)等。一般大客戶的滲透評(píng)估，需要指定工作地點(diǎn)，而且客戶會(huì)對(duì)工作過程進(jìn)行監(jiān)控?？蛻粜枰龅綄?duì)滲透評(píng)估所有細(xì)節(jié)和風(fēng)險(xiǎn)的把控，減少滲透評(píng)估帶來的其它安全隱患。滲透目標(biāo)是客戶對(duì)互聯(lián)網(wǎng)公開的IP地址，全世界的人都能訪問到的IP地址。不同的客戶需要滲透的目標(biāo)不一樣，有些用戶只有單個(gè)目標(biāo)IP地址，另有些用戶上千目標(biāo)IP地址。當(dāng)然不同的目標(biāo)地址收費(fèi)也不一樣。
    當(dāng)滲透評(píng)估方案制定完后，需要得到客戶的確認(rèn)，才能進(jìn)一步進(jìn)行方案的實(shí)施。在方案的確認(rèn)過程中，客戶可能會(huì)根據(jù)自己業(yè)務(wù)運(yùn)行的情況，對(duì)滲透評(píng)估的時(shí)間做進(jìn)一步的調(diào)整，避免在業(yè)務(wù)高峰期進(jìn)行滲透評(píng)估，當(dāng)評(píng)估過程出現(xiàn)問題時(shí)，影響正常的業(yè)務(wù)運(yùn)行。對(duì)于DDOS類的工具測(cè)試，在方案確定應(yīng)該明確指出不能使用這類工具進(jìn)行滲透評(píng)估。所有的滲透評(píng)估方案的大部分風(fēng)險(xiǎn)都是已知、可控的情況下實(shí)施的，這也是專業(yè)的滲透評(píng)服務(wù)與黑客攻擊入侵的本質(zhì)不同。
    信息收集分析是所有攻擊行為的前提步聚，通過信息收集了解單位組織中的信息網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、應(yīng)用服務(wù)器等基礎(chǔ)設(shè)施和基礎(chǔ)軟件的信息。通過對(duì)目標(biāo)IP公開的網(wǎng)絡(luò)信息收集，比如whois、finger等分析確定目標(biāo)主機(jī)的安全設(shè)施的行為。通過對(duì)目標(biāo)IP返回的banner信息、操作系統(tǒng)指紋信息、應(yīng)用服務(wù)系統(tǒng)信息，分析出防火墻、路由器、應(yīng)用設(shè)備的相關(guān)的安全設(shè)備系統(tǒng)版本等信息。信息收集可以應(yīng)用各類掃描工具來收集相關(guān)的信息，比如端口掃描工具、弱口令掃描工具、專用應(yīng)用的掃描工具、商業(yè)網(wǎng)絡(luò)安全漏洞掃描工具、免費(fèi)的安全掃描工具等。工具只是幫助在做滲透評(píng)估時(shí)減少評(píng)估使用的時(shí)間，因此不能太依懶于安全工具。滲透評(píng)估主要依靠評(píng)估人員的安全經(jīng)驗(yàn)、安全漏洞的發(fā)現(xiàn)和利用經(jīng)驗(yàn)，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)應(yīng)用的弱點(diǎn)分析經(jīng)驗(yàn)。
    權(quán)限獲取是基于信息收集，對(duì)網(wǎng)絡(luò)中安全弱點(diǎn)的分析后，獲取目標(biāo)主機(jī)的權(quán)限過程。權(quán)限獲取可以根據(jù)目標(biāo)地址應(yīng)用程序存在遠(yuǎn)程溢出的漏洞，通過遠(yuǎn)程溢出攻擊獲取目標(biāo)主機(jī)的權(quán)限(如果遠(yuǎn)程溢出操作對(duì)系統(tǒng)有破壞性的影響，建議不進(jìn)行操作，但在報(bào)告中描述出來);通過弱口令猜測(cè)，獲取遠(yuǎn)程目標(biāo)主機(jī)的telnet、ftp服務(wù)的賬號(hào)，或者遠(yuǎn)程控制3389之類的賬號(hào);通過對(duì)目標(biāo)地址的Web應(yīng)用進(jìn)行掃描，發(fā)現(xiàn)其應(yīng)用SQL技術(shù)中存在SQL注入的漏洞，利用SQL注入漏洞上傳Webshell，提升權(quán)限，獲取網(wǎng)站的控制權(quán)限。在權(quán)限獲取過程中，可以根據(jù)業(yè)務(wù)應(yīng)用的漏洞，使用各種方法進(jìn)行權(quán)限獲取。另外在權(quán)限獲取過程中，我們不建議使用社會(huì)工程學(xué)、網(wǎng)站掛馬等方法來進(jìn)行權(quán)限獲取。
    雖然前期做了很多的工作，但滲透測(cè)試的真實(shí)的價(jià)值體現(xiàn)是在后期工作的報(bào)告和匯報(bào)上。如果報(bào)告沒有明確易懂,那么整個(gè)過程的價(jià)值將無法化地體現(xiàn)出來。完美的報(bào)告應(yīng)該介紹針對(duì)測(cè)試目標(biāo)的入侵過程，對(duì)風(fēng)險(xiǎn)的分析和解決方案的描述，高層的人需要簡(jiǎn)明看懂的方案，技術(shù)管理人員需要總體解決方案，系統(tǒng)管理員需要一步步解決弱點(diǎn)的處理方案。
    滲透評(píng)估只是在有限的時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)信息安全進(jìn)行全面的評(píng)估，它只能降低單位組織的安全隱患，但不能保障滲透評(píng)估后就不會(huì)出現(xiàn)被黑客再次入侵的情況。黑客攻擊是沒有任何時(shí)間限制的，他們不僅可以花一個(gè)星期的時(shí)間來發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)，也可能花幾年的時(shí)間來發(fā)現(xiàn)問題。再說隨著技術(shù)的發(fā)展，新的安全漏洞被發(fā)現(xiàn)，安全管理如果沒有及時(shí)跟上，則會(huì)產(chǎn)生新的安全隱患。因此建議客戶每年至少兩次以上的安全滲透評(píng)估，以進(jìn)一步保障組織的信息安全。